Spacey

Hallo... folgende derzeitige Situation: Um eMails sowohl von intern als auch von außer Haus abfragen zu können, gibt es einen IPSec VPN Zugang. Das klappt soweit so gut - ich würde es gerne optimieren, denn um derzeit von intern auf die eMail zugreifen zu können, geht man den "langen" weg über VPN (und damit eine zweite sDSL Leitung): Intern kann man auf den eMail-Server auch direkt ohne VPN zugreifen. Problem: Im eMail-Client kann man natürlich nur ein Server für pop3 & smtp angeben. Das ist derzeit die IP aus dem VPN Netzwerk -> Internes & VPN Netzwerk sind getrennte Netze! Meine Idee bzw. Frage ist nun, es es (genau wie Split Tunneling) auch so etwas wie Split DNS gibt?! Sprich wenn sich jemand mit VPN verbindet (wie gesagt hat der derjenige dann Split Tunneling) dann wäre es ideal wenn er zusätzlich zu seinen bestehenden DNS Servern (vom iNet Zugangs-Provider) noch den DNS vom Cisco bekommt. Dann könnte man Folgendes machen: Im eMail-Client gibt man nur den lokalen Namen des eMail-Servers an. Damit kommt man intern ohne VPN problemlos auf den eMail-Server. Wenn man nun per VPN draufgeht, bekommt man den DNS vom Cisco (zusätzlich zu seinen anderen) und dort wird der "lokale" name auf die IP des eMail-Servers im VPN Netzwerk aufgelöst und man kann ihn ebenfalls erreichen. Machbar? Und wenn ja, wie?! Oder gibt's andere Lösungen für mein Szenario? :confused: :D

Nein, nix Spacenet... kommt von "Space Rat" eigentlich ;) Sitze aber auch in Muc.... ansonsten habe ich nur noch: global (outside) 1 interface und einige nat's für div. andere inside Interfaces...

Also meine neuen Zeilen sind: access-list outside_nat_outbound extended permit ip any host x.x.x.x global (inside) 1 x.x.x.x nat (outside) 1 access-list outside_nat_outbound outside static (inside,outside) x.x.x.x mac-apache netmask 255.255.255.255 wobei x.x.x.x halt meine externe IP Adresse ist, welche nur für den gewünschten Zugriff dient - und "mac-apache" ist mein Rechner zum Testen im Inside ob's geht ;) Das liefert mir halt oben besagtes Ergebnis das nun die externe IP zum mac-server geroutet wird, nicht die IP der ASA. Keine Ahnung, ob sonst noch was aus der Config da "reinfunkt".... sollte nicht aber meine Kenntnisse sind hier etwas bescheiden :)

Sooooo... frohes Neues jetzt mal so fast am Ende vom Januar ;) Bin nicht eher dazu gekommen - sorry. Dafür aber jetzt um so mehr! Habe mal Deine Zeilen oben genau so angewandt - jetzt kommt beim Server im Inside nicht mehr die reale IP des Anfragenden an, sondern die externe IP vom Outside. Ich dachte eigentlich, das beim Server die IP der ASA ankommt, aber nungut - ich werde mal veranlassen, das auf dem anderen Standardgateway das Routing angepasst wird - wenn's klappt (oder auch nicht) melde ich mich :)

Habe mehrere externe IPs für die ASA zur Verfügung - auch noch Freie ;) O.K., vielen Dank! Teste das mal...morgen dann... oder wenn ich nicht mehr dazu komme dann im nächsten Jahr... Merci again! Servus....

*push* :/ :D

Hallo! Mittels einer statischen NAT Regel in einer ASA 5510 es so eingerichtet, das ein Server im "inside" über eine bestimmte IP von "outside" erreichbar ist (z.B. Port 80). Die Anfragen beim Server im Inside kommen direkt von der IP des Anfragenden an. Aufgrund unserer Netzwerk-Config bräuchte ich es aber so, daß die Anfrage beim Server im "inside" mit der IP des Cisco-Interfaces (von inside) ankommt. Wie kann ich das Routing (NAT?!) dahingehend abändern - welche Config ist dafür notwendig? Hintergrund: Abgesehen von der VPN-Thematik in meinem anderen Thread soll noch ein zweiter Server angesprochen werden. Dieser hat aber als Standardgateway einen anderen als den Cisco. Auf diesem anderen Gateway ist eine Route eingerichtet das Traffic adressiert an den Cisco auch zu ihm geschickt werden. Da die Anfrage aber derzeit von einer beliebigen IP im iNet kommt, schickt das zweite Gateway sie über sich selbst ins Netz zurück und das verläuft natürlich im Nirvana. Das funktioniert bestimmt irgendwie mit "Configuring Static Policy NAT, PAT, or Identity NAT" (Chapter 21) im Handbuch - aber ich versteh' es leider nicht ganz :/ Got it? ;)

