schlompf

Wollte mich noch schnell bei euch bedanken, Hab gestern Abend die Alte Firewall ausser Betrieb genommen und die Gateways getauscht. Klappt alles super! :D Selbst die Macs machen keine Probleme mehr!:) Also ein Grosses DANKE!!!! Ihr seit Klasse!!! :D

schade, aber evt. kannst du mir noch sagen, wie ich einen Webdienst (interner Mailserver) vom internet aus erreichbar mache? oder ist dies sicherheitstechnisch ein schwachsinn?

Werde die ASA zum Standard Gateway machen, wenn ich abends mal zeit habe. sorry, wenn ich dich gleich weiter störe, aber kannst du dir erklären, wieso ich auf einem MAC mit dem Cisco VPN client nicht connecten kann? Ist alles eingestellt wie bei der Win kiste. Aber wie in meinem anfangs thread geschrieben, gehts beim mac mit dem shimo tool? scheint mir nicht logisch... hab jetzt nochmals getestet, kann auch vom mac aus meinen arbeitsplatz nicht pingen. komisch! :confused:

die route hab ich so im client vorhanden. und momentan ist noch die alte WinRoute Firewall der standard gateway für die clients (dachte damit ich die ASA in aller ruhe konfigurieren kann) aber wieso spielt dies eine rolle? geht der VPN über den gateway?:confused: sorry bin verwirrt... – Aber du hast natürlich wieder mal recht... Mein fehler, mein arbeitsplatz läuft momentan mit Gateway ASA und den kann ich von dem VPN client anpingen.... Das heisst wohl, wenn ich die alte Firewall abschalte und den standard gateway auf die ASA lege müsste das ganze funktionieren....:D

Ups, hatte eben kein strom mehr auf meinem book, deshalb musste ich neustarten, seitdem bekomme ich jetzt die 100.2. jetzt sind in der route tabelle die 100.0 (weiss nicht wer oder woher die ist) und die 100.2 (anstelle der 100.1) route add auf die 100.2 bringt keine veränderung oder was sollte ich dadurch sehen?

C:\>ipconfig /all Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : LENOVO-D9E9FE8E Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein Ethernetadapter LAN-Verbindung: Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung Beschreibung. . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet Physikalische Adresse . . . . . . : 00-16-36-53-F0-18 PPP-Adapter 3G Connection: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface Physikalische Adresse . . . . . . : 00-53-45-00-00-00 DHCP aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.205.93.207 Subnetzmaske. . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : 10.205.93.207 DNS-Server. . . . . . . . . . . . : 194.230.1.103 194.230.1.71 Primärer WINS-Server. . . . . . . : 10.11.12.13 Sekundärer WINS-Server. . . . . . : 10.11.12.14 NetBIOS über TCP/IP . . . . . . . : Deaktiviert Ethernetadapter LAN-Verbindung 3: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Cisco Systems VPN Adapter Physikalische Adresse . . . . . . : 00-05-9A-3C-78-00 DHCP aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.100.1 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : – C:\>route print =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x2 ...00 16 36 53 f0 18 ...... Broadcom NetXtreme Gigabit Ethernet - Paketplane r-Miniport 0x20005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface 0x20006 ...00 05 9a 3c 78 00 ...... Cisco Systems VPN Adapter - Paketplaner-Mini port =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 10.205.93.207 10.205.93.207 1 10.205.93.207 255.255.255.255 127.0.0.1 127.0.0.1 50 10.255.255.255 255.255.255.255 10.205.93.207 10.205.93.207 50 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.100.2 192.168.100.1 1 192.168.10.11 255.255.255.255 192.168.100.2 192.168.100.1 1 192.168.100.0 255.255.255.0 192.168.100.1 192.168.100.1 30 192.168.100.1 255.255.255.255 127.0.0.1 127.0.0.1 30 192.168.100.255 255.255.255.255 192.168.100.1 192.168.100.1 30 194.158.240.85 255.255.255.255 10.205.93.207 10.205.93.207 1 224.0.0.0 240.0.0.0 192.168.100.1 192.168.100.1 30 224.0.0.0 240.0.0.0 10.205.93.207 10.205.93.207 1 255.255.255.255 255.255.255.255 10.205.93.207 2 1 255.255.255.255 255.255.255.255 10.205.93.207 10.205.93.207 1 255.255.255.255 255.255.255.255 192.168.100.1 192.168.100.1 1 Standardgateway: 10.205.93.207 =========================================================================== Ständige Routen: Keine – Das kam bei den beiden Befehlen raus. (auf dem Client). Hoffe die sagen dir mehr als mir...:confused:

Hoffe ihr hattet auch ein schönes Weekend. Hab mich jetzt heute mit neuem eifer wieder an die ASA gesetzt. Hab bei der NAT die Exempt Rule eingefügt, wie empfohlen. Ausserdem hab ich eine Access Rule im Inside Interface mit Source Inside/24 und Destination 192.168.100.0/24 erstellt Service mal mit IP auf Permit. Hoffe dass das richtig ist so... Leider geht aber noch nicht viel mehr. Im debugg sind jetzt keine fehler mehr zu sehen von wegen Transition Group fehlt, aber erreichen kann ich immer noch keinen Rechner im Inside netzwerk. Ich hoffe ihr habt noch eine Idee was ich noch probieren kann. :confused:

