blackbox

Hallo Myoey schau dir mal den Thread http://www.mcseboard.de/cisco-forum-allgemein-38/catalyst-switch-etherchannel-lacp-vs-pagp-146231.html an - da haben wir glaube mal alles durchgenommen :-)

Wegen dem Kabel kann ich mal in meiner Kabel Box suchen :-)

Hi, hier hat nicht rein zufällig noch einer 19" Winkel für nen 7206 ? Das ist bei mir der - den ich nicht fest bekomme :-) Dann würde ich auch mal nen Rack schiessen gehen.

Hallo, ich würde dir raten - jemand zu fragen - der mit deinem WebSystem um kann - das ist ein Problem von diesem - da man zum einen NIE auf eine IP im WebSystem Routet und ob du oder Puppsnase die Domain Registiert hat ist doch Total egal - es ist eine Domain und die sollst du eintragen. Dann geht es und wie gesagt - alle Webserver arbeiten nicht auf basis von IP - wenn du sowas gebaut hast - dann hast du ein Problem - den du machst es anderst wie alle. Es ist kein Cisco Problem - da alle anderen Namenhaften (nicht Homeuser) Systeme es genauso machen - oder willst du eine Fritzbox mit einem Cisco Router vergleichen - das eine ist Homeuser made - so einfach das es bei jedem Depp läuft und Cisco - da was in der Business Klasse läuft.

Hi, wenn du es so machst wie ich es dir geschrieben habe und auch @collapse dann wir es gehen - ich denke eher du hast ein "verständnis" Problem wie DNS und wie WebServer arbeiten. Webserver haben auf IP vor ca. 10 Jahren mal gehört - seid man mehrere Webs auf eine IP packt - ist die IP Schall und Rauch - es zählt nur noch die URL (oder meinst du soviele Webs wie es bei den Providern gibt - haetten die IP`s (dann haetten wir längst IPv6). Das hier ist ein Router oder Cisco Problem - das ist ein Design Problem von deinem Construkt - desweiteren gehört ja nun ein Webserver im Business in eine DMZ - da geht es nur so.

Hi, dann haben mich meine grauen Zellen doch nicht im Stich gelassen *grins*

Hi, sollte auf dem Ethernet Interface sein - ich überlege gerade - sollte Patch gehen - ich nehme immer die Kabel die beim Speedport 20x Modem dabei sind - das sind Patch.

Hi, warum willst du ihn den über die "IP" ansprechen - nimm doch einfach einen Namen und trage den in deinem Lokalen DNS mit der "passenden" IP ein. - sprich du hast jahresdomain.de | IHR DOMAIN HOSTER - dann lege in deinem lokalen DNS die Domain meinserver.de an und mach ne eintrag für www - (du musst halt nur dran denken - das du die Domain dann an beiden DNS pflegen musst) (sonst hilft dir aber halt nur ne ASA die sowas mit NAT tricksen kann)

Hi, 4tens geht leider bei dem 3500xl nicht (der Name passt eigentlich nicht - ist eher mit einem 2950 zu vergleichen)

Hi da der 3500XL nur ein Layer 2 Switch ist - sind ihm die IP´s egal. Du kannst das ganze nur über VLAN´s machen - dann kommst du aber nicht mehr von einem VLAN ins andere - dafür brauchst du dann noch nen Router. Falls du aber "alleine" bleiben willst - kannst dud dir für deine Geräte ein eigenes VLAN machen - aber halt von da kommst du halt nicht so raus.

Hi, leider geht der Link nicht - scheinbar Session Problem im Forum - was hast du den da für nen Topic - dann kann ich es mir mal ansehen. Gruss

Hi, hast du "jetzt" die Lifetime angepasst - oder war die angepasst - nimm von der ASA noch die "crypto ipsec security-association lifetime kilobytes 4608000" runter oder füg die auf dem Router noch hinzu - falls du doch mal die kilobytes erreichen solltest (kenne die Bandbreiten nicht). Was mir noch auffällt - beim Zetrale Router hast du für Phase 1 keinen HASH definiert - aber das sollte nur ein Schönheitsfehler sein, da du die Verbindung ja aufgebaut bekommst.

Hallo, welches Interface ist den Outside2 ? Die PoE Ports würde ich nicht für Lan Failover nehmen - wo ist das VLAN 4 vom Port 0/6 ? Der ganze Fehler hört sich nach fehlerhaften "Lifetimes" an - da ich nicht erkennen kann wie es auf der anderen Seite ist - solltest du das überprüfen. Welche von den Cryptomap ist den die Richtige - da du untzerschiedlich die IPs´entzaubert hast - kann man da nix mehr zuorden.

