makana

Also viel kann man aus der konfig nicht entnehmen aber ich den mal die Fehlermeldung im Log deutet darauf hin das die porbolas nicht über einstimmen-

1. hast du beim kopieren der konig den preyshared key als zeichefolge rein geschrieben denn in der konfig steht er ja nur als "*"

2. würde ich sagen fehlt meiner Meinung noch die zeile

"crypto isakmp nat-traversal 30"

3. ein crypto map müste in etwa so ausschauen

crypto map outside_map 1 match address outside_1_cryptomap

crypto map outside_map 1 set peer xxx.xxx.xxx.xxx

crypto map outside_map 1 set transform-set ESP-AES-256-MD5

und dann überprüfe mal bitte dein Nat regeln bzw die expt nat Regeln

access-list inside_nat0_outbound extended permit ip "source-netz" "dest-netz" 255.255.255.0

global (outside) 1 interface

nat (inside) 0 access-list inside_nat0_outbound

nat (inside) 1 0.0.0.0 0.0.0.0

oder poste mal bitte die ganze config komplett

Ich hab mal ne frage zum ccna 640-802

und zwar:

welche funktionen sind denn in den lab vorhanden ( TAPTaste? Pfeiltasten? das fragezeichen usw.

und

2. was ist den der passing score auf wieviel punte muss ich kommen gibts dazu irgendwo ne info.

und

3. wie ist den der nateil der lab an der ganzen prüfung bzw die punktevergabe

kann ja jemand was zu sagen wäre echt nett weil mein cheff will nun mal die certifizierung obwohl ich schon ewigkeiten mit Cisco arbeite aber zettel ist eben zettel :-)

Hallo zusammen

hat jemand von euch schon das naja "fast neue" 802 gemacht mich würde mal interssieren wieviel der LAB Anteil in der Prüfung ausmacht bzw wieviele LAB abegearbeitet werden müssen.

Kann dazu jemand ein gesegnete Aussage treffen ? wäre echt nett von euch danke

das klingt nach einem konfig bug auf der server seite lass mal die acls prüfen und schau mal ob due ein ip zugewiesen bekommst jene muss dann drüben auch als permit irgendwo drinn stehen an der pix liegt das mit sicherheit nicht wenn das fixup aktiviert ist.

du must zum ein nat -t dekativieren auf pix1

dann auf pix1

- static (inside,outside) 10.248.16.1 212.33.35.201 netmask 255.255.255.255

auf pix2 musst du dann die crypto acl anpassen und die nat ip (212.33.35.201) durchlassen

und das ganze dann nochmal umgedreht auf pix 2

das sollte reichen denke ich

-den bottvorgang mit ESC unterbrechen

-romon mode

-interface angeben

-ip angeben

-mask angeben

-gw angeben

-file angeben

oder wen ios noch halbwegs ok ist einfach

copy tftp: flash:

Also die prüfung auf deutsch zumache ist genaus so schwer wie auf englisch da die deutsche übersetzung sowas von mist ist und man 2 oder dreimal lesesn muss um zu wissen was die von einem wollen und dann wird die zeiot knapp da man ja soweit ich mich erinnern kann eine halbe oder ein std weniger hat. und den 802 gibts auch noch nicht aud deutsch soweit ich weis

Hallo ich kenn das Problem auch, abhilfe schafft wie schon oben erwähnt ein evtl. reload. Bei mir allerdings hat nichts gebracht. Was geholfen hat bie mir war folgendes:

nimm zu erste die Bindung deiner ACL vom Interface also:

no access-group LAN_OUT in interface LAN

dann nimmst nochmal die die acl raus

no access-list LAN_OUT extended permit tcp object-group LAN object-group Webserver_HTTPS eq https

uns schreibst sie noch mal neu bzw paste & copy

und dann bindest du die acl wieder auf das interface

access-group LAN_OUT in interface LAN

das sollte dein Problem lösen die ursache ist das das neue IOS der ASA sich immer mehr an die ROuter IOS és an lehnt da sollte man ja auch die Acl bindung runternehemen und die ACL erst danach bearbeiten sonst werden Änderungen nicht richtig übernommen.

Hallo zusammen,

ich hab hier seit einigen Tagen ein kurioses Problem mit Verbindungsabbrüchen bei einem Site to Site tunnel zwischen ASA und Checkpoint. Die Liftimes für Phase 1 und 2 habe ich schon angegleichen. doch der Tunnel bricht totz Ping intervall von ca 5 min immer wieder ab und die ASA bekommt das nicht mit. In den Logs ist rein garnix zu lesen was von Hilfe wäre. Dazu wäre noch zu sagen das die asa nicht direkt am outiside Interface am Internet hängt sondern noch hinter einer Astaro FW ( ich weis die konstellation ist totaler Schwachsinn) aber ist nun mal ein Kundenwunsch. Wenn der Tunnel weg ist dauert es mitunter ewig bis man einen neuen Tunnel aufbauen kann. Weis jemand wie man die Parameter so setzten kann das die AsA schenller begreift wann der ipsec tunnel weg ist bzw der von der Gegenstelle oder hat jemand einen anderen Tipp. ich wäre für jeden Vorschlag dankbar.

mfg Makana

sh run auf dem funktionalen router

und dann mit paste and copy in den neuen router :-)

Hi also ich denke das ist auch ein Frage des Geldes hast du beide Geräte schon oder müßtest du ein neu kaufen denn der router ist wesentlich teurer als eine asa 5505 die so bei 200€ liegt.

