hegl

Schön, dass es wieder läuft!

Zu den Technikern (oder die sich so schimpfen): So was sollte bzw. darf man nicht auf sich beruhen lassen. Habt Ihr keinen vertrieblichen Ansprechpartner? Über die Hotline oder den "normalen" Kundenservice kann man so etwas vergessen - eine Krähe kratzt der anderen kein Auge aus...

So was musst Du hoch aufhängen; ich kenne zwar nicht Eure Organisation, aber hier sollte zumindest jemand aus dem Management tätig werden und dies an den entsprechenden Stellen bei HP (Leiter Service Firmenkunden, Leiter Marketing/Öffentlichkeitsarbeit, Leiter Sales Management) eintüten. Am besten versuchen an die Stellen zu schicken, die sich gegenseitig überwachen.

Das zieht nicht nur im Geschäftsumfeld, selbst privat habe ich durch Beziehungen mal die richtigen Ansprechpartner genannt bekommen, die ich über verschiedene Vorgänge sachlich informiert hatte. Du ahnst gar nicht, wie die über eine Wiedergutmachung bemüht waren ;) und das, obwohl ich nur ein einzelner, kleiner User war.

Existieren für die Domains Reverse-DNS-Einträge?

Hier könnte der Hund begraben sein, sollten die nicht vorhanden sein.

Ich habe es bereits so konfiguriert dass bei den Laptops beim Standardprofil in der GPO-Firewallkonfig die Firewall aktiviert ist. Was ist jetzt wenn die Laptop-User sich per VPN in die Firma einloggen, dann wird ja das Domänenprofil aktiv und die Firewall schaltet sich wieder aus? Kann das über die GPO konfiguriert werden?

Jepp, genauso funktioniert es bei uns.

Daraufhin habe ich mir die ipconfig /all angesehen. Hier ist komischerweise als DNS die 192.168.32.238 eingetragen. Nach einem ipconfig /release …/renew bezieht er wieder den richtigen DNS 192.168.32.238 und alles geht.

Hmm, ich erkenne hier keinen Unterschied.

Mein Chef hat admin Rechte auf seinem Client die ich ihm auch nicht entziehen darf.

Typisch, von nix ´ne Ahnung, aber Superuser sein wollen...

Der Client sieht auf den ersten Blick OK aus und ich weiß nicht nach was ich überhaupt suchen soll!

Überprüfe mal, ob der Rechner deines Chefs DHCP-Server oder DNS-Server spielt! Schalte die Dienste dann einfach ab.

wenn es so gewollt ist - was für einen Grund könnte es den dafür geben ?

ist müßig, darüber zu spekulieren..

Unter XP sind es folgende Einträge, die anzupassen sind:

- HKLM\Software\Microsoft\Windows\CurrentVersion\Installers\Folders

- HKLM\Software\Microsoft\Windows\CurrentVersion\Installers\UserData\S-1-5-18\Components\C1B230AE85D46D

oder wie bei Vista auch, einfach nach Startmenü\Programme\Cisco Systems VPN Client in der Registry suchen und anpassen.

Nein, das ist so gewollt.

Man kann zwei Registry-Einträge ändern und dort den entsprechenden Pfad dann angeben. Habe diesen aber im Büro und werde Monatg mal nachschauen und berichten.

Habe gerade mal in der Registry nach "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cisco Systems" (unter Vista) suchen lassen und finde genau die beiden angesprochenen Beiträge. Vielleicht machst Du es ebenfalls so.

Problem ist gelöst, ohne dass ich die ASA anpassen musste.

Zur Erklärung: Von der Remote-Site läuft alles in den Tunnel zu unserer Zentrale. Die User müssen für den Internetzugriff den Proxy in der Zentrale konfiguriert haben; und hier lag der Hund begraben. Der Proxy verrichtet seine Arbei nur für http, ftp, Secure und Socks. Ich bin aber davon ausgegangen, wenn man im IE die Option "alle Protokolle anhakt" gilt dies auch für alle, aber tasächlich gilt das nur für die vier oben genannten. Heisst also, dass ich mit anderen Protokollen (z.B. ICA = tcp/1494) direkt vom Client die Verbindung aufbaue. Da ich aber mit privaten IP´s und ohne NAT arbeite, konnte dies nicht funktionieren. Also aus dem Proxy noch schnell ein Socks-Proxy gemacht und die Kiste läuft :):):)

@ Otaku19: Jepp, hatte was gesucht wie split-tunneling. Aber ich kann halt nur sagen: das und das geht in den Tunnel und alles andere geht direkt raus. Umgekehrt funktioniert es wohl nicht.