Danke! Das schaue ich mir nachher mal an! :) Ich bin mir der Sicherheitsgedanken sehr wohl bewusst - aber die Lösung muss zur jeweiligen Situation passen. Die Sicherheit hier greift wo anders - doppelt muss es nicht. Komfort ist ist an dieser Stelle wichtiger... – Holla! :) Feedback: 1) Ohne xauth klappts super mit den "normalen" PC & Mac VPN Clients. Also bzw. Mac, Win habe ich gerade noch nicht hochgefahren zum testen - sollte da aber auch gehen ;) 2) Klappt jedoch leider nicht mit iPhone IPSec Client. Dort *muss* ich zwingend einen User angeben beim Setup des Clients. Das Passwort dort *kann* ich angeben (dann speichert er es dort sogar!). Wenn ich die VPN Gruppe aber umstelle auf no auth - dann komme ich mit dem iPhone nicht mehr ins VPN: "Group = testvpn, IP = x.x.x.x, No valid authentication type found for the tunnel group". Der iPhone Client will also anscheinend den User irgendwie "durchdrücken". Nun könnte ich natürlich 2 Gruppen anlegen: 1 * mit xauth für iPhones & 1 * ohne für die PC Clients.... Andere Ideen? :) – Und noch 'nen Nachtrag: 'nen Blindes Huhn trinkt ja manchmal auch'n Korn: Hier kann man nachlesen, wie man es ermöglicht, das die Passwörter (verschlüsselt) lokal in den Client Settings pcf's gespeichert werden. Auch dies ist aus Sicherheitsgründen eher bedenklich (selbst die Verschlüsselten Passwörter können einfach entschlüsselt werden) - da in meinem Szenario es sich aber um VPN-Only Passwörter handelt und man rein mit diesen nix machen kann (außer sich im VPN anmelden)... muss jeder Admin selbst wissen wie er mit den Infos umgeht.

Merci 4 Goodwill - aber das tut leider nur bedingt zur Sache bzw. wenn Du einen Tip hast, wie ich's direkt abschalten kann - wunderbar! Der Nutzer muss sich direkt am (einzigen!) Server im VPN Netzwerk authentifizieren, dort Name & Passwörter eingeben. Ergo kann nicht mehr an Daten "verloren" gehen als jetzt schon bei einem worst case. VPN dient hier nur zur Absicherung der Übertragung, nicht zur Authentifizierung etc..

Holla! Merci.... Läuft bei Mac ähnlich: In dem Image gibt es ein Verzeichnis "Profiles". Dort tut man sein Profile rein - installiert den Client und schwupp ist das Profile mit dabei. Soweit so gut, nun habe ich noch'n anderes Problem: Immer wiederkehrende Passworteingabe. Dazu aber ein anderer Thread... hier...

Hallo! Im anderen Thread habe ich bereits geklärt, wie man den Cisco VPN Client soweit vorbereiten kann, das man nach der Installation automatisch ein Profil mitgeben kann. Nun möchte ich noch gerne, dass das UserPasswort enc_UserPassword in dem pcf automatisch gespeichert wird, damit es nicht jedes Mal manuell eingegeben werden muss. Hintergrund: Mit diesem Passwort wird sich sonst nirgends in unserem Netzwerk eingeloggt. Wenn jemand also das herausbekommen sollte hat derjenige nichts gewonnen - eine gesonderte Authentifizierung finden am genutzten Server innerhalb des VPN statt, die jeder manuell eingeben muss. Wenn ich's in dem pcf abspeichere, dann fragt er beim ersten Mal das Pass nicht ab. Beim zweiten Connect jedoch schon wieder. Die Variable "SaveUserPassword" wird wohl vom Cisco bei Verbindungsaufbau überschrieben. Ich habe ds hier im Netz gefunden: LiessMich - jedoch hat mich das nicht wirklich schlauer gemacht *was* genau ich machen muss. Ich habe 2 Möglichkeiten rausgelesen: a) Eine Gruppe erstellen ohne UserAuth b) Ein Zertifikat verwenden Ich würde Lösung a bevorzugen, meine jetzige Gruppe so abändern das sie kein UserAuth braucht - oder halt das Passwort speichern lassen. Hat jemand von Euch das selbe Problem gehabt oder kann mir nähere Angaben machen, was ich wo in der cfg genau(er) abändern muss?! :confused:

Ja genau... mit nur einem Gateway! War ein "wird schon nicht gehen wie zuvor aber einfach mal versuchen" Versuch - und es lief plötzlich.

