Elias2k

wenn dich Linux mehr interessiert, dann schau mal nach lpci zertifizeirungen, aber die sind um einiges ansprichsvoller als die ms prüfungen, ohne die unter den scheffel stellen zu wollen ...

 

mfg

Hallo zusammen,

 

ich habe bis dato eine Cisco 1710 für den ZUgrif per VPN auf unser internes Netz konfiguriert.

Problem es sind keine ACL Regeln definiert, um den eingehenden Verkehr zu regeln, durch ein bisschen Herumprobieren lief zum Schluss nichts mehr, never change ... ;--)

 

hier erstmal die Konfig:

 

 

urrent configuration : 3710 bytes

!

! No configuration change since last restart

!

version 12.3

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service sequence-numbers

!

hostname w*****

!

boot-start-marker

boot-end-marker

!

security authentication failure rate 2 log

security passwords min-length 6

no logging buffered

logging console critical

 

enable secret 5 ********************************

!

memory-size iomem 15

clock timezone Berlin -1

aaa new-model

!

!

aaa authentication login userauthen local

aaa authorization network groupauthor local

aaa session-id common

ip subnet-zero

no ip source-route

!

!

ip domain name *************

ip name-server 192.168.*****

ip name-server 21********

ip name-server 2************

!

no ip bootp server

ip vrf forward

!

ip cef

ip audit po max-events 100

ip ssh time-out 60

ip ssh authentication-retries 2

ip dhcp-server 192.168.*****

no ftp-server write-enable

!

!

username hier

 

crypto isakmp policy 3

encr 3des

authentication pre-share

group 2

crypto isakmp keepalive 3600

crypto isakmp xauth timeout 20

 

!

crypto isakmp client configuration group w************

key ***************

dns 192.168.****** 192.168.****

domain ********************

pool vpnips

acl 101

!

!

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!

crypto dynamic-map dynmap 10

 

set security-association lifetime seconds 86400

set transform-set myset

reverse-route remote-peer 2**************

!

!

crypto map vpnclientmap client authentication list userauthen

crypto map vpnclientmap isakmp authorization list groupauthor

crypto map vpnclientmap client configuration address respond

crypto map vpnclientmap 10 ipsec-isakmp dynamic dynmap

!

!

!

interface Null0

no ip unreachables

!

interface Ethernet0

description $FW_OUTSIDE$$ETH-WAN$

ip address 21******************************

no ip redirects

no ip unreachables

no ip proxy-arp

ip route-cache flow

half-duplex

no cdp enable

crypto map vpnclientmap

!

interface FastEthernet0

description $FW_INSIDE$$ETH-00 255.255.255.0

ip address 192.168.****************************

no ip redirects

no ip unreachables

no ip proxy-arp

ip route-cache flow

speed auto

no cdp enable

!

ip local pool vpnips 192.168.*********************

ip classless

ip route 0.0.0.0 0.0.0.0 2**********************

no ip http server

ip http access-class 1

ip http authentication local

no ip http secure-server

!

!

access-list 101 permit ip 192.168.*********** 0.0.0.255 192.168.********** 0.0.0.255

no cdp run

!

banner login ^CCCAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

line con 0

line aux 0

line vty 0 4

access-class 103 in

privilege level 15

transport input ssh

!

scheduler allocate 4000 1000

scheduler interval 500

end

 

logging trap debugging

 

 

Die Frage ist nun, wie ich für den Tunnel nur die Exchange Ports ( bekannt ) und Proxy Access (http , https ) zulasse, alles andere blocke ...

 

Die bei Cisco veröffenlichten Descriptons habe da nicht wirklich geholfen.

