-= Brummbär =-

Mal zum Verständnis für mich: Phase 1 PIX: isakmp policy 10 lifetime 86400 Phase 2 PIX: lifetime seconds 3600 kilobytes 4608000 Das SDM zeigt für den Router: IKE: 24h = 86400 Sekunden => stimmt IPSec: 4608000 bzw 1h. => stimmt Jetzt zeigt mir das SDM vom Router, dass xauth aktiviert ist. In den PIXen ist es deaktiviert. Kann es daran noch liegen?

Das wär dann für den Router. Gibt es das auch für die Pix? Was ist denn mit no-xauth und lifetime? Das erste ist im Router scheinbar gar nicht gesetzt und die lifetime sehe ich zwar in der Weboberfläche, aber nicht auf der Konsole. Ich befürchte eher, dass es daran liegt, dann wenn Kollegen arbeiten und der Tunnel zusammen bricht, kann es ja nicht am fehlenden Traffic liegen, oder?

Hallo, Ich habe in den letzten Tagen das Problem, dass meine Tunnel unregelmäßig wegbrechen. Bei einem Tunnel werden die Logs der Firewall zentral gesammelt. Als Fehlermeldung wurde dann immer: QM FSM error (P2 struct &0xd8be4450, mess id 0xe17ce2e8)! angezeigt. Bei meiner Suche bin ich auf no-xauth und Einstellungen zum lifetime gestoßen. Es wäre nett, wenn mir jemand sagen könnte, was ich an den Tunnelkonfigurationen noch anpassen muss, damit es wirklich sauber ist. Von den ACLs etc. gehe ich mal aus, dass die richtig sind, denn die Leute können ja zwischen den Abbrüchen arbeiten :) In der Zentrale steht ein 876 Router auf dem ein Tunnel so konfiguriert ist: crypto ipsec transform-set Mein-Transform-Set esp-3des esp-md5-hmac crypto isakmp key ABCD address 1.2.3.4 ! ! crypto map SDM_CMAP_1 10 ipsec-isakmp set peer 1.2.3.4 set transform-set Mein-Transform-Set match address VPN_pix ! ! ip access-list extended VPN_pix remark SDM_ACL Category=4 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 In der Außenstelle steht jeweils eine PIX 501: isakmp key ABCD address 2.3.4.5 netmask 255.255.255.255 no-xauth no-config-mode isakmp identity address isakmp nat-traversal 30 isakmp policy 10 authentication pre-share isakmp policy 10 encryption aes-256 isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 20 authentication pre-share isakmp policy 20 encryption 3des isakmp policy 20 hash md5 isakmp policy 20 group 2 isakmp policy 20 lifetime 86400 ! crypto map vpnmap 10 ipsec-isakmp crypto map vpnmap 10 match address VPNTUN-Zentrale crypto map vpnmap 10 set peer 2.3.4.5 crypto map vpnmap 10 set transform-set tset3des crypto map vpnmap 10 set security-association lifetime seconds 3600 kilobytes 4608000 Da die Tunnel bisher liefen, sind schwächen in der Konfig wahrscheinlich einfach nur nie richtig aufgefallen. Es wär super, wenn mir jemand einen Tipp geben könnte, was ich in der Konstellation noch anpassen muss.

Ok. War mit dem Proxyserver etwas verwirrend. Aber von intern muss man da ja auch erstmal hinkommen :-)

Na so schlimm ist es hier zum Glück nicht. Das es immer noch eine Stufe besser geht, wenn man das Budget dafür bekommt, ist mir klar. Mein Gedanke war aber, dass unterschiedliche Subnetze mit einem Layer 3 Switch und ACLs schon mal eine Steigerung zum bisherigen Hausnetz mit Layer 2 Switchen darstellt. Da du oben was von 1000 Regeln geschrieben hast, bin ich mit meinen knapp 80 Zeilen ohne Kommentare sicher ganz gut aufgestellt. Die ASA kommt dann in eins der nächsten Budgets ;-)

Da es sich ums Hausnetz handelt fand ich ein Einschränken von Ports schon mal als nicht so schlechte Lösung. Wenn ich das alles über eine Firewall regeln würde, dann müsste die aber einigen Durchsatz ermöglichen. Im Moment läuft es so, dass ich für die Clients die Ports auf den Servern frei gebe, deren Dienste sie auch nutzen dürfen. Was wäre denn state of the art um im Hausnetz für mehr Sicherheit zu sorgen? Bzw. welche Firewalls nutzt man im Hausnetz. Zu den Außenstellen habe ich 876 Router für den VPN-Tunnel und dahinter eine Cisco PIX 506. Das läuft ganz ordentlich.

