blackbox

Hi, da muss du zwei sachen machen - wenn du den ASDM nutzt - schau auf der Interface Seite - unten - da muss der Haken rein, das auf dem selben Interface geroutet werden darf - und du musst das NAT noch für die Strecke VPN Client nach x.x.2.0 rausnehmen und ggf. im Split Tunnel auf dem CLient eintragen.

Hi, also ich habe diese Woche alleine 10 ASA mit 8.03 und div. VPN´s mit dem Wizard gemacht - ohne Fehler - was hast du den vorher für ne Config drauf gehabt - das Problem ist, wenn du den Wizard benutzt - heisst das immer nur Wizard - sonst kommt er aus dem Trott....

ich vermute eher, das es durch das NAT kommt - an der stelle hat er nicht mehr die 192... - setzte doch mal bei der access-list 121 deny tcp any host 208.65.153.253 nen LOG dahinter und schau was er da wirlich blockt...

Hi, was fragt der Igel den genau - wenn er nach dem Remote Fragt ? Bekommt er die Antwort vom DHCP oder von was ?

Hi, kannst du mir sagen was gegen die ASA Spricht - die kann man ja nun wirklich nicht mehr mit der Pix vergleichen.

Hi, die Access List wird so nicht gehen. Bitte ändern auf : access-list 102 extended permit tcp any interface outside eq www Wenn du es mit dem ASDM gemacht hast - dann steht da aber nicht 102 :-)) Für FTP haettets du neben 21 auch Port 20 benötigt.

Nein das ist bestimmt nicht so gewollt - ich vermute eher, das auf der ASA ein Config Fehler vorliegt - desweiteren haette es sein können, das du einen Trunk Port auf einer 5505 gebaut haettest der aber leider bei der 5505 nur rennen will, wenn es draussen Sonnenschein hat. Wenn man so ein Problem wie du es oben Beschreibst hier stellt, solltest du auch anderen die chance geben, mehr Infos zu bekommen, den ASDM ist was schönes wenn er immer das tun würde was er soll und im Error Fall ist die Commandline halt um einiges besser. PS: Was ist trotzdem als eine sehr gewagte Lösung ansehe, ist die Pix hinter einen DSL Router ? (Vor allem weil du von sowas in einem anderen Thread abraten tust) Mfg

Hast du mal nen Config von der ASA ? Und was ist es für eine ASA ?

Auf jedenfall solltest du das Default Routing von : ip route 0.0.0.0 0.0.0.0 217.0.116.224 auf ip route 0.0.0.0 0.0.0.0 Dialer1 ändern - damit der Dialer1 mal los werkelt.

Der Fehler hört sich genau danach an, als wenn die VLAN´s nicht in der Database wären. Daher war ja meine Idee "Show vlan database" - nur wie der befehl dann heisst, wenn es den in Network Visualizer nicht gibt - muss ich passen, da ich die Soft nicht kenne.

Hi, das was du schreibst sollte auf jedenfall gehen - da ist irgendwas in der internen VLAN Database noch schief. Gib mal ein "show vlan database".

Ich weiss immer noch nicht wie du das vor hast. Du machst ein VPN Connect vom WLAN auf die PIX - vom VLAN4 (nenen wir es mal nameif WLAN) und du bekommst die 172.16.83.x zugewiesen. Nun ist noch die Frage, was du für dieses Netz definiert hast - denke mal Routing nach innen - hast du dafür auch NAT nach aussen definiert ? Wie hast du den SplitTunnel definiert ? Das kann man so global schlecht sagen, dafür braucht man schon die Config.

Das steht in den Ankündigungen bei Cisco auf der WebSite immer mit drauf, welches Gerät geht es bei dir ?

Es wäre interssant, ob du in den Rommon Mode kommst oder nicht ? Den mit Rommon Mode bekommen wir es wieder hin - sonst trauer - dann lag es aber auch nicht ab Update.

Hi, sowohl 8.02 als auch 8.03 - wenn man einen Squid hat - hat man kein Prob (ausser bei den ICA Sessions - da gibt es von mir auch ein BugID bei Cisco mit No Workaround) - aber zum Beispiel Astaro oder MS-ISA will als Proxy - keine Chance.

Hier was du brauchst : username xxxxx callback-dialstring xxxx (oder "" wenn Nummer eigegeben werden soll) password xxxxxx und auf dem Dialer : ppp callback accept Mehr Infos dazu : Cisco IOS Release 12.0 Dial Solutions Command Reference - PPP Callback Commands for DDR [Cisco IOS Software Releases 12.0 Mainline] - Cisco Systems

Hi, das geht mit der Pix 501/506 leider nicht, da du kein IOS 7.x oder höher da drauf bekommst. Erst dort kann man sich sowas bauen. Oder auf die ASA Umsteigen - die hat ja schon IOS 7.x oder höher. Hier findest du dafür Samples : Cisco ASA 5500 Series Adaptive Security Appliances Configuration Examples and TechNotes - Cisco Systems

@Wordo das Problem mit dem DH Key kann ich nicht bestätigen - läuft hier soweit super - ich finde es nur Schade das sie das ganze mit den Verbindungen durch die Proxy´s nicht auf die Reihe bekommen.

Citrix : Du verwendest ja Teile des Citrix Clients und kannst so den Server o. Farm und die veröffentliche APP angeben sowie alle die Parameter die auch der normale WebClient versteht. Config wird alles über den ASDM der ASA - (kannst auch mit CLI machen - aber der ASDM geht da ganz gut) - das Portal kann ich dir mal zeigen, schick mal deine E-Mail Addy über die Forum E-Mail Funktion - oder hast du evtl. ICQ / MSN oder so ? Du gibst die Shares auch nur für die WebOberfläche frei - sprich kannst nicht direkt mappen. Per Java wird der Port von deinem lokalen PC auf den Server umgebogen - z.B. Port 25 auf mailserver.123.de wird für die Zeit der Verbindung auf Port 25 IP 127.0.0.1 umgebogen.

Ich denke auch, das es nicht "die Beste" gibt - was aber bei vielen Käufern schwer fällt, ist zu definieren, was sie aber meinst selbst nicht wissen. Sie möchten einfach immer nur das Beste - und das geht einfach so einfach nicht.

Hallo, ich habe die schon im Einsatz - im Prinzip läuft der SSL Client ohne Probleme. Es gibt nur Stress wenn er durch einen Proxy durch soll. Da ist er sehr Hersteller Abhängig. Das ganze über das Portral läuft auch soweit gut - nur auch hier wieder das Problem, wenn der User hinter einem Proxy sitzt (citrix geht mit Proxy definitiv nicht) - und es muss das Java sauber drauf sein - (am besten aktuell) Falls du gezielte fragen hast - sag Bescheid.

Das wird so auch nicht gehen, da du dafür auf dem nat dich umdrehen müsstest.

PIX und QoS - vergessen wir schnell wieder.

Definitiv - Nein

hi, ich würde die pakete schon mit einer acl auf dem outside interface des routers abblocken - dann kommen sie erst garnicht bis zum nat.