-= Brummbär =-

Bei Domain.loc bekomme ich keine Mails von außen. Das ist schon mal klar. Als ich aber einem Benutzer einfach die domain.loc als Absenderadresse verpasst habe, hat er keine Fehlermeldung bekommen, dass er keine Mails verschicken darf. Sie kam aber auch draußen nicht an. Es wär mir aber ganz lieb zu wissen, dass und wo dann eine Mail nach außen gestoppt wird. Der Exchange hat die Mail an den Smarthost schon mal weiter gegeben. Und dort lag nichts mehr in der Queue oder in sonstigen Ordnern. Zwischen meinem Exchange und unserem Provider habe ich einen einfachen Windows SMTP Server als Mailrelay. Aber auf dem kann ich ja auch nicht die absendenden E-Mailadressen filtern, oder doch?

Also: Benutzertyp 1: mailen intern / extern (benutzer@domain.tld) Benutzertyp 2: mailen intern (benutzer@domain.loc) Wer nichts rausschicken kann, bekommt auch erstmal nicht so schnell Mails zurück. Daher war meine erste Frage nach dem Rausschicken. Mit der Beschränkung kann ich jetzt auf Gruppenebene das Rausschicken verhindern. So wie ich Günther verstanden habe, ist eine Filterung nach @domain.loc nicht möglich. Falls doch, wäre das wahrscheinlich die performanteste Lösung. Ich hoffe jetzt ist es deutlicher geworden. Schon mal besten Dank für die unermüdliche Hilfe!

Hallo Norbert, Die Anzahl der Benutzer die nicht extern mailen dürfen ist relativ gering. Allerdings sind sie auch nur eine kurze Zeit im System und dann kommen wieder neue. Deshalb hat mich die Gruppenlösung interessiert. Dann kann ich zum einen nicht vergessen einer Person das Recht wegzunehmen und zum anderen kann ich es einfacher automatisieren. Ich bin halt aus Prinzip eher möglichst faul :-) Da der Connector aber die interne Domäne nicht vom Weiterleiten an den Smarthost abhält, muss ich wohl bei der Beschränkung bleiben :-(

Schon mal ganz herzlichen Dank. Mit der Gruppe klappt es nun. Es hat nur die E-Mailadresse gefehlt. Somit kann ich jetzt das Senden nach außen verhindern. Der Empfang von außen ist aber weiterhin möglich. Ich bin mir im Moment nicht so sicher, ob ich wirklich die Gruppe nehmen sollte, wenn selbst MS davon abrät. Wenn ich die Benutzer manuell in die Filter eintrage, dann kann ich genau so gut den entsprechenden Personen die externe SMTP-Adresse entfernen. Kann ich im Connector filtern, dass lokale Absender ( user@domain.loc ) nicht weitergeleitet werden? Das dürfte dann doch von der Performance her kein Problem sein, da keine Auflösung von Gruppen etc. erfolgen muss.

Hallo Norbert, Ich bin in den Eigenschaften vom SMTP Connector => Registerkarte Empfangseinschränkungen => Nachrichten ablehnen von Da kann ich nur Benutzer und andere Objekte hinzufügen aber keine Gruppen :-( Wie kann ich das ändern?

Guten Morgen, Wir setzen Exchange 2003 SP2 ein. Mails nach außen werden über einen Connector an einen Smarthost weitergeleitet. Ich möchte nun am liebsten anhand einer AD Gruppe Personen den externen Mailverkehr verbieten. Prinzipiell könnte ich das ja über die Empfangsbeschränkungen des Connectors machen. Aber dort kann ich die Personen nur einzeln einfügen. Gibt es eine andere Möglichkeit mit der ich das Recht an eine Gruppe binden kann? Ich hoffe, dass noch jemand einen guten Tipp für mich hat.

Hi, da ich nach außen passives FTP benutze, reicht eq ftp nicht aus, da der Switch nicht mitbekommt, dass das Öffnen der HighPorts mit zu der Anfrage gehört. Aber ich hab jetzt den Switch von der Aufgabe "entbunden" und prüfe erst an der PIX, ob ein Client per FTP raus darf. Da klappt es dann auch wieder mit eq ftp *freu* Besten Dank für die Postings. Manchmal macht man sich das Ganze einfach unnötig kompliziert.

