Otaku19

imho nein, encryptiondomains haben direkten Einfluss auf die SAs. Du musst also eine ACL schreiben und in der crypto map matchen: access-list VPN deny ip "lokalLAN" "Ausnahmeziel" access-list VPN permit ip any any crypto map TUNNEL_ZUR_ZENTRALE 10 match address VPN wobei ich mich grade frage ob das mit dem any any dann überhaupt hinhaut, bzw ob die zentrale dann genauer spezifizieren darf was in der Aussenstelle ist. ip any any ist aber so und so nicht zu empfehlen,vermut emal du hast da eh schon irgendwas genaueres drin

ohen den enrsprechenden configteilen die du da eignestellt hast wirds ein ratespielchen

seriell wird auch heutzutage noch oft eingesetzt, Frame Relay over ATM zB. aber ich mich am Anfang das gleiche gefragt...da stekc ich nun ein serielles Kabel an und dann weiter ? Tja, dan weiter kommt n Modem vom ISP :) Wobei immer mehr ISPs auf Ethernetübergabe umsteigen.

Shortcut Redirect - Cisco Systems :)

das denke ich nicht tim: "NAT ist aktiviert, so dass alle Client die gleiche IP haben." = dynamic PAT

was ist ein "normaler" DSL Anschluss ? gehe ich richtig der Annahme das damit ein Anschluss gemeitn ist wo jemand mit dem PC direkt einwählt und so eien offiziöse IP direkt am Rechner hat ? Dann liegt das Problem am dynamic PAT, das müsste man dann auf static für ein paar Cleints umkonfigurieren + evtl inspection sofern für das Protokoll vorhanden,ansonsten bleibt einem nur mehr über entweder alles freizugeben (sehr schlecht) oder eben zu erwartende Portbereiche (weniger schlecht, aber immer noch *****)

DSL: DSL Configs suchen und testen, gibts wie Sand am Meer Forward: static NAT machen DHCP: Conf t service dhcp ip dhcp pool rofl ? und sich da rauspicken was du alles via DHCP mitgeben willst VPN: Was willst du da ? RA auf den Cisco ? Vom Cisco weg eien Tunnel irgendwohin ?

da must du schon genauer werden: soweit ich verstanden habe macht der Router dynamic PAT ? was genau tut denn die Software wenn sie eien verbindung aufbaut ? Werden evtl irgendwelche Ports ausgehandlet? Wie erfolgen die Antworten ? access-list ingress auf dem Interface das Richtung LAN geht entsprechend konfiguriert ? access-list egress auf dem Interface Richtung Internet evtl vorhande und entsprechend konfiguriert ?

nur dürfen die dir die Rechner meist nur ohne Platten geben :)

so kanns auch nicht klappen...was du brauchst ist eine dynamic NAT config: nat (inside) 1 10.10.1.0 255.255.255.0 global(dmz2) 1 interface aber wie gesagt, warum müssen die Adressen übersetzt werden ? Das bringt ausser zusätzlichen Aufwand für die ASA genau nix, das würde man nur machen wenn es nach der DMZ noch irgendwie weiter geht und dort das interne Netz nicht bekannt ist.

einfach logisch denken, du meinst sicher in einer ACl die am utside interface ingress gebunden ist. Welche IP steht da da als Destination drin ? die offizielle IP die das gegenüber wahrscheinlich von irgendeinem DNS hat oder eine private Adresse die weder geroutet wird noch das gegenüber von irgendwoher wissen kann

jetzt weißt du auch warum man im Netzwerk dann immer von diesem "elenden Windows Mist" spricht wenn da zig verschiedene Ports aufgerissen werden :) aber der "elende SAP Mist" ist noch viel schlimmer ;) ein Hoch auf auf object-groups !

das nat muss sich schon auf das inside interface beziehen....das muss dir aber auch schon die Konfiguration vom "internetzugang" sagen. Aber warum machst nicht eine NAT exemption für diesen Zugriff ?

ich glaube du verwechselst da stacking mit failover Paare...was soll den da "gespiegelt" werden ? Ein Stack ist einfach ein logischer Switch, nichts weiter. Daher empfihelt es sich auf allen beteiligten Geräten gleiches IOS/Featureset zu verwenden. Wa sman allerdings sehr wohl machen kann ist zB eine Mischung auf 3750 und 3750G

ja, mach konsistente IOS Versionen.Insbesondere wenn es sich um einen stack handelt.

aber man kann doch mittels MPF angeben welche IPs man über das CSC schickt ?

