Whistleblower

Hi,

ich plane gerade eine Domänenstruktur neu, und stehe jetzt vor der Frage, wie ich am sinnvollsten die zwei Standorte einrichte.

Beide Standorte sind über ein VPN (ADSL 16MBit/512kBit) verbunden.

Bisher gab es nur einen DC am Hauptstandort und mit Ausnahme eines zweiten DHCP-Servers in der Zweigstelle liefen auch alle weiteren Dienste dort zentral.

Zukünftig sollen möglichst beide Standorte einen eigenen DC haben und sich im Problemfall auch gegenseitig ersetzen können.

Weitere Aufgabenstellung wäre, dass die Clients Standortbezogene Einstellungen (abhängig vom IP-Netz) erhalten, also z.B. den nächsten WSUS-Server nutzen und nicht den des anderen Standorts.

Wie sind Eure Empfehlungen für solche Umgebungen? Die Userzahl ist mit ca. 20 Clients insgesamt eher gering.

Nimm doch mal %PROGRAMFILES%. ;)

Oops, ja logisch, mein Fehler! Aber auch damit zeigts keine Wirkung...

auch %systemroot%\notepad.exe wird nicht ausgeführt...

Wenn ich mir das Logfile auf dem Client ansehe (UserEnv.log) kann ich auch sehen, dass die Werte 1:1 in die Registry geschrieben werden.

Kann der Client mit %systemroot% oder %programfiles% in der Registry evtl. nichts anfangen? Ansonsten funktionieren diese Systemvariablen ja auf dem Client (z.B. cd %programfiles% wechselt nach C:\Programme)...

:confused:

Werde nochmal prüfen, was in der Registry steht, wenn ich im GPO "C:\Programme\..." angebe...

UPDATE:

Dann funktionierts wieder wie erwartet, und in der Registry steht dann auch "C:\Programme\..." Damit kann ich eigentlich auch leben, aber in Umgebungen mit verschiedenen Sprachversionen wäre %programfiles% schon hilfreich... Wo liegt der Fehler?

Okay, war noch kein SP2 drauf... Jetzt klappts auch mit der Filterung :-)

Habe jetzt allerdings festgestellt, dass dass BGInfo wohl aus einem anderen Grund nicht lief - RPC ...

Wenn ich in der GPO den lokalen Pfad auf dem Server ( C:\Programme\BGinfo\bginfo.exe) angebe, startet BGInfo auf dem Client. Wenn ich z.B. %programs%\bginfo ... angebe, startet BGInfo nicht... Fehlt also irgendwo der Zugriff via RPC :-( Wo kann ich das noch einstellen?

Klick mal mit Rechts auf Administrative Vorlagen > hier sollte es Ansicht geben.

Genau das fehlt bei mir ja... Muss morgen nochmal checken, welches SP drauf ist... auf nem anderen Server habe ich die Ansicht auch ... :suspect:

okay, die Vorlage kann ich hinzufügen, aber ich kann die Ansicht nicht anpassen:

Ansicht -> Filterung -> „Haken“ entfernen bei => 
Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen

Die Auswahl "Ansicht" gibt es bei mir gar nicht... ?

Hi,

ich habe auf unserem Test-DC (2003 Enterprise) ein GPO "BGIngo Autostart" angelegt, und unter "Benutzerkonfiguration\Administrative Vorlagen\System\Anmeldung" die Option "Programme bei Anmeldung ausführen" aktiviert.

Hinzugefügt ist der Eintrag "%programfiles%\BgInfo\Bginfo.exe /nolicprompt /timer:0". bginfo liegt auf dem Client im entsprechenden Verzeichnis.

Leider tut sich auf dem Client aber nichts, andere Einstellungen von der GPO greifen aber (z.B. Einstellungen für Bildschirmschoner). Auch ein Eintrag "%systemroot%\notepad.exe" wird nicht ausgeführt.

Wo kann ich noch mal einstellen, das evtl. Fehler beim Ausführen der GPO ausführlich mitprotokoliert werden?

Kein Problem, dann nehm ich nen anderen 1751/21er... :-)

Ist kein kritischer Einsatzbereich und wird sowieso permanent überwacht, deswegen wirds jetzt ein 1721.

Hallo,

kann mir jemand sagen, was man für ein kleines VPN (max. 2 gleichzeitige Clients) besser nehmen sollte: eine in die Tage gekommene PIX 501 (6.3(5)) oder lieber einen 1751 Router mit 16/96MB und IOS Version Version 12.4(12) (Advanced Security)?

Ich habe hier beide Geräte zur Auswahl...

Für das VPN steht ein 2000er DSL mit fester IP (bei PPPoE) zur Verfügung.

