VirtualMachine

Hallo, danke für die Antworten erstmal die Config von der 2811 liegt gedruckt bei 50 Seiten von daher beschränke ich das erst einmal auf die access-listen und die vpn relevanten daten. Falls noch was fehlt reiche ich das gerne nach: crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key stehtnix address 213.xxx.xxx.xxx no-xauth ! crypto isakmp client configuration group telefonclient key blubblub dns 4.2.2.3 domain nix.com pool ippool ! ! crypto ipsec transform-set ESP-AES esp-aes 256 esp-md5-hmac ! crypto dynamic-map dynmap 10 set transform-set ESP-AES crypto map SDM_CMAP_2 client authentication list userauthen crypto map SDM_CMAP_2 isakmp authorization list groupauthor crypto map SDM_CMAP_2 client configuration address respond crypto map SDM_CMAP_2 1 ipsec-isakmp set peer 213.xxx.xxx.xxx set transform-set ESP-AES match address 101 crypto map SDM_CMAP_2 10 ipsec-isakmp dynamic dynmap ip local pool ippool 192.168.10.1 192.168.10.254 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 213.xxx.xxx.xxx ip route 10.0.10.2 255.255.255.255 Service-Engine0/1 ip nat inside source list NO-NAT interface FastEthernet0/1 overload ! ip access-list extended NO-NAT deny ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255 deny ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255 deny ip 10.0.10.0 0.0.0.255 192.168.10.0 0.0.0.255 deny ip 10.1.10.0 0.0.0.255 192.168.10.0 0.0.0.255 permit ip 192.168.10.0 0.0.0.255 10.0.0.0 0.0.0.255 logging 10.0.0.80 access-list 1 remark INSIDE_IF=FastEthernet0/0 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.0.10.0 0.0.0.255 access-list 3 permit 10.0.0.41 access-list 3 permit 10.0.0.45 access-list 100 deny ip 213.XXX.XXX.XXX 0.0.0.15 any access-list 100 permit ip any any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 101 permit ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 101 permit ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 101 permit ip 10.0.14.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 101 permit ip host 10.0.14.2 10.0.0.0 0.0.0.255 access-list 101 permit ip 10.0.0.0 0.0.0.255 10.0.14.0 0.0.0.255 access-list 102 remark SDM_ACL Category=4 access-list 102 remark IPSec Rule access-list 102 permit ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 104 permit ip 10.1.10.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 120 permit ip any any access-list 160 permit ip host 213.xxx.xxx.xxx host 213.xxx.xxx.xxx access-list 160 permit ip 10.0.10.0 0.0.0.255 any access-list 160 permit ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 160 permit ip host 213.xxx.xxx.xxx any route-map SDM_RMAP_1 permit 1 match ip address 103 ! route-map SDM_RMAP_2 permit 1 match ip address 106 Musste gerade feststellen das nach meiner letzen access-listen umstellung der Spliuttunnel nicht mehr funktioniert und man nicht ins Internet vom Laptop aus mehr kommt bei bestehendem VPN Thx in Advance

Hallo, ich habe gerade massive Kopfschmerzen, da mir die Ideen ausgegangen sind wie ich weiter google traktieren kann um doch noch die gewünschte Antwort zu finden. Ich habe ein L2L VPN zwischen einem 2811er ( mittels einsteckkarte zur Telefonanlage hochgerüstet ) und einer PIX. Das läuft sauber stabil und ohne weitere Probleme. Ok nun connecte ich mit Lappi und dem Cisco VPN Client auf den 2811er, was auch keinerlei Schwierigkeiten bereitet und das Cisco Softphone funktioniert auch tadellos. Nun muss ich aber mit dem Laptop auch in das Netz was hinter der PIX liegt, da dort die Serverfarm liegt. Der Laptop schickt die Pakete die ich ins Netz der PIX schicken will, irgendwo ins Internetnirwana, so dass diese auf dem 2811er gar nicht erst in den debugs auftauchen. Wie gebe ich dem VPN Client beim Aufbau des VPNs zu verstehen, dass er das Netz der PIX über den 2811er also den VPN - Tunnel erreicht?