Hi, den wirst du nur in einer show running sehen - auf dem show interface wirst du den nicht finden. Das mit Flapping - da hat jemand nen Channel versucht auf dem angeschlossenen Gerät zu bauen - aber der Switch weiss nix davon.

Hi, ich habe es jetzt mal auf "2" IAS verteilt - den einen für VPN und den anderen mit einer "If Member of" abfrage direkt auf dem IAS - dann geht es. Das ****e beim IAS ist, das er nicht auswerten kann - von wo der Request kommt (er zeigt es im Logfile zwar sauber an (ip:souce-ip) - aber auswerten - keine Chance - lt Doku nur wenn man mit MS-RAS arbeiten (Bullshit). Nun habe ich den "Tekradius" noch entdeckt - werden dem mal antesten (ACS habe ich auch - aber ich suche mal ne "free" Lösung - so für Zuhause und Co.)

Hallo, ich stelle mir immer mal wieder die Frage - ob es nicht doch irgendwie geht - das man bei der ASA ne AAA Abfrage bauen kann gegen die ADS (LDAP) - ob jemand in einer "Gruppe" ist oder nicht und damit steuern das er surfen kann. Ich würde dafür gerne den IAS nehmen (für Remote Dial In mache ich es ja schon). Man kann ja auf dem IAS noch ein weiteres Profil erstellen mit einer Abfrage auf eine Gruppe - nur dann beist es sich ja mit dem Dial IN. Irgendjemand ne Idee dazu (hmm vielleicht zweiter IAS - mal probieren) Gruss Michael

Hi, warum sollten die den Routing Protokolle brauchen - auf einem Router brauchst du doch auch keine wenn du mehrere Interface hast. Nix anderes ist das auf dem Switch.

Hi, mit den IP´s habe ich zum Glück keine Probs (hab 32 Class C im Zugriff :-) ) Denke aber das der Provider welche rausrückt - aber warum nicht in der DMZ "unechte" nehmen ? Gruss

Hallo, dir bleibt dann nur 2 Sachen übrig - du ersetzest das Transfernet durch "echte" Adressen - oder du versuchst (untestet) - die externe IP der ASA zu natten (wobei ich hier nicht wirklich glaube das es geht) (und du müsstest ja auf dem 3560 NAT - was eine weitere Hürde darstellt. Ich kenne das Problem bei uns selber - wobei wir genügend echte IP´s haben. PS: Warum verwendest du in der DMZ die echten - nat doch dahin - dann kannst du auf der Transfer die echten nehmen und bist dein Prob los. Gruss Michael

Hi, ich denke das wird nicht gehen - da du immer nur das IPsec auf das Interface binden kannst, auf das auch das Paket in der ASA aufschlägt. Zum Test - setzte mal einen PC ins 10er Transfernet und mache es auf die 10er Addresse der ASA - das wird gehen - nur nicht hinter die ASA. Das sollte mit der Physik der ASA zusammen hängen - des die Regeln sind so aufgebaut - das auf dem ankommenden Interface entschieden wird - ob das Paket zum Kern darf oder nicht - wenn es da ist - hat es freie Bahn - und das wäre bei einer IPSec oder auch anderen Verbindung tötlich.

Hi, ne dat gibt es nicht - da du die Kabel ja nicht splitten kannst oder nen Y Kabel dran machen. Da denke ich - hast du leider verloren.

Hallo, wenn dir die Karte in den Geräten stirbt - stehst du egal was für einen Switch du dahinter hast im Dunkel. Wie soll es sonst gehen ? Da kann keine Technologie was für wenn dir der einzige Ast abbricht auf dem du sitzest. Gruss Michael

Hast du auf beiden Seiten feste IP´s - mich wunder das 0.0.0.0 - das sieht so aus, als wenn er bei der ankommenden Session nicht das passende IPSec dafür findet und nach einem sucht was auf "alles" steht. Hast du ein wenig mehr Infos zu den Config´s ?

Hi, ersten das Routing ist überflüssig "route outside 192.168.5.0 255.255.255.0 192.168.0.1 1" da das Netz ja an der Firewall anliegt. Desweiteren hast du zwar eine "inside_outbound_nat0_acl " NAT 0 Access Liste - die ist aber nicht dem NAT zugeordnet. So in der "Art" : nat (inside) 0 access-list inside_outbound_nat0_acl

Hallo, welche Command´s davon existieren nicht mehr ? Also bei mir gibt´s die soweit ich das überblicken kann alle noch in der 5er IOS und mit einem ACS rennt es auch. Ich habe es noch nie mit einem IAS versucht.