makana

access-list inside_nat0_outbound permit ip XXX.XXX.XXX.XXX (indide Netz) 255.255.255.0 any nat (inside) 0 access-list inside_nat0_outbound willst du das inside Netz naten oder willst du nur internet acces nach draußen

Was genau willst du den dokumentieren? Die Config sichern oder die Netze visualisieren?

Hallo also für dir PIX würde ich dir den Kurs empfehlen 642-523 SNPA aber er ist mitlerweile schon sehr ASA lastig da die PIX ja schon seit einer weile out of sale ist wenn du die PIX für unternehmens wichtige Prozesse brauchst must du dich bzw dein chef wohl oder übel damit beschäftigen auf ASA zu upgraden da der support lt. cisco auch 2010 ausläuft aber bis dahin ist noch ein bissel zeit :-)

Danke für die tipps der "clevere" admin von der Gegenseite hatte mein Netz nicht geroutet und somit war die Peer IP nicht erreichbar von seinem netz aus.

ALso hier mal eine Hilfe für dein DSL Problem aber um es vorweg zunehmen kann ich Wordo blos zustimmen du brauchst ein PIx doku Mit IOs kommst du nicht weit auch wenn dir dei folgenden Zeilen ins www verhelfen. interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 ip address outside pppoe setroute ip address inside xxx.xxx.xxx.xxx 255.255.255.0 (das Netz was innen ereichbar sein soll) nat (inside) 1 xxx.xxx.xxx.xxx 255.255.255.0 0 512 (wieder das inside Netz) global (outside) 1 interface vpdn group ISP request dialout pppoe vpdn group ISP localname xxxxxxxxxxxxxxxx@t-online.de (DSL Kennung) vpdn group ISP ppp authentication pap vpdn username xxxxxxxxxxxxxxxx@t-online.de password ********* store-local so das sollte zzum Erfolg führen , wenn ich irgend was vergessen habe must nochmal deine config Posten bitte

Hallo bin der Asa und PIx noch nicht so im reinen da ich auch der Routerwelt komme :-) Habe eine Site to Site gebastelt bekomme aber keinen tunnel hin. Fehler meldung im log : Phase1 duplicate packet detected retransmitting.... can not delete peer from peerTabl. Kann mir jeamnd sagen was das bedeute und wo ich nach dem Fehler suchen kann? Danke schon mal

also was für swizch modell willst du den upgrade Post mal die tyoen beschreibung. bei alten switches reicht es meist nicht daus das alte ios runter zulöschen denn das problem ist folgendes du kannst zwar glückhaben wenn er das ios speichert aber wenn er es starten möchte fehlt der ram wenn es ausgepackt wird. Für den SW für denn du noch keinen zugriff hast : mache ein Pw recovery drücke beim start die mode taste bennenne dann die Datei config .txt in config.old um mit rename befehl. Dann starte neu überspringe den config wizzard und geh in den en mode (ohne PW) rename wieder die config .old in config.txt ändere dein Password bzw wörter und schreibe zum schluss copy running-config to startup config so sollte deine SW config bleiben und das Pw zurück gesetzt sein :-)

Ich muss mal meine statement mit dem BSI etwas korregieren, Das BSI empfiehlt zwar eine mehrstufiges Firewall Model ( Sicherheitsgateways aber die Aussage der 2 unterschiedlichen kam von verschieden Kollgen auf einer BSI Veranstalltung.

Probier mal so ich denke du hast einen fehle in den host bits der wild cards ich mein es müßte so aussehen access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.253 0.0.0.0 eq 80 access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.251 0.0.0.0 eq 80 access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.240 0.0.0.0 eq 80 und tip Extended acls werden immer so na wie möglich an der quelle gesetzt im gegensatz zu Standrad acl also brenne die ACL auf dein lan interface " ethernet" access-class 121 in

wie sind denn die ziel addressen noch erreichbar per ping ? oder kannst du auch traffic machen

also ein kleiner tipp von mir noch wenn es was offzielles ist (dein projekt ) kontaktier mich mal dienstlich ich bekomme als cisco reseler optimale konditionen und geb dir den projekt plan noch dazu wenns zum geschäft für die hardware käme ICQ 114117573 oder mail: yellowbeat@gmx.net dann können wir uns mal unterhalten wenn noch bedarf besteht ich möchte hier keine firmendaten posten

