blackbox

Hallo,

da kann man so fast nix zu sagen was da fehlt. Einfach Configposten (externe IP´s und PWs unkenntlich machen)

"Wenn ja, warum geht dann beim Natten die Sicherheit der zweiten Firewall flöten und beim Routen nicht?" das hat keiner gesagt - nur wenn du routest - dann gehen die Pakete zu deinem "internen" Netz über den gezeichneten Beipass - da das Netz ja an der Firewall "directly connected" ist - dann kannst du route reinschreiben wie du willst :-))

Eine Variante wäre folgende : Du baust es wie oben - und läßt die VPN Clients IP´s aus dem Transfernetz bekommen. Der TMG kann routen - den bei NAT würdest du Probs bekommen wenn die IP´s der Clients nach innen wollen. (Regelwerk auf dem TMG). Schwieriger wird es mit der LDAP Abfrage - hier wirst du ein kleines Loch machen müssen - um an die Daten zu kommen - warum nimmst du nicht die "Radius" Funktion - da musst du ja keinen direkten Zugriff auf die AD geben ?

Hallo,

dein Design halte ich so nicht für Sinnvoll - den du wirst noch weitere Probleme so bekommen - den die Clients die in dein AD Netz wollen - würden immer über deinen AD Link gehen - da die FW ja das Netz an dem Port nur kennt - egal welche Routen du ihm gibst.

Ich nehme an - du möchtest ein 2 Stufen Firewall System aufbauen ? Du kannst natürlich für die Clients einen "ByPass" an dem Forefront vorbeibauen - aber dann hebelst du ja die doppelte Sicherheit wieder auf. Und DHCP kommt ja nun vom AD Server vermutlich.

Erkläre erstmal was du genau vor hast und was der Forefront für Funktionen übernimmt - Routet er - Natet er ?

Dann kann man überlegen wie man das Sinnvollerweise baut.

was meldet den dein System - was meldet rvs - passiert auf dem Router was wenn du den Bri debugst ?

Hi,

Update : Habe keine fertige Config gefunden - dafür hatte ich in meinem Doku Verzeichnis den Link hier - da steht alles zu der RCAPI drin und wie man sie einrichtet und auch checkt. Ist irgendwie verdammt lang her :-)

Hi,

ich schau mal nach was man da damals machen musste. Irgendwo habe ich da noch ne alte Config sicher im Archiv. Meine aber es wäre nur das aktivieren der RCAPI auf der Büchse gewesen...

welches software hast du den auf dem pc - den es ging nur mit der rvs com Software.

Hallo,

der 801 kann nicht faxen - einzige was mal bei der Büchse ging - war eine Remote Capi (RCAPI) - sprich man hatte die ISDN Karte im Router und benutze die unter Windows mit einem CAPI Treiber und einer Fax Software für ISDN. Die Software die man für die RCAPI unter Windows benötigte konnte aber meines Wissens max Windows 2000 wenn überhaupt und war von RVS COM.

Hallo,

vergleiche mal die "Watt" Leistung - die gebracht werden. Die sind nur für 2 Switche ausgelegt - so auch im Whitepaper genau aufgelistet.

Schau mal hier - in der Tabelle 1

Hallo,

man beachte meinen Post vor "deinem" vom 29.03.2008, 09:20 - die "G" Serie kann das zurückschalten nicht !

Die RPS2300 hat ja wie du bei der Installation gemerkt hast - 2 Netzteile - die können jeweils einen "Switch" mit Energie versorgen. Somit ist das mit den 2 Switchen die ausfallen dürfen korrekt.

Die RPS sind wieder der Name sagt - ein "Remote" Power Supply - wenn ein anderes "Ausfällt" - nicht wenn die Energiezufuhr ausfällt.

Da wäre die "X" Serie eher das richtige für dich gewesen - die haben "intern" die Möglichkeit auf 2 Netzteile und man kann sie im Power Stack schalten.

Siehe zum Thema Stack-Power

Hi,

habe es mal im Configurator eingegeben :-) Das wird so nix :-)

Errors

1. Two or more selected items are incompatible. Selected or default-included item [EHWIC-D-8ESG-P] is incompatible with: [HWIC-4ESW]. Please change one or more items.- - - -Two or more selected items are incompatible. Selected or default-included item [HWIC-4ESW] is incompatible with: [EHWIC-D-8ESG-P]. Please change one or more items.

