Ciscler

Hallo, habe GNS3 gerade mal getestet und für einen 3600er Router ein IOS eingspielt. Die Datei ist ja eine .bin datei in der Doku steht ich muss diese Entpacken zum .image file irgendwie blicke ich da nicht ganz durch? Wenn ich den Router starte startet der Telnet Client und ich sehe folgendes: Connected to Dynamips VM "R1" (ID 1, type c3600) - Console port Mehr kommt nicht müsste jetzt nicht das IOS geladen werden? Gruß Dirk

Hallo, das ist natürlich eine feine Sache. Ich hab das im Moment so: nat (inside) access-list NO_NAT und in dieser NO_NAT Access-Liste Trage ich immer die Verbindungen der Host oder auch Netze für die IPSEC Verbindungen na damit diese nicht genattet werden. Bei meinem Fall müsste ich jetzt nichts in diese Liste eintragen. Meine Frage ist jetzt nur bleibt er dann nun außem am NAT hängen? Ich habe nirgends was mit nat (outside) oder so in der Config stehen. Gruß Dirk

Auf der PIX ist Version 6.3 drauf. Wie geht das da ;) ? Das betrifft glaub ich Version 7 Habe sowas im PIX Handbuch gefunden established <est_protocol> <dport> [sport] [permitto <protocol> <port>[-<port>]] [permitfrom <protocol> <port>[-port>]] Mit diesem Befehl kann ich aber kein Netz angeben Auf den Routern ist das besser da gibt es sowas ip access-list extended blub permit icmp any any permit tcp any any established deny ip any any log

Hallo, hoffe Ihr könnt mir weiterhelfen. Habe hier eine PIX 515e. Zwischen der PIX und einer anderen Firewall soll eine VPN Verbindung site to site eingerichtet werden. Das ist erstmal kein Problem. Bisher hatte ich immer folgende ACL für die Cryptomaps wie z.b. access-list test permit ip 172.67.110.0 255.255.255.0 host x.x.x.x Jetzt ist es aber so das host x.x.x.x aber nicht auf unser netz zugreifen soll sprich aufs 172.67.110.0 sondern nur unser auf das fremde Netz. Ich habe an eine Access-list mit einem established gedacht sodass nur zuvor vom 172.67.110.0 Netz aufgebaute Verbindungen vom fremden Netz zurück dürfen. Nur leider weiss ich nicht wie ich das auf der PIX mache irgendwie kennt er denn established befehl in der ACL nicht. Danke im vorraus Gruß Dirk

Guten Morgen, was geht denn genau nicht? Als erstes würde ich mal schauen ob das ATM Interface up ist sprich ob der DSL sich synchronisiert hat. Wenn ja gucken ob der Dialer eingwählt ist. Gruß Dirk

Mit "crypto map outside_map 20 set pfs" kann man doch noch die DH Group in der Phase 2 angeben sehe ich das richtig? Gruß Dirk

Hallo, klar warum sollte Cisco das nicht unterstützen. Habe auch schon viele IPsec Verbindungen zu anderen Routern wo nicht Cisco drauf steht konfiguriert. Was hängt denn auf der Gegenseite?

Hallo, hat sonst Jemand noch eine Idee ;) ? Danke im Vorraus

Hallo, wir haben hier eine PIX 515e für VPN (IPSEC) Verbindungen. Wenn ich den Befehl show crypto engine absetzte erhalte ich folgendes: Crypto Engine Connection Map: size = 8, free = 4, used = 4, active = 4 Heisst das jetzt das ich nur noch 4 IPSEC Verbindungen aufbauen kann? Unter show version sagt er mit aber IKE peers: Unlimited Gruß Dirk

Hallo, wie sollen die VPN Verbindungen aufgebaut werden? Wird das eine site to site Verbindung? Welche Router dafür nutzt du? Gruß Dirk

Hallo, ist auf Rechner 2 auch die Remoteverbindung freigegeben sprich das andere Clients sich Remote per RDP verbinden dürfen? Gruß Dirk

Hallo, ja ich habe es jetzt auch so gemacht das ich die IPSEC Verbindungen von den Außenstellen zu der Zentralle aufgebaut habe. Zusätzlich habe ich an jede Lokation das Inet frei gegeben sodass sie alle über Ihren eigenen DSLer surfen und nicht die Bandbreite der Zentrale belasten. Läuft aber alles gut ;) Danke für die Hilfe Gruß Dirk

Und wie müsste ich das machen mit einer ACL?

Hallo, würde es mit der Config klappen? Oder habe ich was mit nat oder so vergessen? Wie mache ich das der Cisco Router der DNS Server der Clients ist ohne das ich in der Config einen externen DNS Server angeben muss. interface Vlan1 ip address 192.168.105.10 255.255.255.0 ip nat inside interface Dialer1 ip address negotiated ip access-group WAN in ip nat outside no ip redirects no ip unreachables ip mtu 1492 encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap chap callin ppp chap xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ppp chap xxxxxxxxxxxxxxx ppp pap sent-username xxxxxxxxxxxxxxxx ppp ipcp dns request crypto map xxxxxx ip access-list extended WAN permit udp any any eq isakmp permit esp any any permit tcp any any established ip nat inside source list 1 interface Dialer1 overload ! access-list 1 permit 192.168.105.0 0.0.0.255 dialer-list 1 protocol ip permit<---- benötige ich diesen Befehl? Oder macht das meine WAN ACL kaputt? Gruß Dirk