Die Clients sind in mehrere Subnetze aufgeteilt. Der Switch filter die Ports die die Clients an den Servern erreichen dürfen. Ich weiß. Eigentlich müsste ich dafür eine separate Firewall einsetzen, aber ich bin schon mal froh, dass ich einen Layer 3 Switch habe und eine Firewall für den internen Betrieb müsste ja schon etwas mehr Durchsatz können, oder? Nach außen kommt dann der PIX und davor ein Cisco Router. Dazwischen ist die DMZ. Ich glaube der Bereich müsste soweit in Ordnung sein.

Also mit den ACLs auf dem Switch nur interne Einschränkungen vornehmen und alles was nicht intern ist komplett erlauben und an der PIX filtern lassen?

Sorry. Meinte natürlich Switch. Nee. Die Clients sollen nur auf den FTP-Server von unserer Homepage kommen (feste IP).

Hallo, Ich habe folgende Konstellation Client => 3750 => PIX => FTP-Server im Internet. Konfig in der PIX: access-list inside-i permit tcp any object-group FTP-Server eq ftp Konfig in 3750: permit tcp any host [iP_FTPServer] eq ftp => klappt nicht permit tcp any host [iP_FTPServer] => klappt Da ich passives FTP verwende müssen natürlich weitere Ports als Port 21 aufgemacht werden. Kann ich das auf dem 3750 trotzdem etwas einschränken oder fehlt dazu einfach die Firewallfunktionalität die dann die Zusammenhänge zwischen den Paketen erkennt. Ich stolper immer wieder über solche Unterschiede zwischen PIX und Router :(

Hallo, Ich habe folgendes Problem: ein XP Pro Rechner kann von anderen PCs nicht erreicht werden (PING, RDP, VNC, einfach nix :( ). Von ihm ausgehende Verbindungen stellen kein Problem dar. - XP Pro SP3 - Firewall deaktiviert / Dienst beendet => kein Unterschied - keine weitere lokale Firewall installiert - Rechner hängen im selben Subnetz => kein Problem mit Routern etc. - winsock repair und neue Netzwerkkartentreiber habe ich schon versucht - der Rechner kann sich sowohl auf dem Loopback als auch auf seiner per DHCP erhaltenen IP selber anpingen Auf der Kiste war bis gerade VMWare Server installiert. Deinstallation hat aber keinen Effekt gehabt. Ansonsten ist noch ein Cisco VPN-Client installiert. Ich hoffe es hat noch jemand einen guten Tipp für mich. Denn ich habe die Kiste gerade erst frisch aufgesetzt... :confused: – Problem gelöst. Manchmal hilft es einfach Dinge aufzuschreiben... Den Cisco VPN-Client hatte ich, weil ich ihn nicht manuell gestartet hatte nicht so auf dem Schirm. Er steht aber auch im Autostartordner. In den Konfigurationen war Statefull-Firewall angehakt *grrr*

Guten Morgen, Ich habe folgende Konstellation: - W2K Fileserver (virtuelle Maschine) - Datenplatte liegt auf unserem SAN mit SCSI Platten Jetzt haben wir zu Backupzwecken ein weiteres SAN mit SATA Platten angeschafft, das in einen anderen Brandabschnitt gepackt und per Glasfaser an die Server im eigentlichen Serverraum angebunden. Nun habe ich dort auch eine Platte angelegt und mit dem virtuellen Fileserver verbunden. Was ist nun die beste Möglichkeit, um die beiden Platten möglichst synchron zu halten, ohne zu sehr Performance einzubüßen? - Software-RAID - RoboCopy o.ä. - Synchronisationssoftware Ich wollte vorab einfach mal ein paar Ideen und Erfahrungen einsammeln.

Jo. Komisch ist das schon. Aber eingetragen habe ich die definitiv nicht. Ich kannte die IPs ja vorher nicht mal. Ich möchte jetzt ungern aus der Ferne einfach die Route rausschmeißen ohne zu wissen, warum die da überhaupt hingekommen ist.