mach mal einem sh ip interface brief

und schau mal ob das VLAN1 up ist wenn nicht must du es enablen oder versuch einfach mal nen access via http wenn der ping wieder funzt

Danke Problem gelöst wie Exe Dateine von Office und co. stand auf win98 kombatibilität aus welchen unerklärlichen Gründen auch immer ich habs geändert und schwupp lief die Dose wieder

Danke euch aber trotzdem :-)

naja überlastung würde ich ausschließen bei ner 3 ghz doppelkern maschine mit 2 gb ram und der rest von system sieht eiegntlich ganz gut aus es gibt keine nennenswerten Wartezeiten beim starten.

ist schon ein komischen phänomän :-( ich kann es mir auch nicht recht erklären das ist ja das problem.

und die Logfiles sagen auch nix dazu nur das die jeweiligen programme als "hangup" gekenzeichnet sind wenn ich sie wieder starten möchte

Hallo

ich hätte da mal ein ittelgroßes Problemchen, und zwar kan ich jedes Programm nur einmal starten, nach dem ich es beendet habe über Quti/ Exit usw. startet das gleicht Programm nicht noch einmal. schaue ich in den Taskmanager ist die Instanz des vorher beendeten Programms immer noch aktiv. Diese Problem zihet sich durch die gasammte Anwendungspalette von windwos aber auch nicht windows eigenen Programmen hin. hat jemand ne idee was da vor sich geht und wie man da Abhilfe schaffen kann.

Für einen tipp wäre ich sehr dankbar

oder schau mal da

http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_19_ea1/configuration/guide/scg2950.pdf

cdp ist da cisco discovery protokoll -> wird z.B. verwendet wenn du cisco works einsetzt zur netzwerküberwachung ist aber nicht sonderlich ratsam das zu verwenden (kleiner tipp) :-) " es gibt 10 bessere tools wie netzwerkmonitorlösungen von cisco "

zu deinem Problem schau die mal die beiden interfaces an die du verbunden hast und schau mal ob du CRC fehler oder kollisionen drauf hast.

Hallo,

also was foresthus zum thema Cisco Support sagt kann ich nicht ganz bestätigen, der config guides für sämtliche geräte sind gratis (auch für end user die kein smart net auf sich gemapped haben ) und ASA mit Watchguard zu vergleichen ist wie Äpfel mit Birnen zu vergleichen. Der neue ASDM für ddoe Sw Verrsion 8.03 ist sehr sehr simpel auf gebaut und auch für einen nicht cisco Mensch ist es denke ich möglich sich da durch zu hangeln. (wobei ich eben ein Verfechter der CLI bin :-) )wenn du aber wie schon gesagt Erfahrungen in der Cisco welt sammeln möchtest empfehle ich die mit Routing und Switching zu beginnen, zumal die neuen router und switche auch schon über GUI konfigurierbar sind und die ACL´s auf den routern denen der ASA fast gleichen.

ok Problem gelöst war ein zahlendreher in einer IP

Also ich nutze auch lieber Cisco obwohl ich auch 4 Brocade SAN Switches habe von hp, aber wenn ich mir deren Konfiguartion so ansehe finde ich cisco schon ne kleine welt voraus. Dazu kommt das wie wordo es schon erwähnt hab die produkte sind sehr vielfältig und man bekommt fast alles aus einer hand. Bintecs hatte ich auch schon als vpn gate im Test aber da bin ich schnell wieder von abgekommen ne ASA von Cisco ist das schon um einiges leistungsfähiger gearde wenn es um mehr wie nur 10 Tunnel geht. Also mein Fazit ist es gibt sicherlich alternativen zu Cisco aber was den Service angeht die Zuverlässigkeit

Hallo habe eine L2L tunnel gebaut auf einer seite wird nat.

auf den ersten Blick scheint der tunnel zu stehen wenn ich ein sh crypto isakmp sa mache seh ich den IKE und mache ich einen sh crypto ipsec sa sehe ich ebenfalls den IPSEC tunnel

daten schein laut der counter ja auch durch zu gehen :

#pkts encaps: 2358, #pkts encrypt: 2358, #pkts digest: 2358

#pkts decaps: 1318, #pkts decrypt: 1318, #pkts verify: 1318

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 2366, #pkts comp failed: 0, #pkts decomp failed: 0

#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0

#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0

#send errors: 0, #recv errors: 0

nehme ich den paket tracer von der ASa und schicke ein test paket von der remote peer adresse zum inside ziel bekomme ich einen ipsec spoof

hat jemand ne idee was ich noch machen könnte oder wo evtl. der Fehler liegt

Wenn du günstig Router und Switch Equipment brauchtst kann ich dir mein altes LAB anbieten das sind 3 x2621 router 3x 2924 MXL switche diverse Interface und Kabel

also ich kenne bis dato nur die Tacacs variante denn syslog gibt meines wissen keine Befehle weiter. ich hab dafür nen Cisco ACs genommen und auch gleich die Anmeldung darüber gemacht

Die antwort von Hegl mit den beiden lines funzt ebenso.

aber du hast noch keinen DNS konfiguriert

und füge mal bitte noch diese Zeile zu

ip address outside pppoe setroute

teste mal ob du von der pix aus mit "ping outside ein öffentliche IP deiner Wahl" raus kommst und dann ein ping vom host aus wenn der ping geht kannst du auf dem host zum testen mal einen puplic DNS eintragen und schauen was passiert

dann sollte die nat 0 ACL reichen wenn nicht mal ein debug machen und schauen was geblockt wird