xunil2

Danke schön erstmal.

Hat schon jemand Erfahrung mit likewise sammeln können oder kann mir tips geben, was ich am besten benutze...

oder vielleicht nen link auf einen blog....

wie habt ihr das mac problem in eurem netz gelöst... oder habt ihr es gar nicht gelöst???

lg

xunil

Hallo zusammen,

nun ist es soweit die hälfte unserer Clients sind Mac's....

Soweit so gut, nur stehe ich jetzt vor dem Problem wie ich vorhandene Gruppenrichtlinien auf die Macs ausgerollt bekommen...

Hat jemand von euch die gleichen probleme und eine lösung dafür...

Bin für jeden Tip dankbar.

Gefunden habe ich Software wie Likewise oder Casper - habe mir diese aber noch nicht im Detail angeschaut.

Viele Grüße,

Xunil

Hallo,

auch ich kenne das Problem mit UMTS / Windows 7 und dem Cisco VPN Client.

Entweder du benutzt den VPN Client von NCP (kostet was) oder du lebst(wie wir) mit dem Workaround einer DFÜ Verbindung.

1. PIN Abfrage der SIM-Karte deaktivieren (man kann die SIM-Karte auch vorher mit der automatisch eingerichteten "mobilen Breitbandverbindung" entsperren)

2. Im Netzwerk- und Freigabecenter eine neue Verbindung einrichten
2.1 Verbindung mit dem Internet herstellen
2.2 Wählverbindung auswählen
2.3 UMTS Modem auswählen
2.4 Einwahlrufnummer: *99#, Benutzername, Kennwort des jeweiligen Providers, Verbindungsname beliebig
2.5 Verbindung einrichten

3. Systemsteuerung => nach "Modem" suchen
3.1 Telefon und Modems auswählen (ggf. Wählregeln beliebig einrichten)
3.2 Im Tab "Modems" die Eigenschaften des UMTS Modems öffnen
3.2.1 "Einstellungen ändern" öffnen
3.2.2 Im Tab "Erweitert" den Initialisierungsstring eingeben: +cgdcont=1,"IP","APN des Providers"
Bsp: für Vodafone: +cgdcont=1,"IP","web.vodafone.de"
Bsp: für T-Mobile: +cgdcont=1,"IP","internet.t-d1.de"
3.3 alles mit OK bestätigen

4. Die unter 2. eingerichtet Verbindung herstellen

5. Cisco VPN Client starten und Verbindung einrichten/herstellen

6. Fertig

dickes sorry Jungs, wollte nicht wirklich was verheimlichen und bin auch immer wieder froh wenn Ihr unterstützt !!!

Ganz dickes Lob an euch beide !!!

Setzte gerade unsere Ersatz ASA auf, da ich einen Hardwarefehler auf der oben erwähnten ASA habe.

Vielen Dank für eure Unterstützung !!!

Du schreibst "von überall via http" (Port 80) - und du machst "https" (Port 443) ?!?

Und ansonsten hilft nur "CONFIG"

Hi Blackbox,

ich erlaube natürlich auch https.

Was mich vielmehr interessiert ist warum ein TCP Reset -O kommt obwohl der Packet Tracer die Packet erlaubt und auch der Zugriff aus anderen Netzen möglich ist.

Der Webdienst läuft kann ja aus unserem Office einwandfrei zugreifen :-)

In der "internal" Zone steht unser Nagios, dem Rechner ist es auch möglich zu pingen.

Andere Webserver sind auch nicht zu erreichen...

Ein ganz komisches Phänomen...

Achso, via Packet Tracer habe ich geschaut ob die Pakete erlaubt sind, und das sind sie.

Hallo @all,

ich habe auf einer ASA 5510 3 verschiedene Zonen.

1. outside --> connect to the world, Sec Level 0

2. DMZ --> Sec Level 20

3. internal --> Sec Level 80

4. Admin ---> Sec Level 100

Nun möchte ich von internal nach Admin via http/https zugreifen, bekomme jedoch immer folgende Fehlermeldung:

12:28:37	302014	Rechner1 	34695	Websrv	443	Teardown TCP connection 693452 for internal:Rechner1/34695 to Admin:Websrv/443 duration 0:00:15 bytes 0 TCP Reset-O

Das Regelwerk erlaubt einen Zugriff von überall via http, aus unerem Office ist auch ein Zugriff auf die Admin Zone möglich.

