mupp

Super. Ich danke Euch fuer die vielen Informationen. Jetzt weiß ich auch, wie die aktuelle Pruefung 640-802 heißt. Danke & Gruss.

Hallo xcode-tobi, vielen Dank fuer deine schnelle Antwort. Du hast mir zwei Buecher genannt, fuer welches sollte ich mich entscheiden? Nach Moeglichkeit sollten die Buecher/ das Buch aktuell sein, die Pruefung soll Anfang 2009 abgelegt werden.

Hallo zusammen, ich moechte 2009 die CCNA Pruefung ablegen und mich mit Hilfe der Selfstudy Cisco Buchreihe auf die Pruefung vorbereiten. Frage: Welche Buecher (Cisco Bezeichnung) waeren fuer die CCNA Selfstudy notwendig?

Hallo zusammen, ich würde gerne mehrere Dokumentationen über unsere PIXen und ASA's erstellen, gibt es dafür ein entsprechendes Tool, dass diese Anforderungen übernimmt? Gruß, mupp \\edit: hat da mal jemand mit gearbeitet "Cisco PIX audit tools" ?

Die Firewall muss nicht zwingend mit W-LAN Interface ausgestattet sein; Ethernet / Gigabit reicht völlig :D Gibt es noch andere Erfahrungen passender Hersteller? Wie sieht es mit Symantec aus? Hat da jemand Erfahrung gesammelt?

Hallo zusammen, könnte mir jemand aus Erfahrung Alternativen hinsichtlich der genannten Produkte im Titel nennen? Die entsprechende Ausstattung sollte möglichst der im Titel genannten Hardware entsprechen. Hauptaugenmerk sollte auf Sicherheit im Tunnel, Hardware Kosten und die Migration im bereits vorhanden Netzwerk, gerichtet sein. Gruß, mupp

Hallo hegl, ich bin Azubi und mache gerade meine Ausbilung beim ISP - welches Tunneling-verfahren benutzt du? IPsec mit 3DES und SHA Authentifizierung und Pre-Shared Keys, laufen die Tunnel parallel, sprich easy VPN und gleichzeitig statische SITE-to-SITE Verbindungen? Gruss, mupp

Hallo zusammen, ich beschäftige mich mit einem komischen Cisco Bug - und zwar wenn ich mit einer Cisco PIX 501 den easy VPN aufbauen will und gleichzeitig statische VPN erzeuge, kommt es immer wieder zu Probleme. Hintergrund: wir wollen Standort A nur dynamisch mit VPN verbinden, und Standort B soll eine ständige Verbindung benutzen. Bisher mussten wir für dieses Szenario eine PIX501 (easy VPN) und PIX506, mit statischer VPN Tunnelkonfiguration basteln.. Die PIX Serie wird von Cisco in naher Zukunft nicht mehr weiterentwickelt so dass wir zwangsläufig auf ASA5505 umstellen müssen - jetzt tritt aber das gleiche Problem wie mit den PIXen auf.. Die ASA kann genauso wenig einen easy VPN und statische VPN's verwalten.. Habt ihr auch das Problem? Bzw. vielleicht nutzt ihr ja andere Geräte um das Problem zu lösen..

Hallo zusammen, erstmal vielen Dank für die vielen Infos. Hintergrund: Ich stehe kurz vor meiner Abschlussprüfung und ich würde gerne im Rahmen meiner Projektarbeit das Thema VPN in form einer Standortvernetzung (Site-to-Site) verwenden. Jetzt ist der Knackpunkt alternativ Systeme miteinander zu vergleichen, ich selbst habe bei uns in der Firma nur VPN mit Cisco PIX501, 506 und ASA5505 realisiert und damit auch gute Erfahrung gesammelt. Als Tunnelprotokoll habe ich ipSec eingesetzt mit Pre-Shared-Keys. Testweise hab ich einen OpenVPN-Server mit TLS/SSL Verschlüsselung aufgebaut und realisiert - praktischer scheint mir aber ipSec zu sein. Ich muss nur Systeme miteinander vergleichen und mich dann für eins plausibel mit Begründung entscheiden.

Hallo Cisco Experten, ich brauche Gründe warum es sinnvoll wäre ein VPN mit Cisco Hardware zu realisieren und warum man alternative nicht OpenSource Produkte verwendet. Wie würdet Ihr argumentieren?

