Otaku19

dann einfach natten, fertig

ein DNS hat auf einer Firewall nichts, aber auch wirklich garnichts zu suchen.

eigentlich nicht, es gibt ne minimalistische hilfe und autovervollständigung. Alles andere ist herstellerabhängiger Syntax den man im Fall von Cisco ausführlichst online und ohne Login nachlesen kann

die können ja auch nen dreck gegen Cisco....abgesehen davon kannst du keine Switches mit Routern vergleichen , kann auch nicht sagen das die Extreme häusln kein EIGRP verstehen :D

evtl auch noch ACLs für den Zugriff an sich anpassen, je nachdem wie die pix konfiguriert ist :) Wenn man das ganz schlau macht, dann gibts dafür object-groups die in den crypto und den "zugriffs" ACLs verwendet werden und natürlich die gleichen zugriffe benötigt werden :)

o doch, die müssen "quasi direkt" verbunden werden, willst ja schließlich sicher state tables übertragen können, dazu wird ein dezidierter Link benötigt. Im Normalfall reicht dazu aber der 100mbit Managementport aus, auch als LAN failover link. IIRC muss dann aber ein Switch dazwischen sein...weiß nicht mehr genau

wenn der link zwischen ASA und Switch1 nix mehr tut, dann erkennt die ASA das und kann umschalten, schließlich sieht die aktive ASA keine Meldungen mehr von der standby ASA auf diesem LAN interface. Zu den Servern durchgehend die Verbindung prüfen könnte man mit ip sla ? Glaube das lässt sich doch auch so einbinden das es die ASA zum umschalten bewegt. Nur muss dann der Server ebenfalls diesen Interfacefehler detektieren und auf sein backupinterface umschalten

@blackbox ich sehe hier kein problem, welcher Link soll denn down gehen (oder einfach keine Daten transferieren) um Probleme zu verursachen ? @xunil so wie dein plan hier aussieht sind DMZ und Applikationsserver nicht am selben Switch...welchen Sinn würde heir also ein Trunk ergeben ? Du könntest vielleicht noch Appliaktion und Datenbaknserver in 2 Netze (aber am gleichen Switch) trennen. Dazu muss halt erhoben werden ob das die Appliaktion "verträgt". ich sehe auf der ASA 4 Links, der Link zwischen beiden ASAs kann zB das Managementinterface sein. Du schreibst allerdings noch nicht welches Modell du da genau hast

also sollte man auf den beteiligten Switches gratuitous ARP nicht deaktivieren ? das geht ja nur global für den ganzen Switch

der hängt doch eh an 2 Switchen dran die jeweils miteinander und an beiden FWs dranhängen

hast du dann auch die IP des LAN Clients geändert ? Gibts vielleicht ein paar ACLs am VLAN interface ?

failovermessages gehen über alle LAN Interfaces

trunken: ja, sofern das kein bandbreienproblem gibt. Aber sicher nicht DMZ und Application/Datenbank VLANS auf allen Switches :) Wenn du eh schon 4 Switches hast, dann mach die Anbindung genauso wie auf der zeichnung. Ob dann Application un Datenbankserver im gleichen VLAN sind oder nicht ist wohl Geschmackssache und hängt sicher auch von der Anwendung ab

sidn das dann 2 zeilen ß muss dazu schon explizit irgendwas auf v6 konfiguriert sein ?

wo denn ? screenshot ?

was sind denn das für regeln ? Rufst du vielleicht sh run all auf ? Welche OS Version st das ? auf 5510 und 540ern wäre mir sowas nicht aufgefallen

Damit sieht man ob zu peer sowieso SAs offen sind...wobei, das ist auch irgendwie dämlich, angenommen du hats da eine mehrzeilige crypto ACl mit vielleich noch n paar gut gefüllten object-groups drin und ein Grossteil davon benutzt den Tunnel grade wird die Ausgabe recht lang, denn für jede "benutzte" zeile der ACL gibts eine SA

gibts sicher ne mib die einem sh crypto ipsec sa peer x.x.x.x abrufen kann würde ich mal tippen

einfach q drücken bei der ausgabe, dann mochmal enter und schon kannst du wieder was eingeben

wäre da nicht ein tacacs angenehmer ? da lässt sich dann auch jedes kommando authorisieren, das geht via radius afaik nicht. Den tacacs kannst ja auf der gleichen Maschine laufen lassen

per user natürlich bei einem client VPN, nicht ein User der sich in einem Netz befindet das per L2L angebunden ist

bei VPN hat man halt so seine Möglichkeiten wie man das umsetzt was du möchtest, das kann man direkt an der outside ACL machen oder eben per User regeln

jo, so haben wir das gelöst, wir lassen überall echo und replay druch, sonst kein icmp. sollte die ASA/Pix wengier perfomance kosten als über inspects zu arbeiten, afaik ist icmp in der default config auch nicht drin bei den inspects

Echo reply wird da geblockt, inspect icmp evtl nicht eingeschaltet ? policy nicht gebunden ? it welchem OS läuft die Box denn und wie lauten die relevanten configteile ?

Funkt normalerweise völlig problemlos. Allerdigns gibts alte Cisco devices die zB nur sntp kennen und das auch nur als Client iirc