blackbox

Hi Otaku19 ich denke das wird es auch sein : "You can now configure NAT using auto NAT, where you configure NAT as part of the attributes of a network object" Hab einfach keine Kiste zum testen :-) Hat einer RAM für meine Spiel ASA ?

Bitte gerngeschehen

Hi, hier die Release Notes Aber man braucht für die meisten Modelle mehr RAM - mal schauen ob es für meine "Test Kiste" da auch was "kompatibles" gibt.

jau das kannst du genau da dran tun.

Hallo, du machst es eigentlich "genauso" wie sonst auch - du legst ein NATPool an der halt nur die "eine" Adresse hat (sowie er rausgehen soll) und dann NATTEST du den Traffik per ACL Definition auf diese IP. Für diese IP und das Netz der gegenseite definierst du den IPSEC Trafiik. Hier mal ein Beispiel für NAT auf eine IP ip nat pool nat1pool 192.168.17.203 192.168.17.203 netmask 255.255.255.0 ip nat inside source list 100 pool nat1pool overload access-list 100 permit ip any 192.168.100.0 0.0.0.255 Hier sollen die IP´s die von innen (any) und nach 192.168.100.0/24 gehen auf die 192.168.17.203 genatted werden. Danach kannst du dann einen VPN IPSec Traffik für 192.168.17.203/32 <-> 192.168.100.0/24 definieren.

Hi, wenn sie genug FLASH und RAM hat sollte es gehen (die 515 musste man ja "pimpen")

Hi, kannst du mal ne ganze Config geben ? Telnet musst du auch freigeben - sollte nen "TELNET NETZ MASK INTEFACE" drinstehen. Manchmal muss man auch den "alten" Host noch löschen. Aber der PDM 2.x ist nicht gerade wirklich "frisch". Aber gibt bitte mal die komplette Config. Puh PIX 6.2.2 ist vom 28.6.2002 :-( Den PDM gibts schon garnicht mehr auf der Site. Evtl. mal "umschauen" ob du irgendwo ne aktuellere PIX Soft bekommst - ist leider nicht frei.

Hi, sh kannst mit "sh version" nachsehen ob ein PDM installiert ist (du siehst ihn nicht im Flash - da er in einen anderen Bereich "geladen" wird). Die Netzmaske kann gut sein - dann hast du nur zugriff vom 192.168.0.2 (beim Quicksetup fragt er ja nach dem Client der auf den PDM zugreifen soll) (da kann man nur ein Host angeben) Am besten zusätzlich "http 192.168.0.0 255.255.255.0 inside" einfügen - wenn du das Netz hast.

Hallo, klar kannst du das machen - du musst halt mehrere NAT Statements machen und dann die entsprechenden ACL so wählen - das dann immer die passende NAT Rule greift. Auf jeden Overload hast du ja eine ACL

Äh - für Traps ging es eigentlich schon immer - beim Check muss man halt überlegen was man überwachen will und ggf. direkt den SNMP abfragen - da kann man alles gestern und heute abfragen.

Hallo, ich vermute auch das der Cisco den Port abschaltet weil Speed Duplex oder ähnliches nicht passt und er defekte Pakete bekommt. Ich glaube nicht das es mit Spanning Tree zusammenhängt - das ist kein Grund den Port auf einem Router zu deaktivieren (der spricht in der Regel default nichts in der Richtung). Dein Provider soll dir mal sagen - wenn die Kiste sich weggehangen hat - was dem Port da nicht passt. Du kannst aber auch einfach mal das Consolen Kabel am Cisco anschliessen - seine Probs kannst du evtl. auch sehen - ohne das du dich einloggst (jenachdem wie die Kiste eingerichtet ist).

Wie gesagt - wenn du Nagios hast - hast du doch alle Möglichkeiten

Und wenn dir das mit dem Check nicht reicht und du mehr vom Interface haben willst - sag Bescheid - baue dir das passende

Warum liest du per Nagios (SNMP) nicht direkt den Status des Interfaces aus ? Ist doch sinnvoller wie eine IP anzupingen

Hallo, auch hier gilt - jede IP nur "einmal" - sonst hast du "duplicated IP". Es ist zwar ein Switch mit L3 Feature - somit ist es ein Router und er verhält sich da auch so...

Hallo, dafür das du hier so eine Welle gemacht hast... schon alles so interessant...

Hallo, ganz einfach - wenn ich mir dein Bild oben anschaue - sehe ich nur nein Netz (192.168.203.x) - Keine Subnetmasken - keine Infos - welches Netz wo an welchem Router anliegt. Das Bild ist schön - es fehlen aber mind 50% der Infos. Zeig es einfach mit Worten auf : Netz Verwaltung IP / Maske Eva ...... usw. dann was die Router tun - sprich - routen zwischen Netz IP/Maske und haben an welchem beim was anliegen. Und dann zu guter letzt - auf welchem Router du die ACL´s gerne haettest. Den so müsste ich mich erstmal hinsetzen und ne Netzdoku schreiben - denke aber das wirst du uns schon geben können.

Hi, denke mal - da haben ein paar "größere" Kunden ihr Veto gegen den Anyconnect eingelegt - denn IPSec ist nun mal nicht SSL :-)

Hi, verstehe auch nur das der Koffer geklaut ist :-( :-(

Hi, das mit dem half Duplex beim CoCo kenne ich auch - die nehmen das immer nur erst nach "Anruf" da raus - keine Ahnung was die da reitet.

Hallo, was ist genau getauscht worden - bevor die Fehler aufgetreten sind ?

Das kann auch ein Duplex/Speed Problem sein - bei das meist anderst aussieht - aber genau in der Richtung - Switch - Leitung - etc müssen wir suchen

Hallo, das könnte auf jedenfall ein Ansatz sein - den CRC heisst das bei den Paketen "offensichtlich" die Checksumme nicht passt - das deutet eigentlich auf defekte Hardware hin. Ich würde mal den Switch im ersten Step tauschen.

Hi, das nennst du besser : 499 input errors, 18 CRC - das sind rund 10% !!! da muss nen Wert gegen 0 bei den CRC stehen - du bekommst defekte Pakete da rein - laufen die alle über den selben Switch evtl. das der Amok läuft - wie sind die Leitungswege ?

Hi, also das Verhältnis 4589 Packet zu 40 CRC und 7902 zu 25 CRC ist schon sehr "HOCH" - da stimmt was bei dir auf der Line nicht. Das mal nen CRC Fehler kommen kann ist OK - aber nicht in dem Verhältnis.