Hallo zusammen, ich versuche ein Upgrade bei einer PIX-515-E auf das neue Bootimage pix722-22.bin; bisher war die PIX mit 32MB RAM bestückt - natürlich habe ich zuerst den Speicher auf 64MB erweitert und anschließend per Console und TFTP das neue Image geladen. Das hat auch alles wunderbar funktioniert und das neue Bootimage 7.2 wir auch gebootet, aber nachdem das Cisco Logo erscheint, hängt sich die PIX-515-E auf.. Beim booten erhalte ich folgende Fehlermeldung: "assertion "addr < sfmm_chip_size" failed: file "../flash/sfmm.c", line 249" Wenn ich nun die PIX im Monitor-Modus auf das alte Image downgrade 6.3(125) erhalte ich die gleiche Fehlermeldung und nach dem Bootlogo Cisco bleibt die Maschine hängen.. Kennt vielleicht einer von Euch das Problem, könnte es sein das hier der Flash Speicher kaputt ist? Kann man im Monitor-Modus das Flash Image "erasen" und anschließend neu laden? Gruss, mupp

Hallo zusammen, weil ich meinen alten AMD Athlon 1,7GHZ verschenke, wollte ich das Running System neu aufsetzen; wenn ich meine Windows XP Installation starte, komme ich quasi bis das die Startdateien kopiert werden und dann bricht System mit folgender Fehlermeldung ab: "Stop: 0x000000D1" Driver_IRQL_NOT-LESS-OR-EQUAL Kann es sein, dass meine Festplatte 'ne Macke bekommen hat? Gruss, mupp

Hallo! Deine IP- stimmt? Kannst du dein GW (Gateway 192.168.1.1) anPingen? Ein Ping auf eine öffentliche IP/Domain funktioniert nicht? Was sagt ein traceroute auf eine IP?

static (inside,outside) 172.27.21.100 172.17.4.1 netmask 255.255.255.255 0 0 Der Erste Static Befehl bewirkt doch, dass ich den internen Host 172.17.4.1 unter der IP 172.27.21.100 von "außen" erreichen kann. static (outside,inside) 172.17.4.252 62.40.8.37 netmask 255.255.255.255 0 0 Den Zweiten Static Befehl verstehe ich nicht so ganz; in der Literatur finde ich nur die Aussage "static (high/low) low high" das widerspricht aber dem Zweiten static Befehl - oder?

Hallo Wordo, ich habe mein Szenario mit dem Befehl "static (inside,outside)" gelöst.. Ich stehe aber jetzt vor ein anderes Problem: [...] access-list from_out permit icmp any any echo-reply access-list from_out permit icmp any any unreachable access-list from_out permit icmp any any time-exceeded access-list from_out permit ip host 62.XX.XX.XX any access-list from_in permit ip 172.XX.XX.XX 255.255.255.0 any pager lines 22 logging on logging buffered notifications logging trap errors logging history critical logging facility 17 logging host outside 62.XX.XX.XX logging message 611102 level critical logging message 605004 level critical logging message 111004 level critical mtu outside 1500 mtu inside 1500 ip address outside 172.27.21.98 255.255.255.248 ip address inside 172.17.4.253 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 static (inside,outside) 172.27.21.100 172.17.4.1 netmask 255.255.255.255 0 0 static (outside,inside) 172.17.4.252 62.XX.XX.XX netmask 255.255.255.255 0 0 access-group from_out in interface outside access-group from_in in interface inside route outside 0.0.0.0 0.0.0.0 172.27.21.97 1 [...] Was passiert hier ? Kann ein Verbindung zustande kommen ? (Auf dem Client mit der IP 172.17.4.1 ist keine Route gesetzt) PIX# sh conn 2 in use, 3 most used TCP out 172.17.4.252(62.XX.XX.XX):3167 in 172.17.4.1:80 idle 0:01:58 Bytes 0 flags SaAB TCP out 172.17.4.252(62.XX.XX.XX):1823 in 172.17.4.1:22 idle 0:01:49 Bytes 0 flags SaAB

Leider funktioniert meine NAT Konfig nicht, vielleicht kann mir jemand weiterhelfen? Verkürzte Schreibweise PIX-A: access-list VPN-A-SITE permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0 access-list acl-nat permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0 ip address outside 172.27.0.1 255.255.255.0 ip address inside 192.168.0.1 255.255.255.0 global (outside) 1 172.27.0.254 nat (inside) 1 access-list acl-nat 0 0 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) 172.27.0.254 192.168.0.2 netmask 255.255.255.255 0 0 route outside 0.0.0.0 0.0.0.0 172.27.1.0 1 Verkürzte Schreibweise PIX-B: access-list VPN-A-SITE permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list acl-nat permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0 ip address outside 172.27.1.1 255.255.255.0 ip address inside 192.168.1.1 255.255.255.0 global (outside) 1 172.27.1.254 nat (inside) 1 access-list acl-nat 0 0 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) 172.27.1.254 192.168.1.2 netmask 255.255.255.255 0 0 route outside 0.0.0.0 0.0.0.0 172.27.0.1 1