ALso mein vorschlag wäre du baus anstelle eines routers eine ASA5505 ein vorteil das ding ist gleizeitig DSL modem und eine voll konfigurierbare Firewall.ich würde ein vlan für die server im haus bauen und eine DMZ für die CAM´s. Preis für deine anforderung ca 400€. für die switch reichen einfache 100 mbit catalysten. wenn sie nicht neu sein müssen gibzs die gebarucht für ca 200 euro als 24 port varainate neu würde ich die bei unserem lieferanten glaube für einen ähnlichen preis bekommen jedenfalls die älteren modelle. Model 2950 wäre ganz gut. wenn du naoch fragen hast sag einfach bescheid. gruß makana

also wie schon mal oben im im threat geschrieben wurde das der admin weis was er tut ist denke klar. meine meinung ist eine firewall ist nur so gut wie ihr regelwerk. aber als sicherheitsbeauftrager beziehe ich mich mal auf das BSI und baue netzwerk niemal mit einer firewall von einem hersteller. bei uns im rechzentrum und auch bei kunden von uns steht in der front eine chekpoint als front linie und eine asa 5540 in der zweiten reihe beide haben unterschiedliche aufgaben und laufen als 2 cluster ebenso würde ich sagen das asa als fronline und juniper als second line ne gute und bewährte lösung ist. Das prinzip ist einfach " eine gleicht die schwächen der anderen aus" und angreifer müssen sich auf zwei komplett verschiedene Systeme einschießen und ne gute firewall merkt das bevor die zweite gehackt wird. Gruß makana

für die vergabe einer ip adresse gibts du im configuremodus folgendes ein: interface vlan1 ipaddress xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx no shutdown exit ip default-gateway xxx.xxx.xxx.xxx und shon hat das der switch wieder eine ip adresse mit net mask auf dem default vlan1 (von haus aus das admin vlan für den telnet zugriff schreibst du im conf t modus: line vty 1 15 login exit wichtig ist das du einen user name mit password vergeben hast und ein enable password gesetzt hast wenn du nicht klar kommst poste mir mal die config von deinen switches Gruß Makana

Hallo also dann versuch ich dir mal zu helfen lese zu erst die config aus , funktioniert so: 1. Telnet oder SSH zum router und einloggen 2. geh in den enable modus tippe dazu "en" 3. tippe "show run " mit der TAB taste kanst du bis runter scrollen so dann zu deinem HTTP Problem: also grundsätzlich willst du es bestimmt mit dem CNA tool versuchen die alten Catalysten und router unterstützen in der regle kein HTTP. Kannst aber versuchen ist nach neuem IOs update manchmal möglich. wechsel vom enable modus in den Configure modus 1. tippe " conf t" 2. vergebe einen username mit passwort und rechten tippe dazu " username "xxx" password "xxx" priv 15 jetzt hat der username alle rechte acuh die enable modus rechte 3. setzte dir noch das enable secret passwort tippe dazu " enable secret password "xxx" TIPP von mit wenn du bei einem befahl nicht weiter weist schreibe die ersten paar buchstaben und drücke die TAB taste wenn er ausführbar ist wird er vervollständgt Beispiel: der befehl "sh run" heist in wirklichkeit show running-config schreib "sh ?" und dir werden alle optionen für den show befehl angezeigt . schreib "sh ru" drücke tab und dir sh running-config angezeigt. ich hoffe ich konnt dir einen kleinen tip geben.

Hallo hab da mal eine kurze Frage und zwar ich baue mir einen site to site VPN mit dem Wizard. IOs ist 8.03 (nachdem und das als keiner Tip die 8.02 echt viele Macken hat). Am Ende des Wizzards sagt er mit das er die nat0 ACL nicht bauen kann. schaue ich in die CLI steht sie drin ist aber ohne wirkung solange ich die ACl nicht per hand vom Interface nehme, dann die von Wizzard erstellte ACL lösche und wieder per hand einfüge und dann die ACL wieder auf das interface binde was ja laut cisco der richtige weg ist, wenn man eine zeile in eine ACL einfügen möchte. Also sollte der wizzard ja auch funktionieren und das die Prozedur kennen.Kennt jemand das Problem schon und hat vieleicht ne elengantere lösung. den das Problem bei der sache ist solang ich local vor der asa sitze ist das nicht wirklich ein Problem aber wenn man remote änderugen macht säge ich mir den weg ab sobald ich die ACL von interface nehme. Für eine kleinen Tip währe ich sehr dankbar. Gruß Makana

