Robert Arens

Hallo, Ok. War etwas verkürzt. Mails kommen von einem Mailrelay in der DMZ. Das darf natürlich auch weiterhin Mails abgeben. Ich möchte nur nicht, dass Personen im Hausnetz einfach per Telnet Mails in die internen Postfächer legen können. Freundliche Grüße Robert

Hallo, Ich möchte verhindern, dass man per Telnet und SMTP einfach Postfächer zumüllt. Wenn ich beim Exchange 2003 Server den anonymen Zugriff verweiger, dann dürfte das doch nicht mehr klappen, oder? Vielleicht wäre es sogar besser nur speziellen Benutzer, z.B. für den Versand von Virenwarnungen den Zugriff zu erlauben. Muss ich beim Verändern der Authentifizierung des virtuellen SMTP-Servers noch etwas berücksichtigen? Outlook dürfte davon doch nicht beeinflusst sein, oder? Freundliche Grüße Robert

Guten Morgen, Eingerichtet hab ich das alles. Per Telnet auf den SMTP-Server komme ich auch. Nur ich möchte gerne mal sehen wie mich der Filter vor Angriffen schützt. So wie ich das verstanden habe prüft er Komandos und deren Längen. Aber mit einm simplen helo und zig Zeichen dahinter ließ er sich nicht aus der Ruhe bringen. Freundliche Grüße Robert

Hallo, Ich habe einen ISA Server 2006. Dort ist eine Regel für eingehenden und ausgehenden SMTP-Datenverkehr angelegt und der SMTP-Filter aktiviert. Den Haken seh ich zwar, aber ich würde gerne wissen, wie ich testen kann, ob der ISA-Server auch wirklich meinen SMTP-Verkehr schützt. Könnt Ihr mir dazu Tipps geben. Freundliche Grüße Robert

access-list 102 permit tcp xx.xx.xx.192 0.0.0.63 any eq 25 => das funktioniert *freu* Da ich ja Port 25 vom Router auf den Mailserver lege, ist es doch in der access-list egal, ob ich den Zielhost mit IP angebe, oder? Oder gibt es da noch Bedenken die ich jetzt übersehe? Danke für die Hilfestellung! Freundliche Grüße Robert Arens

Hallo, Ich habe einen 876 mit fester IP und einer statischen Route von Port 25 auf meinen Mailserver der in der DMZ steht. Klappt wunderbar. Jetzt nutze ich ein Mailrelay im Internet was zunächst die E-Mails auf Viren überprüft und mir dann die Mails weiterleitet. Es sollen also nur noch von den IPs des Providers Mails an mich übergeben werden. access-list 102 permit tcp xx.xx.xx.192 0.0.0.63 host 192.168.1.1 eq 25 Funktioniert scheinbar nicht. Sobald ich das eingebe kommen keine E-Mails mehr an. Kann mir jemand sagen wo ich den Denkfehler habe? Freundliche Grüße Robert Arens

Hallo, Ich habe folgende Konstellation: - virtuelle Maschine auf einem ESX-Server - Windows XP Pro - ein Nic hängt im Hausnetz - ein Nic soll in der DMZ hängen - Cisco VPN-Client installiert. Der NIC in der DMZ soll nur zu Wartungsarbeiten aktiviert werden. Ich will also keine größeren Löcher in unsere Firewall reißen sondern nur bei Bedarf über die Maschine in unserer DMZ an die Server kommen oder etwas aus der DMZ heraus testen. Alternativ möchte ich von dem PC VPN-Verbindungen aufbauen können was mich soweit ich das sehe mit dem selben Problem scheitern lässt. Wenn ich nun die Karte zur DMZ aktiviere komme ich nicht mehr per RDP an meine Maschine. Ich gehe davon aus, dass es an den Routen liegt und meine Pakete einfach nicht mehr zu mir zurück finden. Ich habe es mit einer neuen Default route probiert, aber bin leider gescheitert. route add 0.0.0.0 MASK 0.0.0.0 Hausnetz-Gateway Metric 3 Was kann ich tun? Freundliche Grüße Robert Arens

Der ätzende Fehler ist gefunden!!!!! => dialer remote-name meinrouter Diese Zeile ist noch ein Relikt aus der Einwahl mit einem festen Benutzer / Passwort-Pärchen. Zwar prüft der 876er brav Benutzername und Passwort gegen den Radius, aber wenn dann der Benutzername nicht dem remote-name entspricht legt er einfach wieder auf. Klasse oder? Es läuft jetzt auf jeden Fall!!!