Hallo! Weiter geht's in meiner lustigen "Ich lerne Cisco" Runde :) Nach dem ja nun VPN gut funktioniert habe ich auf div. Uni-Sites gesehen (welche VPN Zugang anbieten), das komplette Client-Pakete INCL. vorgefertigtem Connection-Profile zum DL angeboten wird. Ich habe auf'm Mac mittlerweile selbst rausgefunden, wo das Profil gespeichert wird und wo ich an Variablen drehen kann - aber die Frage ist: Wie erstelle ich so ein fertiges Client-Install-Paket incl. Profil?! Geht darum solche Werte wie Servername, Gruppennamen etc. schon vorgefertigt an die User zu verteilen.... Auf div. Sites (Hier z.B.) habe ich gelesen, das man die org. Packages modifizieren kann... praktikabel oder gibt es einen anderen & besseren Weg? Wichtig ist mir vor allem der OSX Client....

Hmmm komisch aber es scheint sich gelöst zu haben. Ich verstehe noch nicht so ganz wie weil ich wirklich sehr viele Konfigurationen und Szenarien durch hatte - aber auf einmal geht es. Ein Fehler war, das ich mit dem VPN keinen DNS übergeben darf, dann komme ich als VPN Client lokal nicht mehr ins iNet weil meine lokalen DNS Settings überschrieben werden... Dann habe ich heute die ASA mit einem OS Update und ein ASDM Update verpasst. Seit dem lief das VPN eindeutig besser. Ich hätte als nächstes den Sniffer eingesetzt um zu schauen ob wirklich was ankommt, wovon ich aber ausgegangen bin da ja mit Gateway es damals lief. arp -a bringt mir jetzt auf dem Interface auch die richtigen Zugriffe. Sehr Strange - aber es geht! Merci! :)

Also die ASA baut 'nen IPSec VPN auf - die VPN Clients bekommen eine Adresse aus dem 172.21.0.0'er Pool. Aber leider scheint das so nicht zu funktionieren ohne irgend ein Routing am W2K3 Server... Ich habe zum Testen einen anderen Server (172.22.0.0'er Netz) hergenommen der nur ein NIC & nur ein Gateway hat. Den konnte ich per VPN problemlos dann erreichen... Natürlich habe ich dazu den VPN IP Pool auch in das Netzwerk gelegt... Von daher stimmt am Cisco & Tunnel alles....

Hallo! Folgende Situation: W2K3 mit 2 NICs: NIC1: 172.19.0.6 - 255.255.255.0 - Standardgateway 172.19.0.53 - DNS 172.19.0.1 (DC mit div. DNS hinterlegt) NIC2: 172.21.0.6 - 255.255.255.0 - (Standardgateway 172.21.0.1 - DNS 172.21.0.1) Über NIC1 läuft der normale Traffic im LAN sowie vom Server ins iNet raus. Über NIC2 soll ein separater (von NIC1 abgeschirmter) VPN Zugriff von Extern ermöglicht werden. Dafür gibt es eine extra sDSL Leitung sowie einen extra Router / Cisco in dem eigenen Netzwerk. Problem: Wenn ich am NIC 2 die oben in Klammern genannten Standardgateway-Infos eingebe, klappt alles wunderbar: Ich kann vom 172.21'er Netz auf den Server zugreifen und er antwortet wie gewünscht. ABER es ist wohl nicht Sinn der Sache an einem Rechner 2 Standardgateways zu nutzen. Wenn man das Zweite einrichtet gibt Win zwar eine kurze Warnmeldung, aber er macht es. Und: Über Nacht (wann und wodurch auch immer) wird das zweite Standardgateway wieder rausgenommen - und man kommt nicht mehr über NIC2 an die Dienste ran. Geschweige denn wenn ich den Server neustarte mit 2 Gateways schickt er auf einmal normalen Traffic über NIC2 raus. Also sind 2 Gateways wohl keine Lösung... Und nun? Wie kann ich festlegen, das der Traffic für das 172.21'er Netz auf NIC2 rausgeht - oder liegt das Problem wo anders? Den route.exe Befehl habe ich mir schon mal kurz angetan - aber das ist recht.... verwirrend Ich bekam von anders den Tip, es mit RRAS zu versuchen. Habe ich auch: Eine statische Route für 172.21.0.0 auf dem NIC2 angelegt - aber es hat nichts gebracht. Vielleicht habe ich's nur falsch gemacht - oder geht's gar nicht? So ist der Plan: Sinn und Zweck des zweiten LANs ist es einfach, das ich nicht möchte das vom VPN auf mehr als auf den einzelnen Server zugegriffen wird. Kann man vielleicht auch über die ASA regeln, aber ich weiss nicht wie - und so isses wirklich physikalisch getrennt... Über ein paar detailliertere Tips wie ich's erreichen kann wäre ich sehr dankbar! Merci....