webvpn functions url-entry html-content-filter none homepage none keep-alive-ignore 4 http-comp gzip filter none url-list none customization value DfltCustomization port-forward none port-forward-name value Application Access sso-server none deny-message value Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information svc none svc keep-installer installed svc keepalive none svc rekey time none svc rekey method none svc dpd-interval client none svc dpd-interval gateway none svc compression deflate username carsten password nCe7k1IF8VqW6ktZ encrypted privilege 0 username carsten attributes vpn-group-policy test http server enable http VPN_POOL 255.255.255.0 outside http CLIENT 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto dynamic-map outside_dyn_map 20 set pfs crypto dynamic-map outside_dyn_map 20 set transform-set ESP-AES-256-MD5 crypto dynamic-map outside_dyn_map 40 set pfs crypto dynamic-map outside_dyn_map 40 set transform-set ESP-AES-256-MD5 crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption aes-256 hash md5 group 2 lifetime 86400 crypto isakmp policy 65535 authentication pre-share encryption aes-256 hash md5 group 2 lifetime 86400 crypto isakmp nat-traversal 30 tunnel-group test type ipsec-ra tunnel-group test general-attributes address-pool (inside) VPN_POOL address-pool VPN_POOL tunnel-group test ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 vpdn group test request dialout pppoe vpdn group test localname 0016157483565200420037940001@t-online.de vpdn group test ppp authentication pap vpdn username 0016157483565200420037940001@t-online.de password ********* store-local

ASA Version 7.2(2) ! hostname asa domain-name altroconsult.de enable password 8Ry2YjIyt7RRXU24 encrypted names name 192.168.1.2 CLIENT name 192.168.1.0 KUNDEN_LAN name 192.168.200.0 VPN_POOL dns-guard ! interface Vlan1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan11 nameif outside security-level 0 pppoe client vpdn group test ip address pppoe setroute ! interface Ethernet0/0 switchport access vlan 11 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup outside dns server-group DefaultDNS domain-name altroconsult.de access-list inside_nat0_outbound extended permit ip any VPN_POOL 255.255.255.248 access-list inside_access_in extended permit icmp host VPN_POOL any echo-reply access-list inside_access_in extended permit ip host VPN_POOL any access-list inside_access_in extended permit ip host CLIENT any access-list inside_access_in extended permit icmp host CLIENT any echo-reply access-list inside_access_in extended permit icmp host CLIENT any echo access-list inside_access_in extended permit ip any any access-list outside_cryptomap_65535.20 extended permit icmp any any echo pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 ip local pool VPN_POOL 192.168.200.1-192.168.200.255 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-522.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 access-group inside_access_in in interface inside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute group-policy test internal group-policy test attributes vpn-tunnel-protocol IPSec group-policy DfltGrpPolicy attributes banner none wins-server none dns-server none dhcp-network-scope none vpn-access-hours none vpn-simultaneous-logins 3 vpn-idle-timeout 30 vpn-session-timeout none vpn-filter none vpn-tunnel-protocol IPSec l2tp-ipsec webvpn password-storage disable ip-comp disable re-xauth disable group-lock value test pfs enable ipsec-udp disable ipsec-udp-port 10000 split-tunnel-policy tunnelall split-tunnel-network-list none default-domain none split-dns none intercept-dhcp 255.255.255.255 disable secure-unit-authentication disable user-authentication disable user-authentication-idle-timeout 30 ip-phone-bypass disable leap-bypass disable nem disable backup-servers keep-client-config msie-proxy server none msie-proxy method no-modify msie-proxy except-list none msie-proxy local-bypass disable nac disable nac-sq-period 300 nac-reval-period 36000 nac-default-acl none address-pools value VPN_POOL client-firewall none client-access-rule none