Hallo, Ich habe mit unserem 3750 verschiedene Subnetze für Clients und Server erstellt. Bislang gibt es eine ACL die von allen Client-Subnetzen den Traffic zu den Servern regelt. Da die mittlerweile doch schon etwas länger geworden ist, wollte ich fragen, ob etwas Optimierung sinnvoll ist. Macht es Sinn die Regeln für VoIP und Citrix an den Anfang der Liste zu stellen, damit die Pakete schnell durch gelassen werden? Bislang habe ich für alle Client-Subnetze die selbe ACL verwendet. Und dann imemr wie folgt die Regel definiert: permit any host ProxyServer eq 8080 Da nur das Subnetz der Buchhaltung ELSTER, HBCI etc. braucht, sind die Regeln so definiert: permit Subnetz Buchhaltung host LStA-Server eq 8000 Macht es da vielleicht mehr Sinn eine zweite ACL zu definieren und diese ausschließlich dem VLAN der Buchhaltung zuzuweisen? interface Vlan111 ip access-group zugriffe-von-clients in ip access-group zugriffe-buchhaltung in Bin natürlich auch für zusätzliche Tipps zu haben :-)

Die Optionen habe ich gesetzt. Aber im DNS kommt nichts an :-(

Hallo, Ich weise meinen Druckern eine feste IP-Adresse mittels DHCP-Reservierung zu. Jetzt möchte ich gerne, dass der Drucker dabei auch direkt im DNS-Server aktualisiert wird und ich nicht noch einen zusätzlichen Eintrag pflegen muss. Was muss ich dabei beachten? Im DHCP-Bereich habe ich schon die Optionen gesetzt, dass immer aktualisiert werden soll. Leider scheint es nicht zu klappen :-( - Windows 2003 Domäne mit DHCP und DNS - Kyocera Mita Drucker

Ich hab extra nur ein paar genommen, damit der Beitrag nicht gleich so lang wird. Das mit den Paketen habe ich mir schon fast gedacht. Aber was da genau passiert ist mir nicht wirklich bewußt. Auf dem Router der unsere Verbindung zum Surfen aufbaut steht noch eine ganze Menge mehr. Um das mal etwas auseinander zu dröseln: class-map type inspect match-any SDM_SSH <= Name oder bezieht sich das auf was? match access-group name SDM_SSH => es wird alles geprüft, was in der access-group SDM_SSH steht class-map type inspect match-any sdm-cls-access match class-map SDM_SSH => es wird allse geprüft was in der class-map SDM_SSH steht? ip access-list extended SDM_SSH Was da genau mit den Paketen gemacht wird, ist wahrscheinlich fest im IOS verdrahtet, oder?

Hallo, Ich bin ein Freund übersichtlicher Konfigurationen und möchte im Groben auch gerne verstehen, was die Zeilen da so machen. In meine Konfig stehen Zeilen wie: class-map type inspect match-any SDM_HTTPS match access-group name SDM_HTTPS class-map type inspect match-any sdm-cls-insp-traffic match protocol cuseeme match protocol dns match protocol ftp policy-map type inspect sdm-permit-icmpreply class type inspect sdm-icmp-access inspect class class-default pass Kann mir jemand erklären was da passiert oder wie die Zeilen zusammenhängen? Besten Dank!!

Ich hab keinen Plan welche Packs mein 876 hat, aber 4 VLANs laufen problemlos (2 SDSL, 1 Company Connect, 1 Hausnetz). Damit wären die Ethernetports voll ausgereizt. Es bliebe also nur noch der ADSL Port ;-)

Es funzt!!! Ich hab das Subnetz auf den Dialer geroutet und dann lief es. Total genial. Um das ganze auf die Spitze zu treiben :-) Kann ich mit einem zweiten Dialer evtl. auch zwei SDSL Anschlüsse so anschließen?

Wenn ich eine crypto-map habe, dann brauch ich da nur einmal alle Tunnel definieren und bin fertig damit. Das würde die Sache schon einfacher machen. Muss ich fürs Routing wohl die externen IPs der Gegenstelle oder das Subnetz der Außenstelle eintragen?

Hallo, Ich hab da mal eine prinzipielle Frage. Ich habe einen SDSL-Anschluss und einen Company Connect. Bislang sind beide Anschlüsse jeweils auf einem eigenen 876 Router konfiguriert. Beide Anschlüsse sind eigentlich nur Endpunkte für VPN-Tunnel. Im Moment muss ich die Tunnel also auf beiden Geräten definieren. Jetzt habe ich mir überlegt, ob ich nicht beide Anschlüsse auf einem Router zusammenfassen kann. Meine Überlegungen waren: - Kann ich die CryptoMap beiden Interfaces (VLan und Dialer) zuordnen? - Reicht eine Aufteilung über die Routingtabelle damit der 876 jeweils den richtigen Weg wählt? Ich hoffe, dass mir dazu jemand von euch etwas Feedback geben kann.

Herzlichen Dank. Ich denke damit wird es gleich laufen...

Dialer0 war vorher die Verbindung zum SDSL. Kann ich die einfach weg lassen? Sonst habe ich immer: ip route 0.0.0.0 0.0.0.0 Dialer0 daraus müsste dann doch: ip route 0.0.0.0 0.0.0.0 Vlan10 werden, oder? Kommt dann crypto map SDM_CMAP_1 auch unter Vlan10 oder wo muss ich die dann anhängen?