Mit no peer default ip address passiert genau das selbe. Ohne Radius hatte ich den Benutzer so eingetragen: no ppp pap sent-username benutzername password 7 xxxxxxx

Leider nein. Ohne Radius konnte ich mich auch einwählen... Sehr merkwürdig. An der authorization kann es nicht liegen?

Fehler beim Client 619: Zu dem angegebenen Port ist keine Verbindung hergestellt. Wenn ich einen falschen Benutzernamen oder Passwort eingebe, dann bekomme ich auch die richtige Fehlermeldung dazu. Das sehe ich auch im Debugging. Nur warum lässt er mich keine Verbindung aufbauen *grübel*

RADIUS: NAS-Port [5] 6 30001 RADIUS: NAS-Port-Id [87] 8 "BRI0:1" RADIUS: NAS-Port-Type [61] 6 ISDN [2] RADIUS: Calling-Station-Id [31] 13 "xxxxxxxx" RADIUS: Called-Station-Id [30] 8 "xxxxxxx" RADIUS: Service-Type [6] 6 Framed [2] RADIUS: NAS-IP-Address [4] 6 routerip RADIUS: Received from id 1645/1 serverip:1812, Access-Accept, len 64 RADIUS: authenticator D3 BA 73 BF 64 8B 13 E8 - 03 76 E5 F9 E1 58 10 37 RADIUS: Framed-Protocol [7] 6 PPP [1] RADIUS: Service-Type [6] 6 Framed [2] RADIUS: Class [25] 32 RADIUS: 54 FB 06 34 00 00 01 37 00 01 C0 A8 64 33 01 C7 [T??4???7????d3??] RADIUS: 09 A0 1B F9 4C AE 00 00 00 00 00 00 00 7C [????L????????|] RADIUS(00000004): Received from id 1645/1 BR0:1 PPP: Received LOGIN Response PASS BR0:1 PPP: Phase is FORWARDING, Attempting Forward BR0:1 PPP: Phase is AUTHENTICATING, Authenticated User BR0:1 PAP: O AUTH-ACK id 37 len 5 BR0:1 PPP: Phase is UP BR0:1 IPCP: O CONFREQ [Closed] id 1 len 10 BR0:1 IPCP: Address routerip (0x0306C0A863FD) BR0:1 CDPCP: O CONFREQ [Closed] id 1 len 4 BR0:1 PPP: Process pending ncp packets %LINK-3-UPDOWN: Interface BRI0:1, changed state to down %DIALER-6-UNBIND: Interface BR0:1 unbound from profile Di2 BR0:1 PPP: Sending Acct Event[Down] id[4] BR0:1 CDPCP: State is Closed BR0:1 IPCP: State is Closed BR0:1 PPP: Phase is TERMINATING BR0:1 LCP: State is Closed BR0:1 PPP: Phase is DOWN