Guten Morgen, Ich habe meine ADSL-Verbindung per ip address pppoe setroute an Vlan3 gehängt. Jetzt habe ich in der Config mehrere Defaultrouten stehen, wenn ich sh run mache. Das bei der Einwahl eine Route gesetzt wird ist mir schon klar. Aber wie kann ich die ASA dazu bringen, dass sie nach einer erneuten Einwahl die vorherige Route, wenn sie denn nicht mehr gültig ist, automatisch rausschmeißt? interface Vlan3 nameif outside security-level 0 ip address pppoe setroute

Du musst auf dem Router mit der festen IP Adresse eine dynamische crypto-map definieren. Vielleicht ist es auch besser, wenn du den Router mit der dynamischen IP wie einen VPN-Client konfigurierst und auf dem Router mit der festen IP eine VPN-Client Einwahl konfigurierst. Auf jeden fall kann immer nur der Router mit der dynamischen IP die Einwahl durchführen. Was meinst du mit: Vom Router selbst kommt gar nichts. Morgen am Arbeitsplatz kann ich dir vielleicht das eine oder andere Konfigbeispiel raussuchen. Meld dich bei Bedarf einfach noch mal.

Und falls jemand anders auf diesen Thread stößt: isakmp nat-traversal 30 gehört in die Konfig, damit man sich nicht zu tode sucht, warum kein Traffic fließt :) Besten Dank an hegl!!!

Das sollte kein Vorwurf sein. Ich könnt mich nur tierisch ärgern, dass es mir nicht selber aufgefallen ist. Wobei ich das mindestens einmal mit hinzugefügt habe. Aber vielleicht hat mich da der Reload getroffen. Ich teste das jetzt gleich mal in Ruhe durch. Nochmals besten Dank. Jetzt bin ich schon mal wieder einen Schritt weiter.

Na toll. Jetzt bin ich an so einer ****** Zeile gescheitert. Vorab: es läuft. Zumindest macht es im Moment den Eindruck. Mal sehen, ob es nach dem nächsten Reload auch noch das tut was ich will. Und ich habe auch noch im vorherigen Thread gefragt, warum ich bei meinen Configs in der PIX isakmp identity address und isakmp nat-traversal 30 stehen habe. Jetzt weiß ich zumindest, dass das zweite wichtig ist :-) Macht das erste auch Sinn? Wenn ich es richtig verstehe ist nat-traversal dafür da, dass ich mit IPSec über das NAT hinweg komme.

Die Version ist jetzt die richtige. Den Ping sehe ich nur auf der ASA im Debug. Er kommt scheinbar nicht am VPN-Client an, denn dieser empfängt überhaupt keine Pakete. Als es eben einmal kurzzeitig ging, stand im Client Transparent Tunneling: Active on UDP Port anstelle von inactive. Vielleicht bringt uns das ja einen Schritt weiter.

Sorry das ich erst jetzt antworte. Eben ging es für einen Moment. Dann habe ich nach wr mem einen reload gemacht und das Problem ging von vorne los. Ich muss dazu sagen, dass die ASA eine höhere IOS Version eingespielt bekommen hat. Die scheint sie bei dem Reload "verloren" zu haben. Zumindest zeigte mir die ASA wieder 7.x an statt 8.0(3). @ Wordo Ja das Gateway ist drin. Ich hab auf der ASA den eingehenden und den ausgehenden Ping gesehen. Ohne Translating oder ähnliches. Daher hatte ich schon das split-tunneling im Visier. Merkwürdig ist, dass mein VPN-Client beim Transparent Tunneling: inactive anzeigt. @ hegl Ich meine ich hab gestern die Access-List mehrfach in verschiedensten Richtungen getestet. Es kann doch nur an dem Split liegen, oder nicht?

Langsam verzweifel ich an der Geschichte. Hat niemand eine Idee warum es hakt?

Hallo, Ich hab eine ASA 5505. Die VPN-Clienteinwahl klappt. Jetzt habe ich mal hinter die ASA ein Gerät gestellt, um den Traffic zu testen. Dabei habe ich festgestellt, dass ich eine Einbahnstraße definiert habe. Auf der ASA sehe ich, dass der Ping von außen kommt, und vom Gerät im Hausnetz auch beantwortet wird. Aber die Antwort schafft es dann nicht durch den Tunnel zurück. Kann mir jemand einen Tipp geben, was ich da verbockt habe? object-group network Hausnetz description Lokales Netz in CSS network-object 192.168.1.0 255.255.255.0 object-group network VPN-Clients description Subnetz der VPN Clients network-object 192.168.250.0 255.255.255.0 access-list outside-i extended permit icmp any object-group Hausnetz object-group ICMP_aus_Internet access-list outside-i extended permit ip object-group VPN-Clients object-group Hausnetz access-list inside-i extended permit icmp any any access-list inside-i extended permit ip object-group Hausnetz object-group VPN-Clients access-list inside-i extended permit tcp object-group Hausnetz any object-group InternetdiensteTCP access-list inside-i extended permit udp object-group Hausnetz any object-group InternetdiensteUDP access-list vpn-remoteuser_splitTunnelAcl standard permit 192.168.1.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip object-group Hausnetz object-group VPN-Clients ! ====================== Tunnel Richtlinien ================================== ! group-policy vpn-remoteuser internal group-policy vpn-remoteuser attributes dns-server value 192.168.2.1 192.168.2.1 vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value vpn-remoteuser_splitTunnelAcl ! ! ! ====================== Tunnel Gruppe ======================================= ! !tunnel-group vpn-remoteuser type remote-access ! tunnel-group vpn-remoteuser type ipsec-ra tunnel-group vpn-remoteuser general-attributes address-pool vpn-pool default-group-policy vpn-remoteuser ! tunnel-group vpn-remoteuser ipsec-attributes pre-shared-key vpn-psk Ich hoffe mir kann jemand erklären, was ich falsch gemacht habe.