Suggestions

To correct this error REPLACE the EHWIC-D-8ESG-P from the following options

(2901 MODULES:2900 WIC CARDS:WIC LAN OPT:EHWIC-D-8ESG-P)

Product Number and Description List Price

HWIC-4ESW-POE

4-Port Ethernet Switch HWIC with Power Over Ethernet

(2901 MODULES:2900 WIC CARDS:WIC LAN OPT:HWIC-4ESW-POE) USD 575.00

HWIC-D-9ESW

Nine port 10/100 Ethernet switch interface card

(2901 MODULES:2900 WIC CARDS:WIC LAN OPT:HWIC-D-9ESW) USD 800.00

HWIC-D-9ESW-POE

9-Port Ethernet Switch HWIC with Power Over Ethernet

(2901 MODULES:2900 WIC CARDS:WIC LAN OPT:HWIC-D-9ESW-POE) USD 1,080.00

OR, to correct this error REPLACE the HWIC-4ESW from the following options

(2901 MODULES:2900 WIC CARDS:WIC LAN OPT:HWIC-4ESW)

Product Number and Description List Price

HWIC-4ESW-POE

4-Port Ethernet Switch HWIC with Power Over Ethernet

(2901 MODULES:2900 WIC CARDS:WIC LAN OPT:HWIC-4ESW-POE) USD 575.00

HWIC-D-9ESW

Nine port 10/100 Ethernet switch interface card

(2901 MODULES:2900 WIC CARDS:WIC LAN OPT:HWIC-D-9ESW) USD 800.00

HWIC-D-9ESW-POE

9-Port Ethernet Switch HWIC with Power Over Ethernet

(2901 MODULES:2900 WIC CARDS:WIC LAN OPT:HWIC-D-9ESW-POE) USD 1,080.00

OR

To correct this error REMOVE from the following options

Product Number and Description List Price

( 1 ) EHWIC-D-8ESG-P

Eight port 10/100/1000 Ethernet switch interface card w/ PoE

(2901 MODULES:2900 WIC CARDS:WIC LAN OPT:EHWIC-D-8ESG-P) USD 995.00

( 1 ) HWIC-4ESW

Four port 10/100 Ethernet switch interface card

(2901 MODULES:2900 WIC CARDS:WIC LAN OPT:HWIC-4ESW) USD 425.0

Hi,

du kannst den Server in eine DMZ stellen - dann kannst du es mit NAT so bauen - das auch die externe von innen erreichbar ist. Nur wirst du nie eine externe IP von innen - nach innen auf eine echte umleiten können. Einfach mit VPN arbeiten.

Hi,

ein normaler ist ein Layer 2 ;-) - Nix IP nur MAC Adresse.

jeder standart router kann port forwarding

Zu dem Thema - es sind ja eh nur "Test" Daten darauf - das ist der übliche "Gedanken" - aber wenn der Roboter so an den Server kommt und von da "****sinn" aus machen kann - hast du auch freue - jemand zu erklären warum du Späm und Viren verteilst

Hi,

wie oben steht bis zu in einem Cisco Forum - da ist natürlich der Satz "muss ja nicht unbedingt Cisco sein" etwas unpassend.

Du kannst zum spielen die "ehemaligen" Linksys Produte für sowas nehmen und wie oben erwähnt den Port durchreichen. (Das sind dann aber "HOME" Produkte die ich garantiert nicht im Business oder ähnlichen verwenden würde - da man hier nicht von einer Firewall wirklich sprechen kann). Wobei ich das VPN auch nicht auf den SBS machen würde - da das Ding eh schon die Eierlegende Wollmich Sau ist.

Warum intergriertes Modem - sowas ist eigenlich auch in dem Bereich nicht üblich - da wenn man den "Anbieter" wechselt ggf. direkt die Firewall mit wechseln darf.

Und unter 200€ ist definitiv nicht die Produkte die hier im Forum als Firewall supportet werden.

ok - dann müssen wir mal weitersuchen was da passiert... denke....

notfalls mal mit "sh run | in inspect" suchen gehen

Denke das wird mecker geben

Rules

Evtl. ein bischen googlen.

Hi,

doch ist der Codec den H.323 verwendet. Der Inspect macht eine Überwachung der Befehle die für den Codec verwendet werden dürfen (sprich er schaut in den Datenstrom rein und überprüft - was da passiert und ob es den Regeln entspricht.) Wenn man das ding mit "NO" abschaltet - tut er das für dieses Protokoll nicht mehr. Das Problem bei den Codec´s ist - das "jeder" das etwas anderst auslegt (Cisco verwendet das ja auch) - z.B. bei einer Avaya bekommt man mit "Inscpect" das Telefon angemelt - hört aber nix - bei einer Siemens kann man das Telefon meist garnicht anmeldet...

Die Anlage verwendet G711 oder Komprimiert G729. = H.323

Ich meine auch das INSPECT H323

policy-map global_policy

class inspection_default

no inspect h323 h225

no inspect h323 ras

Hi,

jau - hatte ichmir gedacht - in der Regel sind aber im Default für das G711 / G729 die Fixup aktiviert - schau mal nach.

@Otaku19 - wenn du den 2960S mit "SDM prefer LanBase-Routing" umstellst kann er auch routen. Nur halt ziemlich eingeschränkt. Auf der Webseite zählt der 3750-X aber auch schon zu Distri/Core :-) :-)

Da du es am CLI ja nicht locker von der Hand geht - nimm doch den ASDM - wobei NAT ist eigentlich das einfachste auf ner ASA.

Sehr seltsam - normalerweise sollte es es exportieren - muss ich mal an ner ASA checken - wenn ich eine in den Händen habe.