blackbox

Hi, der Layer3 sollte eigentlich nur ganz einfache Regeln bearbeiten (Halte ich auch für Sinnvoll) - aber warum schreibst du das die FTP Regel nicht geht ?

Sag mal - tschuldigung - aber das steht alles in dem Link drin.

Jau - somit hast du die 6.2 drauf. Dann brauchst du die np6.2 - die musst du den in das TFTP Verzeichnis bei dir auf dem Rechner legen, damit du von der FW drauf zugreifen kannst.

da muss noch mehr kommen - das ist nur das "ROM" - nicht die laufende - da kommt irgendwo das CIsco LOGO - dabei steht auch die Version.

Hallo, das siehst du wenn du die Firewall über das Serielle Kabel verbunden hast und das Terminal Programm eingerichtet hast. Dann die Firewall booten - dann sagt er es dir. Du muss mit dem TFTP auch nicht raus kommen - ist wie FTP nur ohne Benutzer/Passwort. Die Firewall greift dann auf den TFTP zu.

Hallo, wo ist dein Problem ? Wenn du Schritt für Schritt aus dem Link von mir oder Dexx (sind die selben) das ganze machst geht es - wie weit kommst du - an welchem Punkt scheiterst du ?

das muss so klappen - habe es mehrfach schon so gemacht, was für eine Software Release hast du drauf - bzw. wie weit kommst du ?

Hallo, der link den ich doch geschickt habe - ist doch eine "Step by Step" Doku ?!? - In deutsch wirst du das nirgends finden.

Hi, Ich habe aber gerade mal ausprobiert - die Lösch Files kann man scheinbar doch ohne Login laden - dann solltest du es lt. Doku hinbekommen.

Hi, gucks du hier : Password Recovery and AAA Configuration Recovery Procedure for the PIX [Cisco PIX 500 Series Security Appliances] - Cisco Systems Brauchst aber einen CCO Account - und das Image laden zu können.

In der Standard Version kannst du davon aber nur 3 benutzen. ASA5510-BUN-K9 : Cisco ASA 5510 Firewall Edition includes 3 Fast Ethernet interfaces, 250 IPsec VPN peers, 2 SSL VPN peers, 3DES/AES license

Der Port ist ja auch mit Inspect offen - nur es werden die Befehle überwacht und was nicht schön ist verworfen (aber nach aussen mit "alles OK" bestätigt) - auf dem Router solltest du falls du da eine Firewall Feature drauf hast auch die Inspects finden. Soviel von der 18er zur ASA. Andere Richtung - wie du schreibst - wo alles Blocked ist - das hört sich eher nach nem Block auf der ASA an - kommt da was im Log - bzgl. was sagt das Logging auf dem 1800er wenn du das aufdrehst ?

Ne das braucht sie nicht - nur dann haette die Anzahl der Interface ja nicht mehr gereicht.

Jau dann kannst du das mit der 5505 so machen - mit der 5510 haettest du dann echt "SEC" gebraucht - sonst haette der Speed nicht gereicht.

Hi, auf dem Switch dann wieder auf VLAN´s - denke ich mal - was für Speed brauchst du den zwischen den VLAN´s bzw. zum WAN ?

Hi, wenn du einen VLAN Switch dahinter haettest, konnetest du die DMZ´s über einen Port per Trunk rausführen - das geht ohne Sec. Wenn du aber die 100MBit Speed brauchst - dann - richtig - muss es die Sec sein. (Im Vergleich 5505 - 5510 kann die 5510 mehr als 2/3 Vlans ohne Sec)

Hi, die Ports im VPN Tunnel sind offen - die Pakete werden nur vom "Paket Inspection" nicht durchgelassen - da die nicht dem "Cisco H.323" entsprechen - habe ich bei Avaya Anlagen auch wenn die durch einen Tunnel gekoppelt werden. Teste einfach : policy-map global_policy class inspection_default no inspect h323 h225 no inspect h323 ras

Hi, jau damit kannst du das machen was du willst und von der Performance ist du weit über ner 515er - ist halt kein 19" - der echte Nachfolger ist halt die 5510er... Aber die kann noch mehr "Dummheiten" :-)

Hi, da sollten dir aber z.B. die Passwörter für die VPN´s fehlen - die werden bei der Art nicht angzeigt - nur beim sichern auf einen TFTP. Das einspielen am besten mit copy tftp startup. Gruss Micky

Hi, was meinst du mit "eigenes DMZ" Interface - alle Ports im "DMZ" VLAN oder 6 einzelne Netze ? Die 5505 trennt alles nur per VLAN´s und setzt dann die Ports auf "switchport mode access vlan x"

Hallo, der 32 Bit rennt definitiv nicht - anyconnect ist eine alternative, wenn dein Gerät SSL VPN kann - ansonsten musst du auf 3rd Party Produkte zurück greifen. Offizelles Cisco Statement : Currently Cisco does not offer an IPSec VPN client for the 64-bit Windows Vista OS. However, you can use the AnyConnect software, which requires an ASA5500 Firewall with 8.0+ software or a Cisco ISR Router with Advanced Security feature set version 12.4(15)T or higher IOS. This will allow remote users to connect to the ASA5500 or ISR via SSL VPN from a 64-bit Windows Vista installation. Release Notes for Cisco AnyConnect VPN Client, Release 2.2 http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect22/release/notes/anyconnect22rn.html Note: the Windows Vista version of AnyConnect (32-bit and 64-bit) supports everything that the Windows 2000 and Windows XP versions support, with the exception of Start Before Login and Cisco Secure Desktop which is separate product from AnyConnect.

Hallo, wenn man grosse Netze mit mehreren Ringen aufbaut - dann ist man froh wenn man VTP hat - den dann kann man schnell mal einen Ring woanderst herlegen - ohne alle Switche anpassen zu müssen - so aber 20 Switchen ist man da schon sehr froh.

Hi, er muss die VLAN´s in seine Vlan Database haben - sonst macht er damit garnix - das ist ja auch der Grund warum es z.B. VTP gibt - damit man diese nicht händisch auf jedem Switch pflegen muss - wenn man größere Netze mit Redundanzen baut.

Hallo, hast du da etwas mehr Infos zu - am einfachsten - mit den Standard "NAT OVERLOAD" - und das auf Basis von Access Listen. Da man aber nicht weiss welchen IP Segement welches VLAN hat kann ich dir da auch nix zusammen schreiben - desweieteren - was hast du da - Router / Switch / Firewall ?

Das wird nicht wirklich gehen - das würde nur gehen wenn du eine "Bridge" bauen würdest. Ich schlimmsten falle könntest du ein Netz auf ein anderes Netz 1:1 'Nat'ten - aber alles andere als Sinnvoll. Überlege mal - du müsstest eine IPSec Policy machen von Netz A nach Netz B - aber beide sind gleich - wie soll da ein Paket nach da drüben gehen und desweiteren - wenn du in deinem Internen Netz bist - und z.B. die ASA als Default GW hast - würde ein Paket ja nie zum Default GW gehen - da es ja zum "eigenen" Netz gehört. Da brauchst du nicht zu testen - da klappt so nicht.