Elias2k

wenn dich Linux mehr interessiert, dann schau mal nach lpci zertifizeirungen, aber die sind um einiges ansprichsvoller als die ms prüfungen, ohne die unter den scheffel stellen zu wollen ... mfg

Hallo zusammen, ich habe bis dato eine Cisco 1710 für den ZUgrif per VPN auf unser internes Netz konfiguriert. Problem es sind keine ACL Regeln definiert, um den eingehenden Verkehr zu regeln, durch ein bisschen Herumprobieren lief zum Schluss nichts mehr, never change ... ;--) hier erstmal die Konfig: urrent configuration : 3710 bytes ! ! No configuration change since last restart ! version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname w***** ! boot-start-marker boot-end-marker ! security authentication failure rate 2 log security passwords min-length 6 no logging buffered logging console critical enable secret 5 ******************************** ! memory-size iomem 15 clock timezone Berlin -1 aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local aaa session-id common ip subnet-zero no ip source-route ! ! ip domain name ************* ip name-server 192.168.***** ip name-server 21******** ip name-server 2************ ! no ip bootp server ip vrf forward ! ip cef ip audit po max-events 100 ip ssh time-out 60 ip ssh authentication-retries 2 ip dhcp-server 192.168.***** no ftp-server write-enable ! ! username hier crypto isakmp policy 3 encr 3des authentication pre-share group 2 crypto isakmp keepalive 3600 crypto isakmp xauth timeout 20 ! crypto isakmp client configuration group w************ key *************** dns 192.168.****** 192.168.**** domain ******************** pool vpnips acl 101 ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set security-association lifetime seconds 86400 set transform-set myset reverse-route remote-peer 2************** ! ! crypto map vpnclientmap client authentication list userauthen crypto map vpnclientmap isakmp authorization list groupauthor crypto map vpnclientmap client configuration address respond crypto map vpnclientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface Null0 no ip unreachables ! interface Ethernet0 description $FW_OUTSIDE$$ETH-WAN$ ip address 21****************************** no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow half-duplex no cdp enable crypto map vpnclientmap ! interface FastEthernet0 description $FW_INSIDE$$ETH-00 255.255.255.0 ip address 192.168.**************************** no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow speed auto no cdp enable ! ip local pool vpnips 192.168.********************* ip classless ip route 0.0.0.0 0.0.0.0 2********************** no ip http server ip http access-class 1 ip http authentication local no ip http secure-server ! ! access-list 101 permit ip 192.168.*********** 0.0.0.255 192.168.********** 0.0.0.255 no cdp run ! banner login ^CCCAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! line con 0 line aux 0 line vty 0 4 access-class 103 in privilege level 15 transport input ssh ! scheduler allocate 4000 1000 scheduler interval 500 end logging trap debugging Die Frage ist nun, wie ich für den Tunnel nur die Exchange Ports ( bekannt ) und Proxy Access (http , https ) zulasse, alles andere blocke ... Die bei Cisco veröffenlichten Descriptons habe da nicht wirklich geholfen. MFG

darauf achten, daß diese einstellungen in der standard domänen rcihtlinie definiert ist und nicht in einer richtlinie, die auf eine ou gebunden ist oder ähnliches ...

ich empfehle ein fetchmail auf einer linux büchse und auf der maschine dann einen mail gateway was die mails nochmals auf spam und viren checked, setze ich bei einigen kunden mit 1und1 etc ein und läuft sehr stabil, der pop3 connector hat meiner ansicht nach stabilitäts probleme ....

debian sarge mit squid und einigen contentfilter, die ich über gelegnetliche ldap abfragen an das ad auf die user binde, sehr schöne sache, wenn man leuten unterschiedliche zugänge zum inet verschaffen will

lieg die domöne in einem anderen subnetz ??? bei 2 versch benutzern sollte sich beide usernamen nicht ähneln, ansonsten skript mit net use x: \\ipdeservers\freigabe /user:peter password /persistent:no mfg

Hallo zusammen, ich habe eine kurze Frage, ist es möglich mit einer bestehenden win2000 server domäne eine richtlinie festzulegen, bei der während der Anmeldung überprüft wird, ob Virenscanner oder Service Packs installiert sind und dies bei Nichtvorhandensein zur automatischen Abmeldung nach x Minuten führt ??? MFG elias

(((abgesehen davon, ich glaube das dies per ad nicht machbar ist. wenn man eine passwordricthlinie sicherheitsrichtlinie in einer untergeordneten ou oder vorlage erstellt, greift die nicht, zumindestens die passwortrichtlinien müssen in der default domain policy liegen, anders werden die nicht angewendet, zumindestens bei win2000 server und xp clients, aus meiner erfahrung. mfg)))) sorry siehe oben

ich habe mich damit auch mal rumgeschlagen ... auf der ms seite gabs dazu mal was, aber war nicht wirklich hilfreich : http://www.microsoft.com/resources/documentation/windows/2000/server/scriptguide/en-us/default.mspx http://www.microsoft.com/technet/scriptcenter/default.mspx http://labmice.techtarget.com/scripting/VB.htm vielleicht hilfts

ich habe per gpo die ordner umegleitet, und auf das h laufwek wo das profil lag verwiesen, leider gab es dann das problem, daß ich auf einmail im startmenü alle user aus dem verz users$ und ihre eigene dateien dort hatte ... in der gpo habe ich folgendes konfiguriert : benutzerkonfigiguration > Ordnerumleitung > Anwendungsdaten Desktop usw, jeweils Standard Leitet alle Ordner auf den gleichen Pfad um. Sollte ich dafür extra ein Basisverz bereitstellen ?? Ich probiere mal weiter ...

ich überlege die ganze zeit, wie man das lösen könnte .... bis dato keine idee .... eventuell den profil pfad im ad löschen, den als basisordner ändern, dann per gpo die ordner dahinbiegen und dann offline sync .... bin am ausprobieren

eventuell eine richtlinie das problem. habe alles durchsucht finde nichts, die user bekommen immer ihr offline profil was sie bearbeiten durch das der domäne ersetzt !

ach dat, was man dem user als immerwiederkehrendes profil einrichten kann, nein das haben sie nicht, es wird z.b. ist mir selber auch passiert, eine Word DAtei unter Eigene Dateien angelegt ohne an der Domäne angemeldet zu sein, wenn man dann ein normales Login an der Domäne macht, ist die Datei wech und alle Dateien, die neu auf dem Desktop waren auch..

okay, ich weiss nicht was verbindliche profile sind ehrlich gesagt, sie haben roaming profile mit denen sie offline arbeiten ! mfg

bei cisco clients besteht die möglichkeit vor dem anmelden die vpn connection aufzubauen und sich dan vi vpn an der dc anzumelden !! aber vorsicht: da windows vor der anmeldung schon netzerkabhägige anfragen an die domäne macht, könenn policies und ähnliches nicht laufen ... der rest wie das verb von netzlaufwerken ist kein thema