@ Franz2: Jepp, hatte das entsprechende Netz mit einem deny konfiguriert, und dann kommt der Tunnel nicht mehr hoch. Also auch in der Zentrale das Gleiche gemacht, Tunnel wieder ok, aber trotzdem kein Erfolg.

Danke für Eure Unterstützung :jau::jau::jau:

Hi,

 

ich denke eher - es wird so nicht klappen - sondern du musst definieren was rein soll - den im Tunnel wir ja beim Aufbau die Einstellungen verglichen.

Jepp, kann ich bestätigen. Habe gerade mal versucht das Netz von den Regeln auszunehmen mit dem Ergebnis, dass der Tunnel nicht mehr hoch kommt.

Ziel soll eigentlich sein, dass auch der Internettraffic über die Zentrale und damit über den Proxyserver geschleust wird (was auch soweit funktioniert). Hier gibts aber ein dickes Problem, dass ein gewünschter Citrixzugriff nicht so funktioniert, wie es sein sollte. Deshalb die Überlegung von der Netzwerkseite, dieses Netz erst gar nicht in den Tunnel zu schicken.

Danke, dass ist aber leider nicht die Antwort auf meine Frage - der Tunnel läuft ja bereits.

Die Frage geht dahin: wie schicke ich alles, bis auf ein Netz, in den Tunnel? Vor allem: geht das, ohne den produktiven Betrieb zu stören?

Hallo,

ich schicke bis jetzt bei einem bestehenden Tunnel alles in den Tunnel zur Zentrale. Jetzt möchte ich ein Netz davon ausnehmen und dieses sofort am Remote-Standort ins Internet schleusen. Wie gehe ich hier am besten vor?

Wollte auch noch kurz meinen Senf, äääh meine Erfahrung dazugeben:

Devolo hat auf seiner HP eine eindeutige Aussage getroffen, dass die Verbindung auch über verschiedene Phasen funktioniert. Nachteilig wirkt sich aber ein Performanceverlust aus.

Ich kann beide Aussagen bestätigen. Meine Erfahrung bezieht sich auf ein Haus der 70-er Jahre mit entsprechenden Leitungen. Von meinen theoretischen 85 MB kann ich ca. die Hälfte nutzen. Hatte testweise an der letzten Stelle der angeschlossen Phase ein Kabel angeklemmt und mit Siemens-Lufthaken :D:D:D nach oben verlegt und die Performance ging deutlich nach oben.

Wenn Du schon ne ASA im Einsatz hast, nutze den ASDM und schaue ins Firewall Dashboard. Da müsstest Du den Übeltäter erkennen können.

Ansonsten nutze den Capture Wizard, da werden Sie auch geholfen ;-)

Bei uns werden mittlerweile die Panels selbst an der eingebauten Höheneinheit gemessen. Dazu haben wir in jedem Schrank entsprechende Beschriftungsleisten angebracht. Die Anschlüsse werden dann einfach durchnummeriert.

Sieht dann so aus: HE1A01 oder HE7A10

Wenn Dir aber die Doku für die Kabelendpunkte fehlt (wenn Du also nicht weißt, wo das Kabel endet), musst Du hier natürlich schon eine eindeutige Bezeichnung wählen.

Und wie Robi-Wan schon sagte: Nimm ein Beschriftungsgerät!

:D

Wie gross ist denn der finanzielle Spielraum? Ich wuerd da eher in Richtung Ironport schauen (wenns beim Hause Cisco bleiben soll). Kostet aber schon ne Stange ...

Da websense schon ausgeschieden ist, gebe ich Ironport auch keine Chance...

Die Herren Geldverwalter halten sich noch mit Zahlen zurück. Ausschlaggebend werden wohl die jährlichen Kosten (Lizenzen) sein und vom Gefühl her sollten die irgendwo bei max. 10 T€ liegen.

Weißt du vielleicht welchen Ansatz das CSC für Antispam verwendet ?