Hallo zusammen, ich würde gerne folgendes Szenario mit meinen PIXen (501 v.6.3(5)125) abbilden: 192.168.0.2/24 CLIENT-A . . . 192.168.0.1/24 INSIDE PIX-A OUTSIDE PIX- A 172.27.0.1/24 . . SWITCH / VPN Simuliert . . 172.27.1.1/24 OUTSIDE PIX-B INSIDE PIX-B 192.168.1.1/24 . . . CLIENT-B 192.168.1.2/24

ich habe jetzt ein bissl an meine ACL gebastelt.. die PIXen sind jetzt untereinander erreichbar.. PIX to PIX... Ich möchte jetzt aber das Client A to PIX_B outside per ping erreichbar ist.. Wie mache ich das.. Hier die Config PIX_B access-list outside permit ip 172.27.0.0 255.255.255.0 any access-list outside permit icmp any any echo-reply access-list outside permit icmp any any unreachable access-list outside permit icmp any any time-exceeded access-list inside permit ip 172.27.0.0 255.255.255.0 any access-list inside permit icmp any any echo-reply access-list inside permit icmp any any unreachable access-list inside permit icmp any any time-exceeded access-list inside permit ip 192.168.0.0 255.255.255.0 any ip address outside 172.27.1.1 255.255.255.0 ip address inside 192.168.1.1 255.255.255.0 Hier die Config PIX_A access-list outside permit ip 172.27.1.0 255.255.255.0 any access-list outside permit icmp any any echo-reply access-list outside permit icmp any any unreachable access-list outside permit icmp any any time-exceeded access-list inside permit ip 172.27.1.0 255.255.255.0 any access-list inside permit icmp any any echo-reply access-list inside permit icmp any any unreachable access-list inside permit icmp any any time-exceeded access-list inside permit ip 192.168.1.0 255.255.255.0 any ip address outside 172.27.0.1 255.255.255.0 ip address inside 192.168.0.1 255.255.255.0

... und hier die zweite PIX! PIX-B# sh run : Saved : PIX Version 6.3(5)125 interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname PIX-B fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list outside permit ip 172.27.1.0 255.255.255.0 any access-list outside permit icmp any any echo-reply access-list outside permit icmp any any unreachable access-list outside permit icmp any any time-exceeded access-list inside permit ip 192.168.1.0 255.255.255.0 any access-list inside permit icmp any any echo-reply access-list inside permit icmp any any unreachable access-list inside permit icmp any any time-exceeded access-list VPN_TEST_A permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list VPN_TEST_A permit ip host 172.27.1.1 host 172.27.0.1 access-list NoNAT permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0 pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 172.27.1.1 255.255.255.0 ip address inside 192.168.1.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 access-group outside in interface outside access-group inside in interface inside route outside 0.0.0.0 0.0.0.0 172.27.0.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set chevelle esp-des esp-md5-hmac crypto map transam 1 ipsec-isakmp crypto map transam 1 match address VPN_TEST_A crypto map transam 1 set peer 172.27.0.1 crypto map transam 1 set transform-set chevelle crypto map transam interface outside isakmp enable outside isakmp key ******** address 172.27.0.1 netmask 255.255.255.255 isakmp identity address isakmp policy 1 authentication pre-share isakmp policy 1 encryption des isakmp policy 1 hash md5 isakmp policy 1 group 1 isakmp policy 1 lifetime 1000 telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:8041c40caa30de85fad666d9bfe34980 : end Ich kann die PIXen leider untereinander Outside to Outside nicht erreichen.. Auch von Client A to Client B funkt der ping nicht... Was mache ich falsch? Könnt Ihr mir ein bissl auf die Sprünge helfen, ich möchte keine fertige config, sondern nur Hilfestellung...

Hallo zusammen, ich bin noch ein absoluter Neuling in Sachen PIXen. Aber ich habe mich ein bissl in die Thematik eingelesen und habe mir ein kleines Test Szenario aufgebaut.. Client A 192.168.0.2/24 PIX_A (501) OutsideIP 172.27.0.1/24 InsideIP 192.168.0.1/24 from [...] to Client B 192.168.1.2/24 PIX_B (501) OutsideIP 172.27.1.1/24 InsideIP 192.168.1.1/24 PIX-A# sh run : Saved : PIX Version 6.3(5)125 interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname PIX-A fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list outside permit ip 172.27.0.0 255.255.255.0 any access-list outside permit icmp any any echo-reply access-list outside permit icmp any any unreachable access-list outside permit icmp any any time-exceeded access-list inside permit ip 192.168.0.0 255.255.255.0 any access-list inside permit icmp any any echo-reply access-list inside permit icmp any any unreachable access-list inside permit icmp any any time-exceeded access-list VPN_TEST_B permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0 access-list VPN_TEST_B permit ip host 172.27.0.1 host 172.27.1.0 access-list NoNAT permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0 pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 172.27.0.1 255.255.255.0 ip address inside 192.168.0.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 access-group outside in interface outside access-group inside in interface inside route outside 0.0.0.0 0.0.0.0 172.27.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set chevelle esp-des esp-md5-hmac crypto map transam 1 ipsec-isakmp crypto map transam 1 match address VPN_TEST_B crypto map transam 1 set peer 172.27.1.1 crypto map transam 1 set transform-set chevelle crypto map transam interface outside isakmp enable outside isakmp key ******** address 172.27.1.1 netmask 255.255.255.255 isakmp identity address isakmp policy 1 authentication pre-share isakmp policy 1 encryption des isakmp policy 1 hash md5 isakmp policy 1 group 1 isakmp policy 1 lifetime 1000 telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:39aba175cb40858944251cc919b67eeb : end