Ok habs gefunden... der zweite Domänencontroller hatte die Freigabe noch... nur merkwürdig warum die Server auf dem gesucht haben

Hallo, habe hier folgendes Problem, das ich trotz Google und der Suche hier nicht lösen konnte. Ich habe auf einem 2k3 Printserver einen neuen Drucker eingerichtet und installiert. Dann ist mir aufgefallen, dass ich den FreigabeNamen vergeigt habe und habe die Freigabe umbenannt. Ok bis hierher alles im grünen Bereich... Das Problem ist jetzt folgendes, dass der alte Freigabename vor dem umbenennen immer noch beim Suchen von Druckern auftaucht :shock: Man kann den sogar anwählen und der schaltet auf bereit (nur das die Druckwarteschlange nicht abgearbeitet wird also kein bedrucktes Papier den Drucker verlässt ) Neustarten des Printservers hat auch nicht geholfen. In der Registry habe ich keinen Eintrag mit dem alten Sharenamen gefunden. Und bei net share auf dem Printserver taucht die falsche Freigabe nicht auf. Woher kommt es also das der beim Suchen von Druckern ( über Drucker und Faxgeräte ) immer noch die alte Freigabe findet? Wo ist das Verzeichnis gespeichert das er durchsucht, damit ich dort mal rein sehen kann ob der dort noch drinsteht. Schönes Wochenende euch allen :) ok Nachtrag: Gerade habe ich mitbekommen, dass wenn die User vom Terminal Server aus die inzwischen ungültige Druckerfreigabe auswählen, mir der gesamte TerminalServer abschmiert

hallo, hab eure vorschläge mal ausprobiert: gateway(config)# crypto key zeroize rsa WARNING: All RSA keys will be removed. WARNING: All device certs issued using these keys will also be removed. Do you really want to remove these keys? [yes/no]: yes crypto key generate rsa modulus 768 INFO: The name for the keys will be: <Default-RSA-Key> Keypair generation process begin. Please wait... debug ssh enabled at level 255 ich bekomme leider das gleiche Ergebnis wie vorher der debug bringt keinen Output; rauf komme ichweiterhin mit ssh nicht. gateway# show run | g ssh aaa authentication ssh console LOCAL ssh 10.0.10.0 255.255.255.0 inside ssh 10.10.0.0 255.255.255.0 inside ssh 10.0.10.0 255.255.255.0 inside_trunk ssh 10.0.0.0 255.255.255.0 inside_trunk ssh 10.0.0.187 255.255.255.255 inside_trunk ssh 10.10.5.0 255.255.255.0 inside105 ssh 10.10.0.0 255.255.255.0 inside100 ssh timeout 60 ssh version 2 ^^ das scheint alles zu sein was in der config mit ssh zu tun hat show run | g NAT nat (inside_trunk) 0 access-list NO-NAT das ist der einzigste nat eintrag der sich auf das interface bezieht mfg

Hallo, also ich habe immernoch folgendes Problem Ich kann mich nicht per SSH auf die ASA5510 verbinden. Habe auch schon alles dementsprechende gelöscht gehabt und dann nach der ANleitung von Cisco: PIX/ASA 7.x: SSH/Telnet on the Inside and Outside Interface Configuration Example - Cisco Systems von vorne angefangen. Nur leider hilft nix :confused: Router Config: interface Ethernet0/3 nameif inside_trunk security-level 100 ip address 10.0.0.2 255.255.255.0 ! asa5510# show run | g ssh aaa authentication ssh console LOCAL ssh 10.0.10.0 255.255.255.0 inside_trunk ssh 10.0.0.0 255.255.255.0 inside_trunk ssh 10.0.0.187 255.255.255.255 inside_trunk ssh timeout 60 ssh version 2 show crypto key mypubkey rsa Key pair was generated at: 04:08:14 CEST Oct 12 2009 Key name: <Default-RSA-Key> Usage: General Purpose Key Modulus Size (bits): 1024 Key Data: 30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 009d0c04 a4962817 d313e764 4415557e e206e9bd 09b12442 7717af9a d0ea4b3c f00e3713 cb511cf0 dfeb1994 77c60d9e 7ad49471 9239f00f 7485b1e4 db964ca4 122035a3 35aa35af 456435bb 37d8f84a d0c8ecfd 6d7e9ba2 5c1cc6c8 ceadb275 495cf8de efbb48da 374a7798 db6e0217 9c3f787d 36d46d60 08cd980c 995e6648 7d020301 0001 Antworten die ich bekomme wenn ich es von einem Linuxhost aus versuche: vorher mal das Debug auf der ASA anschalten: ASA5510# debug ssh debug ssh enabled at level 1 Linuxhost: ssh -v 10.0.0.2 OpenSSH_5.1p1, OpenSSL 0.9.8g 19 Oct 2007 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to 10.0.0.2 [10.0.0.2] port 22. debug1: Connection established. debug1: permanently_set_uid: 0/0 debug1: identity file /root/.ssh/identity type -1 debug1: identity file /root/.ssh/id_rsa type -1 debug1: identity file /root/.ssh/id_dsa type -1 ssh_exchange_identification: Connection closed by remote host Ok mal telnet auf den ssh port testen: telnet 10.0.0.2 22 Trying 10.0.0.2... Connected to 10.0.0.2. Escape character is '^]'. Connection closed by foreign host. Putty sagt einfach nur: Server unexprectedly closed network connection und das debug auf der ASA zeigt reinweg gar nix an :shock: Hab schon ewig gegoogelt aber nix hat bisher geholfen mfg und danke