Hi ich hoffe Ihr könnt mir weiterhelfen, ich hab auf einer ASA 7.2 einen site to site VPN und einen Remote Access VPn gebaut beide funzen ganz gut aber leider nicht zusammen. sobald der Site to Site tunnel steht geht die Remoteeinwahl via VPN Client nicht mehr kann mir jemand einen tipp geben wie ich beide zusammen betreiben kann. denn wenn der Site to Site nicht on ist geht der VPN Remote Access wieder. Ich danke im voraus schon mal Gruß Makana

also ich hab 2 2621 router( bei Ebay für rund 100€ zuhaben das stück ) zu haus einen 2950 und einen catalyst der 4000 serie. Zu den routern habe ich WIC und BRI Inertfaces und zu dem Switchen Glasfaserverbindungen. DIe ASA würde ich erstmal aussen vorlassen die kommt im CCNa nicht vor und ist ein Thema für sich das würd ich später machen

Hi ich bin zwar nicht der PIx spezi aber ich würds mal mit eine ACL versuchen permit source xxx.xxx.xxx.xxx icmp any (any zu jedem Ziel) oder permit source xxx.xxx.xxx.xxx icmp xxx.xxx.xxx.xxx ( zu einem Host)

erstmal wäre es gut zu wisssen wie du in den Router kommst via ISDN Backup oder Festverbindung. Das mit dem 2. String kannst du versuchen hab ich selbst noch nicht probiert . wenn du den Weg ändern willst über den du kommst sägst du dir den Ast ab. ich würde sagendu machst ne 2. Dialer in die richtung für remote zugang was lt. Cisco CCDA ja bekannt ist. und gehst über den Weg dan schmeißt den alten String weg und fügst den neuen ein. Rate dir allerding bei arbeiten am Remote Geräten, NUTZE DEN RELOAD-COUNTER !!!!

hie wenn ich richtig verstanden habe willst du einen ACS an den Cisco koppeln und die Anmeldung über diesen abwickeln. Probiers mal damit ist aber IOS abhängig der Befehlssatz: aaa new-model ! ! aaa group server tacacs+ "Gruppenname" server xxx.xxx.xxx.xxx = die IP auf dem der ACS läuft ! aaa authentication login default group "Gruppenname" local none aaa authentication enable default group "Gruppenname" enable none aaa authorization commands 15 default group "Gruppenname" none aaa accounting commands 15 default start-stop group "Gruppenname" aaa session-id common best wishes Makana

Hi hier mal ein kurzer Überblick ich hoffe es hilft Dir. Also von deutschen büchern rate ich streng aber die Übersetzungen sind müll und sachlich manchmal gar falsch übersetzt. Es gibt gute von Cisco Certifizierte Bücher auf English ich war mit dem Buch Exam 640-801 echt zu frieden. Der Lernaufwand zur Prüfungsvorbeitung war etwa 8 Wochen und tägl. 2h incl WE einfacher wirds wenn du die Lehrgängebesuchst die aber ein Haufen Kohle kosten. Ich emfehle Die die Prüfungssimulation von Testking zukaufen die 70 euro sollte es dir wert sein das sind die orginalen Fragen und Labore drin. Aber nicht nur die Fragen auswendiglernen das führt zwar zur bestandenen Prüfung aber inhaltlich bleibt nix hängen. d.h Zertifikat ja und wissen gleich null solche Leute braucht später keiner :-) Nee im ernst ist ne gute zusatz Sache denn die erste Prüfung hab ich auch nur auf Basis von Wissen versucht und vergeigt. Die Fragestellungen sind oft so kurios das man einfach das richte weis und das flasche anhakt. Desweiteren besteht die Prüfung aus Konfigurationsaufgaben auf einem virtuellen Cisco die habens in sich, da hilft auch kein Auswendigleren. Alles zusammen genommen würde ich sagen die Prüfung ist sehr anspruchsvoll ich kann das sagen weilich die MS Prüfungen auch hintermir habe und den Vergleich kenne. also wenn du noch Fragen hast dann immer zu :-) best wishes Makana

Hallo hätte da mal ne Frage und zwar versuch sich seit einigen Tagen bisher erfolglos ein Verbindund zwischen einem e1 Controller und einem WIC1T herzustellen. Wenn ich das serial vom E1 Controller aus konfiguriert hab sodass es als Serial1/0:0 ersscheint bleibt es trotz no sh auf reset stehen als Status kann mir einer sagen was Cisco mit reset ausdrücken will ich kenn bloss Up oder Down als Status.