Wichtig wäre die Firewall-Funktionalität, um alle möglichen Angriffe vom Internet zu unterbinden. Genutzt werden soll ausschlließlich die VPN-Verbindung, d.h. keine DMZ und keine weiteren Ports von extern erreichbar. Innerhalb des VPN ist die Firewall eher zweitrangig.

ISDN-Backup kann leider nur der 1751 (BRI-Modul ist vorhanden), ist aber kein Muss.

Max. VPN/Firewall-Durchsatz ist auch unbedeutend, würde mich aber trotzdem interessieren, wenn jemand die Daten ungefähr im Kopf hat... :-)

Hoert sich irgendwie nach nem lokalen Echo oder so an, das die Kommandos von Putty direkt interpretiert werden.

Hm, hab jetzt nochmal Telnet auf dem Router aktiviert, fliege dann aber trotzdem raus. Und das sowohl bei putty als auch über Windows Telnet...

Ist das mit dem ssh source-interface evtl. falsch?

Hallo zusammen,

vielleicht habe ich heute Tomaten auf den Augen, aber irgendwie komme ich hier grad nicht weiter..

Ich logge mich über putty per ssh auf einem Cisco Router ein, und möchte von dort ebenfalls per ssh weiter auf ein anderes ssh-fähiges Device.

Sobald ich

ssh -v 2 x.x.x.x

eingebe, fliegt meine ssh-Session zum Cisco wieder weg... :confused:

Mein ssh source-interface ist schon auf das lokale interface eingestellt...

Warum kollidiert die neue ssh-Session mit der bestehenden? Und vor allem - wie kann ich das vermeiden?? :D

Hm, QoS macht ja eh nur Sinn, wenn die Gegenseite auch QoS kann... Und da dort auch noch ein 871er steht, fällt QoS wohl eh erstmal flach...

Stellt sich nur die Frage, reicht eine kleine 5505 ASA, oder doch besser eine 5510er... Oder in der Mitte (preislich) ein 1841 Router.... Hm, muss ich wohl noch mal im Detail recherchieren

Das Thema Router vs. ASA interessiert mich auch...

Wir müssen unseren 871 mittelfristig durch leistungsfähigere Hardware ersetzen.

Anforderung an die neue Hardware wären dann:

- Aufbau von IPSec-VPNs (mind. 5 Tunnel mit festen IPs, gerne AES)

- zus. IPSec-VPN zu Außenstellen mit dyn. IP (ohne DynDNS)

- zus. Unterstützung von VPN-Clients (ca. 10, davon 5 gleichzeitig)

- vernünftige Firewallfunktionalität

- Möglichkeit für DMZ

- volle Nutzung einer 16MBit ADSL-Anbindung (auch bei aktiver Firewall)

- funktionierendes QoS auf Dialer wäre ein Hammer...

Von den Funktionen können wir das momentan mit dem 871er abbilden. Dynamische L2L-Tunnel und zeitgleich (!) Unterstützung von VPN-Clients zu ermöglichen war etwas tricky (geht nur über keyrings), funzt aber wunderbar.

DMZ nutzen wir z.Zt. noch nicht, ließe sich aber auch umsetzen.

Und QoS auf dem Dialer-Interface geht ja leider weder bei den 87x noch bei den 18xx, soweit ich das prüfen konnte und hier mitverfolgt habe... :-(

Wie siehts da mit einer ASA aus?

kontrolliere das wan interface, ob du kollisionen oder so hast.

Habe ich übrigens gecheckt - von der Seite sieht alles sauber aus. Solche Probleme kenne ich sonst auch nur vom WIC1ENET Modul bei den 1700er...

Also vermutlich doch eher ein Problem des DSL-Modems...

Beim mitgelieferten Siemens DSL-Router kam ich auch i.d.R. auf ca. 12MBit downstream in der Praxis... Dann sollte es über den Cisco eigentlich auch gehen... Oder das ip inspect drückt die Performance soweit runter... Hm... Ich brauche mehr Kaufargumente für einen 1841... ;-) Wie war das noch gleich - QoS auf Dialern funktioniert da? ;-)

Laut Datasheet schafft die 870er Reiher bei 64 byte paketen 12.8 Mbit/s.

Ich denke dass ein 1841er eher geeignet ist, der schafft knapp 40 Mbit/s.

Hi,

worauf bezieht sich die Angabe, auf reines Forwarden? Oder Durchsatz bei Einsatz von ip inspect? 12.8 finde ich echt etwas mager...

Problem gefunden: Die Windows-Firewall hat die Redirects noch geblockt...

Und das andere Problem (IP-Phone, einseitige Verständigung) hat sich auch gelöst, war eine Einstellung im Tk-System...

"Add route 192.168.2.0 mask 255.255.255.0 172.16.150.254" bringt leider gar nichts...

Ich korrigiere mich: Mit dem statischen Eintrag geht es dann... Woran liegts?