%DIALER-6-BIND: Interface BR0:1 bound to profile Di2 %LINK-3-UPDOWN: Interface BRI0:1, changed state to up %ISDN-6-CONNECT: Interface BRI0:1 is now connected to xxxxxxxxxx N/A BR0:1 PPP: Using dialer call direction BR0:1 PPP: Treating connection as a callin BR0:1 PPP: Session handle[F4000002] Session id[2] BR0:1 PPP: Phase is ESTABLISHING, Passive Open BR0:1 LCP: State is Listen %ISDN-6-LAYER2UP: Layer 2 for Interface BR0, TEI 66 changed to up BR0:1 LCP: I CONFREQ [Listen] id 0 len 50 BR0:1 LCP: ACCM 0x00000000 (0x020600000000) BR0:1 LCP: MagicNumber 0x42F375D8 (0x050642F375D8) BR0:1 LCP: PFC (0x0702) BR0:1 LCP: ACFC (0x0802) BR0:1 LCP: Callback 6 (0x0D0306) BR0:1 LCP: MRRU 1614 (0x1104064E) BR0:1 LCP: EndpointDisc 1 Local BR0:1 LCP: (0x131701E8290B5971EA4333832A8A4390) BR0:1 LCP: (0xFCA57100000000) BR0:1 PPP: Authorization required BR0:1 LCP: O CONFREQ [Listen] id 1 len 14 BR0:1 LCP: AuthProto PAP (0x0304C023) BR0:1 LCP: MagicNumber 0x1957F489 (0x05061957F489) BR0:1 LCP: O CONFREJ [Listen] id 0 len 11 BR0:1 LCP: Callback 6 (0x0D0306) BR0:1 LCP: MRRU 1614 (0x1104064E) BR0:1 LCP: I CONFACK [REQsent] id 1 len 14 BR0:1 LCP: AuthProto PAP (0x0304C023) BR0:1 LCP: MagicNumber 0x1957F489 (0x05061957F489) BR0:1 LCP: I CONFREQ [ACKrcvd] id 1 len 43 BR0:1 LCP: ACCM 0x00000000 (0x020600000000) BR0:1 LCP: MagicNumber 0x42F375D8 (0x050642F375D8) BR0:1 LCP: PFC (0x0702) BR0:1 LCP: ACFC (0x0802) BR0:1 LCP: EndpointDisc 1 Local BR0:1 LCP: (0x131701E8290B5971EA4333832A8A4390) BR0:1 LCP: (0xFCA57100000000) BR0:1 LCP: O CONFACK [ACKrcvd] id 1 len 43 BR0:1 LCP: ACCM 0x00000000 (0x020600000000) BR0:1 LCP: MagicNumber 0x42F375D8 (0x050642F375D8) BR0:1 LCP: PFC (0x0702) BR0:1 LCP: ACFC (0x0802) BR0:1 LCP: EndpointDisc 1 Local BR0:1 LCP: (0x131701E8290B5971EA4333832A8A4390) BR0:1 LCP: (0xFCA57100000000) BR0:1 LCP: State is Open BR0:1 PPP: Phase is AUTHENTICATING, by this end BR0:1 LCP: I IDENTIFY [Open] id 2 len 18 magic 0x42F375D8 MSRASV5.00 BR0:1 LCP: I IDENTIFY [Open] id 3 len 19 magic 0x42F375D8 MSRAS-1-KEN BR0:1 PAP: I AUTH-REQ id 37 len 20 from "benutzer" BR0:1 PAP: Authenticating peer benutzer BR0:1 PPP: Phase is FORWARDING, Attempting Forward BR0:1 PPP: Phase is AUTHENTICATING, Unauthenticated User BR0:1 PPP: Sent PAP LOGIN Request RADIUS/ENCODE(00000004):Orig. component type = ISDN RADIUS: AAA Unsupported Attr: interface [158] 6 RADIUS: 42 52 49 30 [bRI0] RADIUS(00000004): Config NAS IP: 0.0.0.0 RADIUS/ENCODE(00000004): acct_session_id: 4 RADIUS(00000004): sending RADIUS/ENCODE: Best Local IP-Address routerip for Radius-Server serverip RADIUS(00000004): Send Access-Request to serverip:1812 id 1645/1, len 105 RADIUS: authenticator E7 58 40 5B 7A BF 17 87 - FF 3F 1B 4B FD E9 1F 69 RADIUS: Framed-Protocol [7] 6 PPP [1] RADIUS: User-Name [1] 8 "benutzer" RADIUS: User-Password [2] 18 *

Hallo, Ich blicke langsam nicht mehr durch. Ich habe einen 876er auf dem ich eine ISDN-Einwahl ermöglichen möchte die gegen Radius prüft. Eine VPN Einwahl gegen Radius existiert und funktioniert bereits. Damit versuche ich meine Einwahl: aaa new-model ! ! aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 group radius local aaa authentication ppp default group radius local aaa authorization network sdm_vpn_group_ml_1 local aaa authorization network default group radius local ! aaa session-id common ! isdn switch-type basic-net3 ! interface BRI0 no ip address encapsulation ppp dialer pool-member 2 isdn switch-type basic-net3 isdn point-to-point-setup isdn answer1 xxxxx ppp authentication pap chap ms-chap ! ! interface Dialer2 ip unnumbered Vlan1 encapsulation ppp dialer pool 2 dialer remote-name meinrouter dialer-group 2 peer default ip address 192.168.99.200 ppp authentication pap chap ms-chap ! radius-server host 192.168.100.51 auth-port 1812 acct-port 1813 timeout 20 key 7 xxxxxxx Ich hoffe jemand kann mir etwas Licht ins Dunkel bringen. Freundliche Grüße Robert

Hallo, Wir haben bei uns jetzt einen 876er Router der in unserer DMZ steht und für das Surfen und Mailen eine Internetverbindung per DSL aufbaut. Klappt soweit sehr gut. Jetzt habe ich bisher noch einen 1600 Router gehabt mit dem ich mich ins Firmennetzwerk per ISDN einwählen konnte. Kann ich diese Einwahlmöglichkeit auch mit dem 876 realisieren? Die Konfiguration müsste dann doch in etwa gleich sein. Für einen Tipp wäre ich dankbar. Ich möchte ungern an einem produktiven Geräte Experimente durchführen :-) Freundliche Grüße Robert