Ich mache sowas regelmässig allerdings mit VMWare als Hypervisor... Was ich mich frage warum jeder der Nutzer ein eigenes windows bekommen soll? wäre da nicht eine Terminalserverlösung besser? benötigst weniger Ressourcen etc um den Betrieb aufrecht zu erhalten So ist unsere komplette Firma virtualisiert mit Thinclients während die Terminalserver 5km weiter im RZ stehen

Das kenn ich von 2k3 Terminalservern da reicht es wenn man sich mit einem Administratoraccount einloggt und die Session von gestörten account beendet mittels Terminserververwaltung( ABMELDEN nicht trennen ) Danach kann sich der betroffene Acccount wie gewohnt enloggen mfg

hallo, 1. Tabelle ausfindig machen wo die links gespeichert sind 2. Update Tabelle SET Linkfeld=new_url where linkfeld=alte_url fertig... funktioniert aber nicht wenn hinter der url der name des bildes direkt angehängt ist...( http://www.weissnicht.de/images/bild1.jpg) da muss dann ein script her ( z.b. php ) ich denke der rewrite geht schneller und bietet mehr vorteile... :)

Global offene Ports werden von uns strikt verweigert Wenn offene Ports dann nur zielgerichtet auf Host wie z.B. auf den Webserver , Mailserver etc pp und die nach Möglichkeit in eigenen VLANs stehen so dass ein erfolgreicher Angriffsversuch nur den entsprechenden Server betrifft und der Angreifer nicht das ganze Netz zerstören kann... zumindest solange die Firewalls der Router nicht geknackt werden. Andere Dienste sind grundsätzlich nur über ein VPN zu erreichen. Und da wo es möglich ist werden nur feste "Aussen"-IPs für den Aufbau des VPN zugelassen mfg

Hallo, also ich bin gerade dabei zu versuchen das über dynamische Hunt-Groups zu basteln: ephone-hunt 1 sequential pilot 139 list 20, 40, 30, 10, 31 final 89 preference 1 timeout 10 ! ^^ das ist der IST-Zustand auf meiner Testumgebung wenn ich jetzt versuche: no list list 20,*,*,*,* bekomme ich die Antwort * is not a number ok meine testumgebung ist jetzt leider nur ein 2811 Router mit Unity Expansion Card mit leicht veraltetem Versionstand... Also hab ich mich mal ans Updaten gemacht Das IOS konnte ich ohne Probleme auf die neuste Version Updaten ... aber das Unity weigert sich hartknäckig: mailbox> software download upgrade url ftp://10.0.0.125/neu/cue-vm-k9.nme.3.2.4.pkg username root password xxxx WARNING:: This command will download the necessary software to WARNING:: complete an upgrade. It is recommended that a backup be done WARNING:: before installing software. Would you like to continue? [n] y Downloading cue-vm-k9.nme.3.2.4.pkg Bytes downloaded : 179928 Validating package signature ... error Package signature validation failed for pkg cue-vm-k9.nme.3.2.4.pkg [15252 refs] weiss einer woran das liegt? hab das release direkt von der Cisco Seite wo man hingeführt wird wenn man den Weg über router->2800->2811.... folgt Und das nächste wäre weiss einer wie das Stichwort bei Cisco heisst wenn ich einen Button im Telefon ( 7940) erstellen möchte ? Der soll dazu dienen sich mit einem Klick in die Hunt-Group ein- bzw auszuloggen ( bei create, configure etc bekomm ich zwar sehr viele hits aber keinen mit nem how-to ) mfg und danke

