blackbox

Hmm - hatte bei keinem Update bisher die Meldung - geht es den nicht oder was passiert dann..

Hast du den Port evtl. nach innen "Genattet" ?

Hi, das wäre ja toll gewesen - wenn es so gewesen wäre - es waren aber 2 PMXer - habe mit denen Telefoniert - Arcor kann lt. Aussage nicht PMXer nicht "Bündeln" zu 4 - sondern es bleiben 2x2 (keine Ahnung warum) - nun haben wir ein 4 MBit SDSL - da können sie es und es ist günstiger. (Haben dann Argumente wie höhere Verfügbarkeit gebracht - aber was bringt mir das wenn ich keien "Performance" bekomme...

Hi, erstmal kann ich dein "Ziel" nicht so ganz erkennen - warum nen 1751 vor nen 871 ?!? Desweiteren wird das nichts werden - wenn du auf den 1751 *nicht" NATest - den überlege dir mal das Routing - deine Pakete würen mit einer 10er Adresse ins Inet gehen - da wird es keinen Rückweg mehr gegen.... (desweiteren blocken die meissten Provider Privat IPS)

Hi, eigentlich brauchst du nur die Inspect aktivieren - dann geht PPTP - da ich aber nicht weiss welche Regeln du von innen nach aussen hast - ist das schwer zu sagen. Von aussen nach innen brauchst du dafür keine Rule

War ja auch nur ne "Sicherheitsfrage" :-)

Hi, evtl. hilft die da ja PPTP Through ASA

Ich frag aber bei der 5505 mal vorsichtig - welches Modell.... Wegen MAC Adressen begrenzung.....

@Nightwalker :-) :-) :-)

@Nightwalker - hatte ich doch schon weiter oben vorgeschlagen :-)

Hi, wie hast du den den "LDAP" abgeschaltet ? Ausgemacht ?

Hallo, ich verstehe nicht ganz - welches Problem du genau hast - da das PDF ja sehr genau die Parameter vorgiebt - du musst sie nur von deinem Server aus der AD übernehmen. Wenn du diese nicht genau kennst (Gruppenname oder so) - empfehle ich dir den Softerra LDAP Browser - da kannst du schön die LDAP Einträge der ADS ansehen und ggf. mit Cut/Paste rausnehmen (geht fixer wie tippen)

Du musst deine "NAT 0" Regel darum erwietern - das er diesen Traffik nicht "NATten" will. Im ASDM unter NAT eine NAT Except Regel.

Ähh - wie ? Und soll er dann das eine oder das andere Modul nutzen ? Die werden doch "intern" angeschrochen - nicht über die externen Interfaces....

Hi, die Zugangsdaten kannst du im laufenden Betrieb wechseln und auch einen "Reconnect" auslösen - Gruppentausch habe ich noch nie getestet

Hi, wenn ein Fehler aufgetreten wäre - würde da nicht "OK" stehen. Das IOS hat die Checksumme mit in der Datei stehen und er berechnet die und vergleicht die - die C dürften eigenlich nur dafür stehen das er am "Checken - oder auch berechnen" ist - damit eine "Ausgabe" kommt und man nicht den eindruck hat das er abgesemmelt ist.

Hi, du musst den "Tunnel" auf beiden seiten im Bereich IPSec Policy erweitern über die IP Range.

Hi, ein DHCP Renew löscht im gegensatz zum "Lease-Extend" die laufende IP und holt sich eine neue - im schlimmstenfall würde er eine neue bekommen und dann kannst du deine Sessions ja in den Wind schreiben. Das selbe gilt - wenn du den Access Point wechselst und der andere im anderen Segment ist - dann sind deine Sessions auch futsch (woher sollte der Server wissen das der Client nun eine andere IP hat). Es wird nur über einen "Gratuitous ARP" gehen - oder der Client erzeugt "Traffic" - ich bin mir beim Roaming nicht ganz sicher was passiert wenn du einen Controller hast und über den der Traffik läuft - dann könnte es sein, das der mitbekommt - "wo" der Client sich jetzt befindet. "

Hi, wenn der Switch1 - wie vor kurzen bei einem Kunden von uns - einfach noch alle Links hatte - aber keine Daten mehr "transportiert" - dann passiert dort einfach nix. Die Firewalls müssen auch an beide "Switche" - sonst hast du nur eine gefühlte Sicherheit.

hi, ne wenn du dir die Zeichnung ansiehts - ist das nicht so - je Firewall nur ein Switch.

Es passiert aber nix - wenn der Link zum Datenbankserver wegbricht - dann schaltet er nicht auf die andere Firewall...

Hi, du musst aber aufpassen - was die Aktiv - Passiv Firewall betrifft - wenn am "Aktiv" Link nicht am Switch der Link wegbricht - schaltet die Firewall nicht um. Da ggf. mit Keepalives arbeiten - die durch die Struktur gehen

Hallo, das ist klar - das sie bei "Show Run" nicht angezeigt werden - es sind die "Implizit" Rules - also die - die feste im Kernel hinterlegt sind und auf den Security Level basieren. Das wirst du im ASDM nicht auf "Dauer" abschalten können - nur immer wieder neu in der Anzeige.

Hi, ne da kannst du nix einstellen.

Hi, was heisst umgestellt auf "Feste" IP - habt ihr weg von PPPoE auf eine Fixe IP auf dem Etehernet (sprich vorher ein PPPoE Dialer - jetzt die IP auf dem Interface) - dann stimmen sehr wahrscheinlich die NAT Rules nicht mehr - die zeigen wahrscheinlich auf das Dialer Interface. Brauchen da halt etwas mehr Info - am besten die Interface Config - die Access Listen und die NAT Rules posten