Sorry, keine Ahnung. Vielleicht suchst Du mal bei TrendMicro, da CISCO -soviel ich weiß - das Produkt von denen einsetzt.

Linux, Squid, Dansguardian, ClamAV, kostet nur Zeit und Nerven ;)

Ist genau das, was abgelöst werden soll ;)

Filtern von Seiten bzw. Scannen von Inhalt ohne dafuer tausende von Euros ausgeben zu muessen? :)

Dann spanne mch bitte nicht auf die Folter und gib´ mir bitte einen Tipp, was man da einsetzen kann. :eek:

was kann man damit denn alles anstellen ?

Cisco ASA Content Security and Control (CSC) Security Services Module - Products & Services - Cisco Systems

Was ist da der Vorteil gegenüber dem Ansatz einen Proxy herzunehmen der im Grunde nicht viel darf und für alle die spezielle Dienste brauchen eben ein "direktes" NAT über die ASA zu schalten ?

Das ist in meinen Augen jetzt Geschmackssache. Sicherlich gibt es Proxy-Server, die auch ContentFiltering machen, aber auch Content-Filter-Systeme die eine Proxy-Funktionalität haben.

Die Frage ist aber, wofür benötige ich noch einen Proxy? Wo sind die Vorteile?

- Caching --> nicht mehr zeitgemäß

- NAT --> geht auch ohne Proxy

- ???

Jo, websense hatten wir bereits im Hause und nach dem Angebot schnell wieder vergessen :p

Die globale Einstellmöglichkeit ist natürlich ein wichtiges Kriterium gegen CISCO.

Bei uns kocht gerade das Thema Content Filtering hoch.

Ich habe mal mitbekommen, dass das CSC-SSM von CISCO nicht so der Bringer sein soll. Hat hier jemand Erfahrungen oder kennt ggf. andere, autarke Produkte, die auf KMU (500-1000 User) zugeschnitten sind.

Ich verstehe nur Bahnhof, vielleicht erklärst Du das mal genauer.

Ich verstehe nämlich nicht, warum Du dazu unterschiedliche IP-Adressen brauchst.

Grundsätzlich funktioniert ssh sowie snmp über das outside interface. Man sollte sich allerdings überlegen, ob man ein "security-device" von aussen zugänglich macht, auch wenn es über ssh ist.

Hallo,

 

meine Erfahrungen sind eher - das hier wirklich mehr über die Line geht als man denkt - bzw. die Authentifizierung am SQL das Problem ist - bis er sich da immer wieder gefunden hat.

SQL ist immer so ne Sache. Wir hatten auch mal über ne private 2-Draht-Leitung via 2 SDSL-Modems (2 Mbit) einen Baustellencontainer geschaltet. Praktisch war das "nur" eine Verlängerung des VLAN´s. Obwohl laut monitoring die Strecke vor sich hin schlief, brauchte der Client zeitweise recht lange für den Verbindungsaufbau. Dass es nicht an der Strecke lag, bestätigte uns der Austausch dieser Modems gegen VDSL2-Modem´s, die theoretisch bis 100 Bit können. Tatsächlich stellten sich diese auch bei ca. 70 Mbit ein, aber eine Verbesserung brachte dies auch nicht.

Systemwiederherstellung hat auch nichts gebracht - die Einträge sind nach wie vor vorhanden.

Des Rätsels Lösung habe ich aber hier gefunden. :jau::jau::jau:

@Otaku19

 

Hallo, das kenne ich wie du es da schreibst (und habe ich auch schon im Einsatz - trotzdem DANKE) - das Problem ist, das dann die IP Session da erlaubt wird - wenn sich dann jemand anderes an der Kiste anmeldet - geht es immer noch wenn die Session relativ lang eingestellt ist. Ich fänd es halt schickt - wenn man z.B. mit "automatischer" Anmeldung da was drehen könnte.

Grundsätzlich kannst Du auch über virtual telnet die Authentifizierung steuern. Hier hast Du zwar auch das Problem mit der langen session, jedoch kann man ja auch eine Abmeldung über virtual telnet initiieren. Ein Kollege hatte sowas mal über asp.net programmiert mit dem Ziel, dieses über einen Button im Browser zu realisieren. Funktioniert hat das auch tatsächlich, wurde dann aber bei uns nicht weiter verfolgt, so dass es nie produktiv ging.