Das Problem bleibt allerdings, auf dem betroffenen System kann ich nur ein Gateway angeben und keine stat. Routen

"Add route 192.168.2.0 mask 255.255.255.0 172.16.150.254" bringt leider gar nichts... Naja fast nichts - ein http-Server ist dann vom 192.168.2.0er Netz erreichbar, sonst nicht.

Aber das tracert-Ergebnis bleibt gleich.

NAT checke ich nochmal... Aber dann dürfte ICMP doch eigentlich auch nicht gehen?

NAT-Ausnahmen für extern erreichbare Webserver o.ä. gibt es nicht.

Hi,

ich kämpfe gerade mit folgendem Problem:

An einer Lokation sind 2 Internet-Gateways vorhanden.

Netz 172.16.0.0/16

172.16.1.1 als eigentliches Default-GW

172.16.150.254 als zusätzliches GW

über die .150.254 ist eine Lokation mit Netz 192.168.2.0/24 per VPN erreichbar.

Und jetzt das Problem:

Clients im 172.16.0.0 haben als Default-GW die .1.1 eingetragen.

Die 172.16.1.1 hat einen zusätzlichen Eintrag zur 192.168.2.0 über die 172.16.150.254.

Per ICMP ist alles von allen Standorten erreichbar.

Wenn ich jetzt vom 172.er Netz ein tracert auf einen Client im 192.168.2.0er Netz mache,

so sieht das ungefähr so aus:

1 <1 ms <1 ms <1 ms 172.16.1.1

2 2 ms 1 ms 1 ms 172.16.150.254

3 * * * Zeitüberschreitung der Anforderung

4 19 ms 14 ms * 192.168.2.240

5 14 ms 14 ms * 192.168.2.240

6 14 ms 14 ms * 192.168.2.240

7 15 ms 14 ms * 192.168.2.240

8 14 ms 14 ms * 192.168.2.240

...

30 14 ms 14 ms * 192.168.2.240

Ablaufverfolgung beendet.

Irgendwo steckt da im Detail noch ein Problem, sonst müsste er ja bereits bei 4. die Ablaufverfolgung beenden... Wahrscheinlich hab ich nur Tomaten auf den Augen.. grummel...

Der hat ein Backup ISDN.

Tatsächlich? Man lernt nie aus... ,-)

Ich würde mal FastEthernet1 für den internen Zugang nutzen, oder ein VLAN-Interface einrichten (wenn der 837er das schon unterstützt). Der 837 ist übrigens ein DSL-Router für einen analogen Anschluss, nicht für DSL über ISDN. Über ISDN kommst Du damit also nicht ins Internet...

Link: Cisco 830 Series Secure Broadband Routers [Cisco 800 Series Routers] - Cisco Systems

Für ISDN brauchst Du entweder nen 801 (reiner ISDN-Router) oder 836 (ISDN-ADSL).

Poste bitte noch einen "sh run" und "sh int eth0".

und überprüfe dann mal die Porteinstellungen, vor allem, ob Auto-Neg und Auto-MDI/-X möglich ist. Sonst brauchst Du evtl. ein X-Over Kabel. Kann auch Probleme geben, wenn die Gegenseite Gigabit kann und auf Auto steht.

Das mit der SA ist kein Thema - die cleare ich jetzt auch schon über nen Kron-Job bei Zwangstrennung...

Hi,

 

ja, zeitgesteuerte Dialer lists... Bei nem isdn router habe ich damit 5 verschiedene einwahlnummern bedient, beim dsl-er geht das genauso...(interesting traffic)

 

 

gruss

 

rob

Stimmt... interesting traffic wurde bei ISDN ja immer gerne genommen... Hätt ich auch selber draufkommen können :rolleyes:

Dann werd ich mich gleich mal ranmachen... :-)

Hi,

wie funktionieren zeitgesteuerte ACLs eigentlich bei Cisco?

Gibt es da noch Einschränkungen?

Da ich ja leider über kron-jobs leider nicht einfach ein Interface auf shutdown setzen kann, versuche ich jetzt über time-range in den ACLs einen VPN-Zugang nur zeitgesteuert zuzulassen. Allerdings funzt das bisher nur für die "interne" ACL, d.h., den Traffic über das VPN kann ich darüber steuern. Ich würde aber gerne grundsätzlich schon den Tunnelaufbau zu bestimmten Zeiten verhindern (bzw. ein deny ip any aktivieren).

Jetzt baut er den Tunnel aber trotzdem auf, selbst wenn ich über Timerange "permit esp ..." nicht aktiv habe, und somit nur deny any greifen sollte, baut er den Tunnel trotzdem noch auf. Vor allem trennt er den Tunnel ja auch erst wieder wenn seine SA ungültig wird... Gibt's vielleicht noch einen eleganteren Weg, um jeglichen externen Traffic zeitgesteuert zu blocken und Tunnel abzubauen???