Otaku19

welches OS hast du ? denn wenn ich da sehe: http von any auf intern ziel ip dann ist die entweder outgoing richtung Server gebunden oder wir reden hier von 8.3. Glaube beim Routing sollte es keine Probleme geben, die ASA sollte dei Antwortpakete über Fastpath wieder aus dem richtigen Interface rausblasen, da hilft capturen immer um das genau festzustellen

sollte problemlos möglich sein, was sagts logging/debug ?

da würde sich ein Routingprotokoll empfehlen :)

ich arbeite bei einem riesigem Konzern, das tut aber nichts zur Sache, das betrifft alleine einen (grossen) Kunden von uns. Ich will damit ausdrücken das das meiste eh Richtung Backup geht (und bis zum Tag X dort bleibt), aber es kommt eben sehr oft vor das man was wieder benötigt.

tjo, solche Dinge gibts bei uns am laufenden Band, hrhrhr. Auch wenn das Wortspiel einen Witz vermuten lässt, aber ja, das wird tatsächlich gemacht, irgendwelchen Datenbestände von vor 2 Monaten auf eine Testmaschine zurückspiegeln etc. ich sage mal beim backup läuft 95% des Traffics Richtung Backup, aber die 5% die retour müssen sind dann oft so kritisch das es ziemlich ungemütlich werden kann wenn die nicht aus dem Hut gezaubert werden können

kommt auf die Wichtigkeit der Daten und das Budget an...das zwischen den beiden oft keine gutes Verhältnis herrscht wissen wir alle aus der Praxis :)

da wirst du ein dynamisches nat hinzufügen müssen nat (inside) 1 SSL-Server (INTERNE IP) global (outside) 1 externalIP und dann eben deien inside ACL, da muss auch die interne IP des SSL Servers hin

wer war hier eigentlich schneller ? Cisco mit vpc (da weiß ich nciht ob das nur zu FEXen geht oder auch zu anderen Switchen, ich sage aber mal ebenfalls nur zu FEXen und Endgeräten) oder HP ?

könnte man die Disken innerhalb des Storage immer noch spiegeln...aber wenn das NAS dann entsprechend zerstört wird sind dann erst recht alle Backups weg. Und wie immer, die brauch tman genau dann wenn sie nicht da sind -_-

pf, bei allem wo dei ASA verkrüppelt worden is gegenüber einem Router...sowas wäre in 2 Zeilen erledigt :D

komisch , ich habs verstanden :) denke auch das du mit einem reinem VPN Device besser fährst, auch wenn das dann das Aus für Cico bedeutet. Bei einer grossen ASA zahlst du sonst zig Features mit die du dann eh nicht benutzt

Catalyst 3750 Switch Software Configuration Guide, 12.2(25)SED - Configuring IEEE 802.1x Port-Based Authentication [Cisco Catalyst 3750 Series Switches] - Cisco Systems Die cisco Seite ist in solchen Fällen immer die erste die man besucht

oh mann...vor lauter CBT Nuggets gucken ganz die Zeit vergessen...aber die Äuglein fallen schon zu, es ist ja mittlerweile auch schon spät geworden, schon fast halb Mitternacht...für einen seit kurzem 30 Jährigen ist es da schon allerhöchste Eisenbahn an der Matratze zu lauschen. aber noch schnell paar höchstwichtige Files auf die Platte für die Kollegen morgen schieben,das geht sich grade eben noch aus. Licht aus :)

also ein eigenes device rein für allerlei remote unsinn, jo, bei grösseren Setups durchaus üblich, haben wir sogar selber so im Einsatz. Allerdings sind Konzentratoren schon lange weg vom Fenster und ne ASA nur deswegen hinstellen (vor allem eine die die genug VPNs verträgt siehe Cisco ASA 5500 Series Adaptive Security Appliances Models Comparison - Cisco Systems) kommt einen doch relativ teuer.

ok, dann bestätigt das meine theorie mit dem down gehen...wobei, eh logo, der CAM table Eintrag verschwindet und wenn du dein laptop dranhängst ist das wieder die erste mac adresse die der switch dort lernt. Ohne sticky würde man es zB verwenden um zu verhindern das jemand einen eigenen Switch oder Hub dranhängt und gleichzeitig mit mehreren Geräten den Port verwendet es einem prinzipiell egal ist welches Gerät angeschlossen wird so lange es nur eines ist. Prinzipiell ist das natürlich keine schlechte Sache und besser als nichts, aber 802.1X ist state of the art für solche Dinge (und dynamisches VLAN assignment ist ja auch ne nette Sache)

hm, weiß nicht ob ein up/down am interface nicht gleich den counter zurücksetzt, versuchs mal mit sticky, da sollten die MAC Adressen ja in der config aufgenommen werden. Das Interface müsste dann bei der 3. mac dicht machen.

und nach welcher "Logik" wird dann diese "default PAT Ip" hergenommen ? @Alien warum: access-list 101 permit icmp 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 permit icmp 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 und nicht access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 ?

tja dann -> RA VPN bleibt am outside :)

und was genau davon funktioniert nicht bzw wie festgestellt ?

hm, merkwürdig...würde ich über route-maps lösen

ne, dafür hat er ja ein eigenes VPN Interface :) hat wohl outside und VPN je ein anderes offiziösses Netz nach draussen :) War wohl gedacht um RA/Tunneltraffic komplett getrennt abhandeln zu können

von welchen Fahrtkosten ist denn jetzt die Rede ? 100€ für was genau und pro ? Wenn das pro Monat wäre und für eien regulären Job...dann zahlst die selbstverständlich du von deinem Gehalt udn da bist du mit 100€/Monat eh noch gaz gut bedient :)

aber auch viele der Profilösungen sind nicht einfach so freistehend, da gits immer irgendwelche Bühnen,Vorhänge rundherum etc.

aha, das ist ohne einer CA, verstehe...nur leider kann ich dir damit nicht weiterhelfen,hier wird auch was drüber geschrieben: http://packetlife.net/blog/2009/jan/14/isakmp-associations-using-rsa-keys/

wenn es keinerlei ACLs gibt und zwischen den VLANS geroutet wird, dann ist es dem Gerät VÖLLIG egal was da transportiert wird. Bitte immer Basic Dinge wie OSI Modell im Kopf behalten und sich nicht in irgendwas verrennen.