Otaku19

hm, auch wenn dir das jetzt nicht weiterhilft, aber hast du JUNOS im GNS3 zum laufen bekommen ? Hab mich früher nur mit Olive beschäftigt udn es aufgegeben ;)

hm, da gabs doch mal das fasttrackprogramm letztes Jahr ? Aber da weiß ich nciht ob das nicht vielleicht nur für den JNCIA war.

Welche Lernmaterialien verwendest du denn da ? Als ich noch beim ISP war hätte ich mir auch überlegt zumindest JNCIA zu machen, wir hatten die Kisten als BGP nach draussen und als RR

nur weil man ein VLAn irgendwo hinzufügt heist das noch lange nicht das man dadurch eien Ausfall der anderen VLANs herbeiführt.

es kann auch nie schaden sich die errata auf der ciscopress Seite runterzuladen, da sind immer wieder einige fundamentale Fehler in den Büchern

was genau hat das denn mit Cisco zu tun ?! Den zusammenhang versehe ich nicht, Nagios kann allerlei Dienste überprüfen, pingen und SNMP auslesen..so was soll da jetzt nicht funktionieren ?

hab ebenfalls einfach den Certification Guide gelernt. Übungen mit dem SDM zu allen Themen sind aber dringend empfohlen

Nichts zu machen? Auf dem alten 871er funktionierte das...

Gut, dann muss ich mir eine Alternative überlegen...

Da ist nichts zu machen, das eine ist ein Router, das andere eine Firewall. Das sind 2 verschiedene Paar Schuhe

vermute mal im nagios lässt sich da was basteln das alarmiert wenn keine IP Adresse vorhanden ist ?

nein, das geht nicht

HSRP bei einem Gerät ?

Angenommen ich konfiguriere sowas:

client-update family asa component image url https://172.27.128.100/asaimages/asa7.0.bin rev-nums 7.2

client-update enable

client-update type Windows url http://172.27.128.100/vpnclient rev-nums 4.0

und ein Client wählt sich ein dessen Version zu niedrig ist, erfolgt dann der download der Software VPN gesichert ? Sprich, wird die VPN Verbindung dann ausschließlich zur internen update url erlaubt, oder muss ich eine update url zur Verfügung stellen die von aussen ohne jegliche Authentifizierung/Absicherung (von cut through proxy auf der ASA bzw Zugangskontrollen am Server selbst) erreichbar sein muss ? Beim VPN Client an sich ist das ja nicht sooo tragisch, aber bei ASA images ? Und bei nem VPN Concentrator muss das ja nochdazu tftp sein

Meiner Meinung nach sollte der tunnel an sich ja hergestellt werden können, ein ältere Client ändert ja nichts an validen Authentifizierungsdaten imho.

nicht nur das die einzelne IP unique sein muss, jedem Interface muss ein eigenes Subnetz zugewiesen werden. Aber man kann zB sehr wohl auf einem interface mehrere secondary Adressena us einem Subnetz verwenden, das hab ich schon n paar Mal im Einsatz gesehen.

In deinem Beispiel müssts du im VLAn 45 die IP ändern/löschen oder eben die secondary beim vlan 45 eintragen.

bei access-ports kannst du dem logischen vlan interface einfach eien 2. IP verpassen, zB:

interface vlan 5

ip address 192.168.2.5 255.255.255.0

ip address 172.27.128.12 255.255.255.0 secondary

So kommst du ums trunken rum, aber beide netze sind im gleichen VLAN

bitte schreib doch was denn die Netze Boaz, Eva und verwaltung sein sollen

weil du da schon 15er drauf hast...muss man da für das adv. IP jetzt einen activation key eingeben oder nicht ?

anscheinend nciht, dei 4VLANs sind schon das maximum bei einem advanced IP Image.

bei älteren IOSen waren anscheinend bis zu 6 VLANs möglich

jo, SSL ist eigentlich gscheiter...*duckundweg*

jawoll, also doch kein schleppender verfall des VPN Clients zu Gunsten Anyconnect

L3 gibts doch erst ab 3560 ?

aber is ja eben kein Problem -> Router on a stick und fertig

das mit den routen hat etwas mit dem ablauf der paketverarbeitung zu tun iirc, rein das einrichten der "Encryption domain" bringt da nichts :)

na hauptsache es funkt

route auf peer IP..zu dem muss es natürlich auch ne passende Route geben falls nicht direct connected

der betrifft auch nur die interfaces an welchen der Tunnel terminiert, nicht an den jeweiligen "inside" interfaces.

Auch immer weider eien Blick wert sind die aktuellen NAT geschichten evtl verbockt man sich da was

bei so etwas gilt es abzuklären:

passen auf beiden Seiten die Crypto ACL zusammen ? Sprich gibts für alles was du machen willst auch eine Möglichkeit einer SA ?

für ASA:

ist sysopt connection permit-vpn/ipsec aktiv oder nicht ?

falsl nicht, wurde in den ACLs alles richtig freigegeben ?

Die inspection dient in diesem Fall dazu um Antwortpakete auf eien bereits initiierte Verbindung zu erlauben, für den Aufbau muss die Verbindung eben in der jeweiligen ACL freigegeben sein oder falls keine da ist, eben das Security-level des eingangsinterface höher sein als das des ausgangsinterfaces.

Mit so allgemeinen Angaben kann dir keiner helfen, bei einer Tunnelconfig muss eben alles sitzen, einmal vertippt und das wars schon.

ichhab für CCNA S auf gar keiner Hardware rumprobiert so weit ich mich erinnern kann :) etliche Kaptiel sind eher allgemein gehalten, den SDm kann man sich im Demo mode oder via GNS "antun". Wenn du noch nicht damit vertraut bist, viel Spaß :)

kann ich mir nicht vorstellen, das ist ja ein reiner "CLI Simulator"