Merci für den Tipp. Ich habe jetzt mal die Konfig für einen VPN-Clientzugang auf dem CLI zusammengefasst. ! ========= Nur Traffic fürs Hausnetz wird durch den Tunnel geschickt ========== ! access-list VPN-Split extended permit ip object-group Hausnetz any ! ! =============== Kein NAT zwischen VPN-Clients und Hausnetz =============== ! access-list NoNat-Inside extended permit ip object-group Hausnetz object-group VPN-Clients nat (inside) 0 access-list NoNat-Inside ! ===================== Adresspool für VPN-Clients ! ip local pool vpn-pool 192.168.250.1-192.168.250.99 ! ! ! ===================== Konfiguration Phase 2 ================================== ! crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac ! crypto dynamic-map dynmap 65535 set pfs crypto dynamic-map dynmap 65535 set transform-set ESP-AES-256-SHA ESP-3DES-MD5 ! crypto map outside_map 65535 ipsec-isakmp dynamic dynmap crypto map outside_map interface outside ! ! ===================== Konfiguration Phase 1 =============================== ! crypto isakmp enable outside ! crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 ! ! ! ====================== Tunnel Richtlinien ================================== ! group-policy vpn-remoteuser internal group-policy vpn-remoteuser attributes dns-server value 192.168.2.1 192.168.2.1 vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value VPN-Split ! ! ! ====================== Tunnel Gruppe ======================================= ! !tunnel-group vpn-remoteuser type remote-access ! tunnel-group vpn-remoteuser type ipsec-ra tunnel-group vpn-remoteuser general-attributes address-pool vpn-pool default-group-policy vpn-remoteuser ! tunnel-group vpn-remoteuser ipsec-attributes pre-shared-key vpn-psk Vorab: es funktioniert bei mir *freu* Aber ich hätte noch ein paar Verständnisfragen: crypto dynamic-map dynmap 65535 set pfs Was macht diese Zeile? In meinen PIX 501 Konfigs steht für die VPN-Clients immer auch: isakmp identity address isakmp nat-traversal 30 Kann ich die einfach so weglassen? Ansonsten bin ich natürlich für jede Anmerkung / jeden Verbesserungsvorschlag zu haben, der die ganze Sache besser macht.

Hallo, Ich muss auf einer ASA 5505 eine VPN-Clienteinwahl hinbekommen. Ich habs per Wizard versucht, aber es scheint nicht wirklich zu klappen. Die Konfig sieht so aus: access-list vpn-group_splitTunnelAcl standard permit any access-list inside_nat0_outbound extended permit ip any 192.168.250.0 255.255.255.0 global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 5 lifetime 86400 group-policy vpn-group internal group-policy vpn-group attributes dns-server value 192.168.2.1 192.168.2.2 vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value vpn-group_splitTunnelAcl tunnel-group vpn-group type remote-access tunnel-group vpn-group general-attributes address-pool vpn-pool default-group-policy vpn-group tunnel-group vpn-group ipsec-attributes pre-shared-key * Wenn ich mich versuche einzuwählen zeigt das ASDM: Removing peer from peer table failed, no math! Error: Unable to remove PeerTblEntry Wo ist mein Fehler? Besten Dank für eure Hilfen! – Ich hab den Wizard noch mal durchlaufen lassen und nun geht es. Wahrscheindlich habe ich beim NAT einen Fehler gemacht.