Ich bin ein bischen ratlos.

Achso, pings gehen einwandfrei durch...

Für Tips wo ich suchen kann bin ich sehr dankbar.

VG

Xunil

Hallo @ all,

ich habe mal eine Frage welche Tools Ihr zur Auswertung von euren Firewalls (Cisco ASA) nutzt.

Ich habe momentan den ManageEngine Firewall Analyzer im Einsatz und suche nach einem mind. genauso gutem aber günstigeren Tool.

Viele Grüße,

xunil

doch connecten ging einwandfrei, deshalb habe ich ja an anderer stelle verzweifelt gesucht...:-(

arrrrrrrrghhhhhhhhhhhhhh und sorry sorry sorry,

fehler lag bei mir auf seite des vpn clients !!!!

radio button auf IPSEC over TCP und alles ist gut....

ich danke euch für eure schnellen antworten...

lg

Hallo Board,

ich habe mit 2 asa´s 5510 einen Site 2 Site Tunnel aufgebaut (Standort A und Standort B).

Nun habe ich das Problem, dass wenn ich mich an Standort A per Remote VPN anmelde ich keinen Connect mehr zum internen Netz bekomme. An Standort B habe ich keine Probleme.

Über ASDM Syslog sehe ich auch keinen Traffic.

Ich weiß im Moment nicht mehr weiter und es ist irgendwie dringend.

Hat jemand eine Idee?

LG

bedeutet das, dass ich die asa´s (5510) nicht direkt miteinander verbinden muss?

bin davon ausgegangen, dass ich beide direkt miteinander verbinden muss.

so wie ich eure Beiträge interpretiere, werde ich keine vlans benutzen d.h.

1 interface für application / datenbankserver netz

2 interfaces um die asa an jeweils beide dmz switch anzuschliesen

1 interface um die asa ans internet anzubinden

boah ich danke euch jetzt für eure unterstützung ist echt ein super board hier

@otaku19 (failover)

bezüglich des failovers, brauche ich mir also keine sorgen zu machen?

hatte befürchtungen, dass wenn der switch der an der aktive fw angeschlossen ist wegbricht, dass dann der verkehr ins nirvana läuft.

@otaku19 (vlans, trunking)

habe ich dich richtig verstanden, dass ich keine vlans für dmz und applikation netz aufsetzen soll. problem ist das ich alle interfaces (so wie auf der zeichnung) an der asa komplett ausreize (inkl. management interface).

wo soll ich Deiner / eurer Meinung nach vlans aufsetzen?

Vielen Dank schon einmal für eure bisherigen Beiträge !!!

Hallo liebes Cisco Board,

ich bräuchte mal eure Hilfe zur Reflektion meiner Netzwerkplanung.

Ich habe folgendes Szenario (Netzplan siehe Grafik)

Aufbau einer 3-Tier Webapplikation dazu folgendes Netzwerkdesign.

2 Cisco Asa 55xx / Failover (Active/Standby)

2 Cisco 29xx für die DMZ

2 Cisco 29xx für das Netz in dem Application und Datenbankserver stehen.

In der DMZ stehen die Webserver die die Anfragen auf die Applikation Server weiterleiten. Diese wiederum brauchen Zugriff auf die Datenbankserver.

Momentan tendiere ich zu 2 Zonen. Eine DMZ in der die Webserver stehen und eine Netz in dem die Applikation-Server stehen.

Trunking an den ASA´s habe ich noch nicht vorgesehen (eure Meinung ist gefragt). Von der DMZ in das interne Netz sollen nur ausgewählte Ports erlaubt sein.

Was ich euch Fragen möchte ist folgendes:

1. Würdet Ihr mit VLAN´s arbeiten DMZ/internes Netz und dies über die ASA trunken (Sicherheit?)

2. HA (Switche) und Failover (ASA) soll gesichert sein. Switche redundant, die ASA´s sollen als Active/Standby konfiguriert werden. Funktioniert dies so wie ich es mir vorstelle/ was ist zu beachten.

Jo, dies sind so die Fragen die ich hätte, mein Problem ist das ich meine Vorstellungen gegen niemanden reflektieren kann und das gante sicher sein soll.