Weißt du vielleicht welchen Ansatz das CSC für Antispam verwendet ?

was kann man damit denn alles anstellen ? Stell mir vor das ich mit dem CSC activeX/java genauer rausfiltern kann (und nicht nur auf IP Adressen/ports wie es die ASA "alleine" kann), aber wie kann man das auf User runterbrechen ? Müssen sich die erst irgendwie anmelden bevor sie surfen können ? Was ist da der Vorteil gegenüber dem Ansatz einen Proxy herzunehmen der im Grunde nicht viel darf und für alle die spezielle Dienste brauchen eben ein "direktes" NAT über die ASA zu schalten ?

hm...keine ahnung...evtl. könnt eman als peer eine IP nehmen die über mehrere WAN Verbindungen erreichbar ist (also irgendeine Loopback drüben zB) verwenden und dann müsste man die crypto-map auf allen möglichen egress Interfaces binden ? Hab ich allerdings noch nie konfiguriert,könnte mit diesem ansatz also garnicht klappen oder auch bös ins Aug gehen :)

ne, über die ACL wird ja geregetl was in den tunnel soll oder nicht. Mit IP des Gegenübers meine ich natürlich die IP die über das offizielle Netz erreichen kannst...also quasi die "WAN IP" dort drüben

peer IP ist die IP des gegenübers

achso, ich bin davon ausgegangen das du weisst wie man das auf Cisco macht :) IKE Phase 1: Router(config)# crypto isakmp policy 1 Router(config-isakmp)#*authentication pre-share Router(config-isakmp)#lifetime 86400 Router(config-isakmp)#encryption aes 128 Router(config-isakmp)#hash sha Router(config-isakmp)#group 2 Router(config-isakmp)#exit Router(config)#crypto isakmp key blabla address 192.168.1.1 (<-Peer IP) IKE Phase 2 Router(config)#crypto ipsec transform-set MYSET esp-aes es-sha-hmac setzt ESP mit SHA Hash und AES ein Router(cfg-crypto-trans)#exit Router(config)#accesslist 101 permit ip source destination (legt den interesting traffic für IPSec fest) Router(config)#crypto-map MYMAP 10 ipsec-isakmp Router(config-crypto-map)#set peer 192.168.1.1 Router(config-crypto-map)#set transform-set MYSET Router(config-crypto-map)#match address 101 Router(config-crypto-map)#exit Router(config)#interface fa0/0 Interface Richtung IPSec Peer Router(config)#crypto map MYMAP das sollte so passen

hm, gute frage ob man dafür am 6500er nicht ein zusätzliches Modul benötigt ? Wenn, dann rennt das wie auf jedem IOS Router auch, via ACL wird dann festgelegt was in den Tunnel kommt, fertig.

das kann beim besten willen die beiden Leitungen nicht mal annähernd gleich auslasten. Und wenn, dann ist das grade Zufall. Dem Roputer ist es auch gleichgültig ob die Destination IP grade oder ungrade sind, wüsste auch nciht wie man das in einer route-map eintragen könnte um das manuell zu machen...weil s jan sich vollkommener Unsinn wäre. und wie schon gesagt, sehr kleine Bandbreiten bei outgoingtraffic können auf der einene Leitung auf sehr wenig retourtraffic verursachen...aber ebenso massenweise traffic anfordern den man dann nicht beeinflussen kann. ist dann halt fraglich ob der Router das mitbekommt und weitere Requests auf die andere Leitung rausschiebt...imho tut er das nicht, der wird weiter brav das aufteilen was von innen nach draussen geht

hast du das jetzt mti dieser split tunnel ACL gelöst ?