Guten Morgen, Ich hab gestern meine erste Standleitung bekommen *freu* und möchte diese nun über die vorhandenen Router anbinden. Bislang habe ich immer SDSL-Einwahlen konfiguriert. Kann mir jemand sagen, was ich nun bei Company Connect machen muss? So weit denke ich mal müsste es ja klar sein: interface Vlan1 ip address interneIP ip tcp adjust-mss 1452 priority-group 1 ! interface Vlan10 ip address externeIP ip tcp adjust-mss 1452 ! ip route 0.0.0.0 0.0.0.0 Vlan10 Nur was mach ich mit Dialer0 und dem SDM_CMAP_1 für die VPNs interface Dialer0 crypto map SDM_CMAP_1 Über etwas Hilfe würde ich mich sehr freuen?

Falls mal jemand auf diesen Post stoßen sollte.... Mit den Zeilen hat es bei mir funktioniert: 876 crypto isakmp key MeinKey address 0.0.0.0 0.0.0.0 ! crypto dynamic-map dynVPN 10 set transform-set Mein-Transform-Set match address VPN_Gegenstelle ! crypto map SDM_CMAP_1 3 ipsec-isakmp dynamic dynVPN ! ip access-list extended VPN_Gegenstelle permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Die Pix konnte exakt so bleiben *freu*. Kann ich in der Konfiguration der PIX etwas eintragen, dass die ständig den Tunnel offen hält? Ansonsten habe ich ja aus der Zentrale keine Chance durch den Tunnel zu kommen. Schon mal besten Dank für die Hilfen!

Hallo, Bisher hatte ich das Glück stets feste IPs auf beiden Seiten zu haben. Aber nun muss ich eine Außenstelle anbinden die leider keine feste IP bekommen kann. Was muss ich auf einem 876er konfigurieren, damit er sich mit einer dynamischen IP verbindet. crypto isakmp key $meinKey$ address A.B.C.D ! crypto map SDM_CMAP_1 10 ipsec-isakmp set A.B.C.D set transform-set Mein-Transform-Set match address VPN_Tunnel ! ip access-list extended VPN_Tunnel permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 So war es vorher. Kann ich die Konfiguration auf Seiten der PIX gleich lassen? Schließlich gibt es für die PIX ja eine Gegenstelle mit fester IP. isakmp key $meinKey$ address W.X.Y.Z netmask 255.255.255.255 no-xauth no-config-mode ! access-list VPNTUN-007 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 ! crypto map vpnmap 150 ipsec-isakmp crypto map vpnmap 150 match address VPNTUN-007 crypto map vpnmap 150 set peer W.X.Y.Z crypto map vpnmap 150 set transform-set tset3des crypto map vpnmap 150 set security-association lifetime seconds 3600 kilobytes 4608000 ! crypto map vpnmap interface outside

Hallo, Ich habe folgendes Problem: Die Benutzer melden sich am PNAgent des Igel mit Benutzername, Passwort und Domäne an. Beim Verbinden mit Citrix schlägt die Anmeldung fehl, weil Benutzername und Kennwort gegen den jeweiligen lokalen Citrix-Server geprüft werden. Trägt man in dem erscheinenden Windows Anmeldeschirm dann noch einmal die Daten ein, wird man angemeldet. Trage ich als Benutzername benutzer@domain.loc ein, dann klappt es auch direkt mit Citrix. Leider sind meine Benutzernamen meist zu lang, so dass dann bei Citrix nicht die volle Domäne ankommt. Da ich diese Problematik teilweise auch auf Windows-Clients habe, gehe ich davon aus, dass es eher an Citrix liegt. Kann mir jemand einen Tipp geben wo ich da am besten suchen kann oder hat vielleicht schon jemand das Problem selbst gelöst? Im Einsatz sind: Citrix Presentationserver 4.0 W2K3 Domäne

Vielen Dank für die Infos. Damit komme ich jetzt sicher ein ganzes Stück weiter.

Hallo, Ich habe W2K3 Terminalserver mit Citrix Presentationserver 4.0. Aktuell gibt es pro Außenstelle eine Richtlinie die die dort vorhandenen Drucker den Benutzern zuweist. Per IP-Range wird die Richtlinie entsprechend gefiltert. Das ganze wird auf Dauer aber immer umfangreicher, da sowohl Außenstellen als auch Drucker munter hinzukommen und wieder wegfallen. Gibt es eine Möglichkeit das Mapping der Drucker per komplexeren Script zu gestalten. Dazu müsste ich im Login allerdings die Client IP auslesen können. Falls es noch eine komfortablere Lösung gibt, wär ich natürlich auf für solche Tipps dankbar.

Er macht einfach eine DNS-Anfrage nach dem Namen des Managementserver. Dann bekommt er eine Rückmeldung mit IP von einem der DNS-Server und dann geht es los. Deshalb wundert es mich ja auch, dass er nicht wenigstens versucht den Namen aufzulösen.

Wenn ich nicht den ip-helper aktiviere, dann kommen mehrere DHCP-Request und letztlich ein DHCP-Recover. Wenn der DHCP-Recover kommt, dann klappt es auch mit dem Rest. So langsam wunder ich mich nur noch...