Er sagt mir immer no Translation Group found for tcp src Outside: 192.168.100.1/50399 dst Inside: 192.168.0.3/443 Wie erstelle ich eine Translation Group? ist damit ein normales NAT gemeint? Danke für deine Mühe...

und teil 2: threat-detection basic-threat threat-detection statistics access-list webvpn group-policy AuvisoVPN internal group-policy AuvisoVPN attributes vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value AuvisoVPN_splitTunnelAcl username fhaefliger password 9QZXSGAWopYwpxaT encrypted privilege 0 username fhaefliger attributes vpn-group-policy AuvisoVPN tunnel-group AuvisoVPN type remote-access tunnel-group AuvisoVPN general-attributes address-pool IP_Pool default-group-policy AuvisoVPN tunnel-group AuvisoVPN ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:d19b5a6b89243f6e2967039729809599 : end asdm image disk0:/asdm-603.bin asdm location Outside 255.255.255.255 Inside no asdm history enable

Danke... (tut mir leid, wenn ich wohl zum teil etwas stupide fragen stelle) Also meine config teil1: : Saved : ASA Version 8.0(3)6 ! hostname firewall domain-name firewall.auviso.local enable password XXXXXXXX encrypted passwd XXXXXXXXXX encrypted names name 192.168.10.11 Outside ! interface Ethernet0/0 nameif Outside security-level 0 ip address dhcp setroute ! interface Ethernet0/1 nameif Inside security-level 100 ip address 192.168.0.6 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! ftp mode passive dns server-group DefaultDNS domain-name firewall.auviso.local same-security-traffic permit intra-interface access-list AuvisoVPN_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0 access-list AuvisoVPN_splitTunnelAcl standard permit host Outside pager lines 24 logging enable logging asdm informational mtu management 1500 mtu Inside 1500 mtu Outside 1500 ip local pool IP_Pool 192.168.100.1-192.168.100.255 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-603.bin no asdm history enable arp timeout 14400 nat-control global (Outside) 1 interface nat (Inside) 1 0.0.0.0 0.0.0.0 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 management no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map Outside_map interface Outside crypto isakmp enable Outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management !

Hallo, Das Teil hat mich heute morgen so gefrustet, dass ich es geresetet habe, somit steht meine momentane config quasi bei 0. Dachte es hilft evt. mal ganz von vorn zu beginnen. Aber kannst du mir sagen wo ich die komplette konfig ausgeben kann um sie hier mal zu posten? Sorry, wie schon erwähnt kenne ich mich mit dem Cisco noch nicht so aus. Was ich bis jetzt gemacht habe: Hab den Startup Wizzard laufen gelassen und hab da wieder die 2 Interfaces erstellt, Inside und Outside. Wobei das Inside netz vollen zugriff auf das ouside netz hat. (internet zugang) Nun hab ich den VPN Ipsec Wizzard laufen gelassen und dies ist mein momentaner Stand. – Hab noch was interessantes... Wenn ich mich mit dem Tool shimo mit dem server verbinde funktioniert die verbindung, ich bekomme eine IP usw. Leider habe ich dann aber immer noch kein zugriff auf das Inside netzwerk. Wenn ich das richtig begriffen habe muss ich da aber die Nat entsprechend einstellen. kann mir einer sagen was ich da alles einstellen muss? und kann sich jemand erklären, wieso ich mit dem shimo eine verbindung aufbauen kann und mit dem cisco nicht? das shimo tool greifft ja auf die einstellungen des cisco zu? :confused: versteh ich nicht...

Wow, dies ging ja schnell... Tschuldigung, hab ich vergessen. :suspect: Ich möchte ein Remote Access Vpn IPsec aufbauen, damit ich am schluss über den Cisco VPN client so wohl von einem Mac wie auch von einem Win PC darauf zu greiffen kann.

Zuerst mal hallo zusammen, Ich habe nun schon viel hier im Forum gelesen und möcht euch für die führung dieses Forums Danken, ist wirklich sehr hilfreich. :jau: Ich bin leider was Cisco betrift ein absoluter IT neuling. Deshalb hoffe ich jemand kann mir bei meinem Problem weiterhelfen. Mein Probelm: Bis jetzt hatte ich eine Kerio WinRoute Firewall im einsatz, lief Problemlos. Leider unterstützt diese aber keine VPN Verbindungen von einem Mac OS X. Deshalb haben wir eine ASA 5510 "8.0(3)6" zugelegt. Die ganzen Routings konnte ich relativ schnell einrichten, aber die VPN kriege ich einfach nicht zu laufen. Ich habe 2 Interfaces konfiguriert, ein Internes und Ein externes. Das ziel währe, dass man über VPN vollen zugang auf das Intern Netz bekommt. Aber selbst über den Wizzard des ASDM 6.0(3) kriege ich dies nicht zu laufen. Kann mir jemand von euch einen Tip geben, wie ich dies am besten angehe, oder wo ich allenfalls eine Dokumentation finde, die mir dies erklärt? Auf der Cisco seite hab ich bis jetzt nichts hilfreiches gefunden. Ich danke euch jetzt schon für eure hilfe. Gruss Schlompf