 

MFG

darauf achten, daß diese einstellungen in der standard domänen rcihtlinie definiert ist und nicht in einer richtlinie, die auf eine ou gebunden ist oder ähnliches ...

ich empfehle ein fetchmail auf einer linux büchse und auf der maschine dann einen mail gateway was die mails nochmals auf spam und viren checked, setze ich bei einigen kunden mit 1und1 etc ein und läuft sehr stabil, der pop3 connector hat meiner ansicht nach stabilitäts probleme ....

debian sarge mit squid und einigen contentfilter, die ich über gelegnetliche ldap abfragen an das ad auf die user binde, sehr schöne sache, wenn man leuten unterschiedliche zugänge zum inet verschaffen will

lieg die domöne in einem anderen subnetz ???

 

bei 2 versch benutzern sollte sich beide usernamen nicht ähneln, ansonsten skript mit

 

net use x: \\ipdeservers\freigabe /user:peter password /persistent:no

 

mfg

Hallo zusammen,

 

 

 

ich habe eine kurze Frage,

 

ist es möglich mit einer bestehenden win2000 server domäne eine richtlinie festzulegen, bei der während der Anmeldung überprüft wird, ob Virenscanner oder Service Packs installiert sind und dies bei Nichtvorhandensein zur automatischen Abmeldung nach x Minuten führt ???

 

 

MFG elias

(((abgesehen davon,

 

ich glaube das dies per ad nicht machbar ist.

 

wenn man eine passwordricthlinie sicherheitsrichtlinie in einer untergeordneten ou oder vorlage erstellt, greift die nicht, zumindestens die passwortrichtlinien müssen in der default domain policy liegen, anders werden die nicht angewendet, zumindestens bei win2000 server und xp clients, aus meiner erfahrung.

 

mfg))))

 

sorry siehe oben

ich habe mich damit auch mal rumgeschlagen ...

 

auf der ms seite gabs dazu mal was, aber war nicht wirklich hilfreich :

 

http://www.microsoft.com/resources/documentation/windows/2000/server/scriptguide/en-us/default.mspx

 

 

http://www.microsoft.com/technet/scriptcenter/default.mspx

 

 

http://labmice.techtarget.com/scripting/VB.htm

 

vielleicht hilfts

ich habe per gpo die ordner umegleitet, und auf das h laufwek wo das profil lag verwiesen, leider gab es dann das problem, daß ich auf einmail im startmenü alle user aus dem verz users$ und ihre eigene dateien dort hatte ...

 

in der gpo habe ich folgendes konfiguriert :

 

benutzerkonfigiguration > Ordnerumleitung > Anwendungsdaten Desktop usw, jeweils

 

 

Standard Leitet alle Ordner auf den gleichen Pfad um.

 

 

Sollte ich dafür extra ein Basisverz bereitstellen ??

 

Ich probiere mal weiter ...

ich überlege die ganze zeit, wie man das lösen könnte ....

 

bis dato keine idee ....

 

eventuell den profil pfad im ad löschen, den als basisordner ändern, dann per gpo die ordner dahinbiegen und dann offline sync ....

 

bin am ausprobieren

eventuell eine richtlinie das problem. habe alles durchsucht finde nichts, die user bekommen immer ihr offline profil was sie bearbeiten durch das der domäne ersetzt !

ach dat, was man dem user als immerwiederkehrendes profil einrichten kann, nein das haben sie nicht, es wird z.b. ist mir selber auch passiert, eine Word DAtei unter Eigene Dateien angelegt ohne an der Domäne angemeldet zu sein, wenn man dann ein normales Login an der Domäne macht, ist die Datei wech und alle Dateien, die neu auf dem Desktop waren auch..

okay, ich weiss nicht was verbindliche profile sind ehrlich gesagt, sie haben roaming profile mit denen sie offline arbeiten !

 

mfg

bei cisco clients besteht die möglichkeit vor dem anmelden die vpn connection aufzubauen und sich dan vi vpn an der dc anzumelden !! aber vorsicht: da windows vor der anmeldung schon netzerkabhägige anfragen an die domäne macht, könenn policies und ähnliches nicht laufen ... der rest wie das verb von netzlaufwerken ist kein thema

hallo zusammen,

 

ich habe ein Problem, welches ich bis dato nicht lösen konnte, vielleicht habt ihr einen Rat.