Hallo, das sind nur 4 Kleine Standorte mit jeweils 2-3 Rechnern und in der Zentrale einen Server wo drauf gearbeitet wird. Nen Proxy ist dort nicht vorhanden dafür ist auch kein Geld da ;) Also wie könnte ich es mit den entsprechenden mitteln sicher lösen? Ich würde jetzt hingehen und auf die ACL die auf den Dialer gebunden ist ein "permit tcp any any established" Gruß Dirk

Hallo, wir haben mehrere Standorte die im Moment nur per IPsec / GRE miteinander verbunden sind. Auf dem Dialer habe ich eine ACL angelegt die im Moment nur die VPN-Verbindung erlaubt. Jetzt möchten alle Standorte über Ihren Anschluss dennoch ins Internet. Wie mache ich dies einigermaßen sicher? Wäre es sicher wenn ich die ACL erweitere durch z.B. "tcp any any establisched" sodass nur aufgebaute Verbindungen wieder zurück dürfen? Es handelt sich um Cisco 876 Router Hier mal die Config: interface Dialer1 ip address negotiated ip access-group WAN in no ip redirects no ip unreachables ip mtu 1492 encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap chap callin ppp chap xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ppp chap xxxxxxxxxxxxxxx ppp pap sent-username xxxxxxxxxxxxxxxx ppp ipcp dns request crypto map xxxxxx ip access-list extended WAN permit udp any any eq isakmp permit esp any any Gruß Dirk

Hallo, die Umgebung sieht ein wenig anders aus als ich beschrieben habe. IPSEC wird zu einer PIX 515E abgeschlossen und der GRE Tunnel auf einem Cisco 2600 hinter der PIX. Jetzt spiele ich gerade ein wenig mit den Lifetimes rum. Die Pix läuft im Aggressiv mode da die Außenlokation ein ADSL-Anschluss ist. Wie setze ich die Lifetime in der Phase 2 "crypto map test set security-assosiation liftetime seconds 3600" funktioniert nicht kennt er nicht. Gruß

Der Bintec baut die Verbindung auf. Bintec hat einen adsl anschluss der Cisco läuft im agressive mode. Dir Lifetimes stimmen überein. Gruß Dirk

Hallo zusammen, hat schon jemand von euch versucht einen Bintec Router mit einem Cisco Gerät per IPSEC und GRE anzubinden? Habe hier einen Bintec VPN Access 5 der an einen cisco 2600 angebunden werden soll. Der Tunnel steht auch nur bricht in unregelmäßigen Abständen für mehrere Stunden zusammen und kommt dann wieder. Manchmal aber auch nur für 10 Minuten also völlig seltsam. Es muss irgendwie an dem Bintec Router liegen da auf dem cisco2600 mehrere VPN Tunnel abgeschlossen werden und diese laufen ohne Probleme. Auf den Bintec VPN Access 5 verwende ich die neuste Software V.7.4 Rev.1 (Patch2). Gruß Dirk

Hallo, bei einer MAC-Authentifizierung müsste man sowieso eine Zentrale Authentifizierungstelle (Radius-Server) einrichten worüber man dann natürlich zusätzlich noch eine Passwort abfrage einrichten könnte. Ohne einen Radius-Server müsste ich die MAC-Adressen auf jeden unserer Switches bekannt geben. Aber generell die Sicherheit von VLANs dort wird ja eine zusätzliche VLAN ID in dem Ethernetframe geschrieben dadurch wird das Paket ja in das entsprechende VLAN gepackt. Könnte man sich irgendwie selber Pakete mit entsprechenden ID's erstellen um sich so Zugriff zu verschaffen? Gruß Dirk

Hallo, wir haben bei uns einige statische VLANs (Layer 1 VLANs) im Netzwerk eingerichtet. Worüber auch teilweise ganz normale Internetanschlüsse über VLANs laufen. Meine Frage ist jetzt einfach wie sicher sind statische VLANs? In wie fern sind VLANs angreifbar sodass sich Jemand Zugang zu allen VLANs verschaffen würde? Wäre Layer 2 VLANs sicherer sprich das über die MAC-Adresser der Endgeräte entschieden wird in welches VLAN das entsprechende Engerät kommt. Oder sollte man besser für ein Internetnetz seperate Netzwerktechnik aufbauen? Gruß Dirk

Hallo, ich verwenden OpenVPN 2.0.9 habe mir dann gerade mal testweise OpenVPN 2.1_rc4 installiert funktioniert aber garnicht. Es kommt immer die Meldung das kein Tap 32 Adapter hinzugefügt wurde obwohl ich einen hinzugefügt habe. Naja vllt. auch noch nicht ausgereift keine ahnung ;) Achja auf dem Vista Notebook bin ich administrator also dürfte ich dafür doch Rechte haben. Gruß Dirk

Keiner eine Idee?

Hallo, beim Verbinden vom einem Vista Client mit Openvpn wird nicht automatisch die passende Route eingetragen. Wenn ich die Route statisch setzte klappt es. Ist euch sowas bekannt? Mon Sep 10 12:36:18 2007 Peer Connection Initiated with xxxxxxxxxxxxxxxx Mon Sep 10 12:36:19 2007 ROUTE: route addition failed using CreateIpForwardEntry : Ein oder mehrere Argumente sind ung³ltig. [if_index=12] Mon Sep 10 12:36:19 2007 Initialization Sequence Completed Gruß Dirk

Gibt es nmap denn nur für die Kommandozeile oder auch als eigenständiges Programm?