Ich denke ist ein ganz nettes Szenario und genau das richtige fürs WE:)

liebe grüße

Hallo Leute,

habe jetzt zum test auf factory zurückgesetzt und nur das notwendigste konfiguriert.

Das heißt, nur 2 interne Interfaces mit dem gleichen Ergebnis. Aus dem 192.168.3.0 /24 kann ich in das 192.168.2.0 /24 pingen aber nicht umgekehrt.

Bin mit meinem Latein am Ende.

: Saved
:
ASA Version 7.0(8)
!
hostname fw02a
enable password xyzz encrypted
passwd xyz encrypted
names
dns-guard
!
interface Ethernet0/0
speed 100
nameif office1
security-level 100
ip address 192.168.3.2 255.255.255.0
!
interface Ethernet0/1
speed 100
nameif office2
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.5.1 255.255.255.0
management-only
!
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
pager lines 24
logging asdm informational
mtu management 1500
mtu office1 1500
mtu office2 1500
no failover
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.5.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.5.2-192.168.5.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect rsh
 inspect rtsp
 inspect esmtp
 inspect sqlnet
 inspect skinny
 inspect sunrpc
 inspect xdmcp
 inspect sip
 inspect netbios
 inspect tftp
!
service-policy global_policy global
Cryptochecksum:c31e34eb6f2613db15d78e76860ae21b
: end

ohne nat hat es gar nicht funktioniert.

auch nicht mit "no nat-control".

Hallo Leute,

ich bräuchte Hilfe bei der Konfiguration meiner ASA 5510 Secplus.

Umgebung:

Windows Domäne mit einem DC (DNS, DHCP), 30 Clients Office1 IP Addressen über DHCP, 10 Clients Office2 statische IP Addressen.

Die Konfiguration habe ich mir folgendermaßen vorgestellt:

Die Clients in Office1 als auch in Office2 nutzen den DC als File und DNS Server.

Internet: int e0/0 192.168.21.0 /24 angeschlossen an DSL Modem

Office1: int e0/1 192.168.3.0 /24

Office2: int e0/2 192.168.2.0 /24

Also soll folgendermaßen funktionieren:

Die Netze Office1 und Office2 sollen über die ASA ins Internet gehen und miteinander kommunizieren können.

Was funktioniert:

Office1 kann ins Internet und kann Hosts in Office 2 pingen.

Office2 kann ins Internet (sofern ein öffentlicher DNS Server angeben).

Was funktioniert nicht:

Office2 kann nicht nach Office1 pingen. Die Ausnahme ist, wenn ein Client aus Office1 eine verbindung mit einem Client in Office2 initiiert hat. Dann kann der Host aus Office2 den Client der die Verbindung initiiert hat auch anpingen. Andere Clients allerdings kann er nicht anpingen.

Ich bin am verzweifeln. Bitte helft mir.

: Saved
:
ASA Version 8.0(2) 
!
hostname fw02a
domain-name test.net
names
!
interface Ethernet0/0
nameif office1
security-level 100
ip address 192.168.3.2 255.255.255.0 
ospf cost 10
!
interface Ethernet0/1
nameif office2
security-level 100
ip address 192.168.2.1 255.255.255.0 
ospf cost 10
!
interface Ethernet0/2
shutdown
nameif officerz
security-level 100
ip address 192.168.4.253 255.255.255.0 
ospf cost 10
!
interface Ethernet0/3
nameif outside
security-level 0
ip address 192.168.21.2 255.255.255.0 
ospf cost 10
!
interface Management0/0
shutdown
nameif management
security-level 100
ip address 192.168.5.1 255.255.255.0 
ospf cost 10
!
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup office1
dns domain-lookup office2
dns server-group DefaultDNS
name-server 192.168.3.252
domain-name test.net
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object udp
protocol-object tcp
access-list office2_access_in extended permit ip any any 
access-list office1_access_in extended permit ip any any 
pager lines 24
logging enable
logging asdm informational
mtu office1 1500
mtu office2 1500
mtu officerz 1500
mtu outside 1500
mtu management 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any time-exceeded outside
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 101 192.168.21.3 netmask 255.255.255.0
nat (office1) 101 192.168.3.0 255.255.255.0
nat (office2) 101 192.168.2.0 255.255.255.0
static (office1,office2) 192.168.3.0 192.168.3.0 netmask 255.255.255.0 
static (office2,office1) 192.168.2.0 192.168.2.0 netmask 255.255.255.0 
access-group office1_access_in in interface office1
access-group office2_access_in in interface office2
route outside 0.0.0.0 0.0.0.0 192.168.21.1 101
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.3.0 255.255.255.0 office1
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet 192.168.3.0 255.255.255.0 office1
telnet timeout 25
ssh timeout 5
console timeout 0
management-access office1
!
no threat-detection basic-threat
threat-detection statistics access-list
!
!