 

ich bertreibe eine win2k domäne mit exchange fileservern etc ppp ...

 

Mein Problem sind Notebookuser, die melden sich an der Win2k Domäne an, gehen dann 2 Wochen ausser Haus oder ähnliches, arbeiten dort offline mit ihrem Serverprofil, gleichen nur exchange über vpn ab ... Kommen Sie dann in die Firma und melden sich wieder an, wird das Serverprofil über das viel aktuellere "Offline Profil" kopiert und einige Daten, die der User verändert hat, gehen verloren ...

Hallo zusammen,

 

hat jemand von euch Erfahrungen mit Blackberry in Zusammenhang mit einer Exchange Infrastruktur sammeln können?

 

Ist das ohne weiteres realisierbar ?

 

MFG Elias

wie kann ich um das Problem zu lösen, zentral nach User Regeln auf dem Exchange Server suchen oder diese bearbeiten !

 

 

MFG Sven

Hallo zusammen,

 

ich bin seit kurzem auf der Suche nach einem neuen Hardware Router mit

 

Firewall, IDS, Virenscanner, IDS, DMZ Funktionalität etc...

 

hat jemand Erfahrungen gemacht

 

Preis sollte zwischen 1000 und 2000 € liegen, das Gerät kriegt ne SDSL Leitung als Futter ...

 

 

mfg sven

Das Problem ist, daß dieser Oeff Ordner nicht mehr existiert, habe dann diesen nochmals angelegt und Email aktiviert ....

 

 

mfg

Hallo zusammen,

 

 

ich habe ein sehr leidiges Problem mit einem Log im Eventviewer, problematisch ist es nicht, aber es schreibt die LOGS voll mit einem roten x ;---)

 

Quelle : MSExchangeIS

Kategorie : Transport

Ereignis ID : 2028

 

Die Übermittlung einer Nachricht, die von dem Öffentlichen Ordner ************EA3DF5C543EFD55925B2F387888D41FB0115D4 gesendet wurde, schlug fehl.

An: **********

Cc:

 

Der Unzustellbarkeitsbericht wurde gelöscht.

 

Weitere Informationen finden Sie unter http://www.microsoft.com/contentredirect.asp.

 

 

Den öffentlichen Ordner habe ich bereits gelöscht gehabt, da er falsch angelegt wurde, die dazugehörige Email habe ich nicht händisch vorher entfernt.

 

Jede Minute bekomme ich einen Eintrag im EventLog mit der oben genannten MEldung

dei EmailAdressen unter An: ändern sich natürlich.

 

 

ICh setze einen Linux Smart host ein, der die Mails per smtp an den Exchange Server weiterleitet,

alle ungültigen Adressen weise ich am smarthost ab.

 

Das Problem scheint aber meiner Ansicht nach woanders zu liegen.

 

Wenn Ihr eine Idee habt ....

 

google brachte nichts ...

ich habe genau das selbe problem, allerdings habe ich nicht so ein MAschinchen zum testen,

 

Die Meldungen in meiner Testumgebung kommen stets nach ein gewissen uptime der Büchse...

 

ich bin gerade dabei, das Problem auf vm Ebene zu suchen, Eerfolgsergebnisse bitte posten !

 

MFG

Hallo zusammen,

 

 

ich bin auf der Suche nach einem ADSL Router, der 8 IP Adressen in einer DMZ verwaltet, Nat Firewall und eventuell IDS beherrscht.

 

Eventuelle Erfahrungsberichte wären hilfreich, da ich noch immer mit einer alten 3com Büchse diese Dinge erledige.

 

MFG Elias

dann kann man den 1710 er gar nicht als endpunkt verwenden ??

 

suuper

ich suche konfigurations hilfen für cisco 1710 er router speziell vpn

 

MFG Elias