Hallo Wordo! O.K., dann werde ich da mal gucken - was ich aber gerade noch durch einen anderen Thread hier im Forum entdeckt habe: Die 6'er ASDM und 8'er OS ist auf einer Support-CD mit dabei gewesen! *AufDieStirnKlatsch*... Gesagt getan. habe die Images asa802-k8.bin & asdm-602.bin über ASDM hochgeladen. Dann noch boot system disk0:/asa802-k8.bin asdm image disk0:/asdm-602.bin eingegeben - die running config in die flash gespeichert und rebootet. Nun bekomme ich sowohl beim Start vom ASDM Launcher als auch über's Web den Fehler "Unconnected sockets not implemented.... :rolleyes: Cancom... Juchuu! :) :p O.K... erst mal sehen wie ich das ASDM wieder zum Laufen bekomm'.... -> Gesucht & gefunden: Das Java Runtime Update 10 war schuld. Einfach deinstalliert und schon geht alles! Hier die Lösung zum o.g. Problem: Click Mich! Wow, sieht ja ganz anders aus das ASDM :) Servus von nebenan - Spacey

Hallo Community! Bin neu hier - habe Euch auf der Suche nach meinen Cisco-Problemen gefunden. Hoffe also, hier ein paar hilfreiche Tips zu bekommen und im Gegenzug auch ein bisschen was zurück zu geben, wo's passt. Vorab: Ich komme zwar mit Mac OSX, Linux & Windows gut zurecht - aber bin absoluter Cisco Neuling und boxe mich da nun solomio durch. Habe seit ca. 2 Monaten eine ASA 5510 hier welche hauptsächlich einen VPN Zugang ermöglichen soll. Das klappt auch noch nicht so gut, dazu aber evtl. in einem anderen Thread. Hier geht's mir gerade um absolute Basics. Auf meiner ASA ist derzeit folgendes drauf, ab Werk: asdm-524.bin asa724-k8.bin sslclient-win-1.1.0.154.pkg securedesktop-ada-3.2.1.103-k9.pkg Ich habe derzeit keinerlei Servicevertrag mit Cisco. Daher bin ich nicht berechtigt, Updates von denen zu laden, richtig? Oder habe ich evtl. nur noch nicht die richtigen Links gefunden? Die Cisco-Page ist ja recht verworren für den Laien / Anfänger... Fragen: Empfiehlt es sich, auf eine aktuelle ASDM & OS zu updaten? Gibt es wichtige Sicherheitsrisiken in meiner Version oder viele neue Funktionen welche mir das Leben erleichtern? Kann ich nur das ASDM updaten (603 oder neuer?!) und das OS lassen oder geht das nur beides zusammen? Update dann über TFTP oder den ASDM am Besten?! Muss ich nach einem Update irgend was beachten? Lizenzen reaktivieren etc.? -> Ich abe derzeit mit dem lokalen ASDM Launcher Probleme: Er connected sich zwar aber dann kommt "ASDM is unable to read the configuration ...". Gut, ich kann mit dem Web-ASDM arbeiten, der geht problemlos... Ich brauche vermutlich einen Service-Vertrag, oder? Wo komme ich da am günstigsten ran? Derzeit ist für mich das Clicki-Bunti-ASDM (noch) einfacher als die Console. Die 2 Wizards (schlagt mich bitte nicht dafür *g*) haben gute Dienste geleistet zwecks Ersteinrichtung und erste VPN Versuche. Nur mit der Console hätte ich das nicht gepackt.... Vielen Dank für Eure Tips! :)