: end
asdm image disk0:/asdm-602.bin
no asdm history enable

test.txt

Hi makana,

300 Punkte hast du auf jeden Fall sicher, die vergibt Cisco immer. Soll heißen, du kannst in der Prüfung 700 Punkte erzielen um auf die vollen 1000 zu kommen. Zum bestehen brauchst du 825 Punkte.

Die Funktionen sind in den Simus sehr eingeschränkt. Keine Tab Taste kein ?.

Es hat den Anschein, das jede Frage gleich schwer gewichtet ist. Soll heißen Simu wird genauso gewertet wie eine Multiple Choice. Des weiteren, gibt es noch geschachtelte Fragen die wohl auch wie eine einzige gewertet werden.

Viel Glück und Erfolg

hallo

habe heute die 70-299 geschriebe. habe sie mir wesentlich einfacher vorgestellt. bin mit dem gedanken in die prüfung gegangen, dass mein punktekonto nach beenden um die 850 - 950 punkte beträgt.

die zeit war mit 150 Minuten mehr als ausreichend

nunja kurz vor abschicken schweißausbruch und dann dass Ergebnis.

730 Points - gerade noch mal gut gegangen. bei keiner prüfung so wenig punkte gehabt.

so nun noch die 70-298 und dann endlich MCSE + S

viele grüße xunil

Naja ich konnte ja nun nicht mehr in meinem Job arbeiten. Und schliesslich habe ich ja auch Beiträge geleistet. Arbeite ja seitdem ich 15 bin. Habe direkt nach der Schule meine Lehre angefangen und bin auch übernommen worden.

Und das ist ja eine super Sache mit dieser Weiterbildung. Da braucht man ja keine Umschulung zu machen. Geht viel schneller und man lernt auch das praktische.

in hamburg, über das Arbeitsamt finanziert. Weil ich eine Mehl Allergie bekommen habe und in meinem Beruf nicht mehr arbeiten kann. Und da Computer schon immer ein hobby von mir war meinten die das wäre etwas sinnvolles, da der Arbeitsmarkt wieder Fachkräfte sucht.

Die Erfahrung kann ich ja jetzt auch Nachweisen. Habe ja schlieslich eine Weiterbildung über 7.5 Monate gemacht. Und da haben wir ja super oft Domänen neu aufgesetzt. Und XP installiert. Und viel mehr ist das ja im Berufsleben nicht.

Außerdem wenn man genug rumklickt bekommt man ja wirklich jedes Problem gelöst. Wenn nicht schaut man im chip Computerforum nach. Das hat uns unser Dozent empfolen. Da steht echt fast alles drin was man so braucht.

Kannst ja sagen, dass ich das gut gemacht habe. War ja immerhin eine Hammer schwere Prüfung. Für die 70-270 habe ich nur 2 Versuche benötigt.

Jetzt habe ich ja nur noch ein paar Prüfungen bis ich denn endlich MCSE bin.

Was kann man da eigentlich als Einstiegsgehalt verlangen?

Habe da was gelesen von 60.000 Euro.

Das ist ja das 3 fache von dem was ich vorher verdient habe.

Schreibt doch mal rein was ihr so verdient. ich bin 21 Jahre alt.

Viele Grüße

Hey,

habe am Freitag endlich die 70-290 im 5 Anlauf dank Cer*b*se gepackt !!!:cool:

Ich muss sagen, dass die Prüfung ohne Cer*b*se nicht zu schaffen ist wie die 4 vorherigen Versuche ja gezeigt haben.

Ich kann nur jedem Quereinsteiger (ich bin gelernter Bäcker) empfehlen sich auf diese Weise auf die Prüfung vorzubereiten.

Viele Grüße