Hallo, also Huntgroup 1 soll wenn alle Plätze belegt sind direkt auf nen AB gehen das ist kein Problem das hab ich schon hinbekommen :) huntgroup 2 soll die Anrufer in Warteposition mit Ansage und Musik halten und sobald einer aus der Huntgroup auflegt auf den freiwerdenden Platz weiterleiten... weitere (zumindest für mich) schwierigkeit hierbei ist das die Huntgroup aus 8Nummern besteht alle Nummern (auf ihren Durchwahlen) von aussen erreichbar sein sollen und falls besetzt ist direkt in die warteschleife gebracht werden sollen ohne vorher alle 8 Telefone nacheinander durchzunudeln was ne huntgroup ja standardmässig tut. Auto-attendant ist wohl der richtige Ansatz Mit dem was auf der Cisco-HP steht komm ich nicht zurecht und komme da nicht weiter weil es schon am zweiten schritt scheitert: Cisco Unity Express Voice-Mail and Auto-Attendant CLI Administrator Guide for 3.0 and Later Versions - Configuring Auto Attendants [Cisco Unity Express] - Cisco Systems Die wav Dateien sind nicht mehr vorhanden warum auch immer... neue über die Anlagen aufzeichnen funktioniert auch nicht, weil die nr auf der die schleife gelegt wurde sofort ein besetzt zurückgibt. Zumal ich so am Zweifeln bin ob das überhaupt in die richtige Richtung geht ... nen schubs in die richtige Richtung wäre nett :)

Hallo, ich würde die Netzwerkkarte deinstallieren und mit den aktuellsten Treibern vom Herrsteller nochmal neu installieren. (mal am Rande is das eine OnBoard oder eine zugesteckte?) falls das nicht helfen sollte würde ich folgendes testen: Da du PC und Notebook hast vermute ich mal das du auch über einen Router oder einen Switch verfügst. Ich würde als Test mal auf dem Notebook eine Freigabe einrichten dort ein etwas größeres File ( so 100mb) reinpacken und mit dem PC versuchen von dem Notebook zu ziehen. Da das über das Lan geht sollte das recht flot gehen... wenn das Wirkung zeigt mal an den Werten wie der MTU und sowas herumspielen

Warum soll der Clone denn auf einen physischen Server? Ich kenne jetzt zwar die dahinterliegende Hardware nicht aber ich denke es wäre einfacher die virtuelle Platte an einen anderen Ort zu mirrorn und dann im Fall der Fälle den Clone wieder mit der VMware hochzufahren. Bei SAN-Infrastrukturen wird das sehr gerne neben der üblichen Bandsicherung eingesetzt mfg

Hallo, wie es aussieht bin ich den Cisco Geräten ans Herz gewachsen auf jedenfall kommt ein task nach dem anderen in dem Bereich :suspect: Hat jemand Erfahrungen mit dem Einrichten von Huntgroups und Warteschleifen? Also Konkret geht es um 3 Huntgroups, die jede Ihre eigene Warteschleife bekommen sollen. Wobei eine Huntgroup nur aus Faxen besteht.... Zur Verfügung hab ich auf dem Router den CallManager Express und die UnityExpress... leider ist das meiste was ich zu dem Thema bei Cisco ausbuddeln konnte von den Vollversionen :shock: Hat das schonmal jemand gemacht? Wo liegen die Klippen und was gibts zu beachten? Auf der Cisco-HP hab ich gelesen das man die Auto-Attendant-Scripte anpassen kann. Kann ich denen auch komplett neue Kunststücke beibringen? Wie zum Bsp. 2Faxe stehen an Standort A 1 an Standort B wo nur eine klassische Telanlage von Siemens hängt. Wenn nach 6mal klingeln Fax 1 u 2 immer noch besetzt sind soll auf Fax3 am Standort B weitergeleitet werden :( Tut mir leid wenn das Fragen sind wo ich mir die Antworten selber bei Cisco zusammen basteln kann.. muss halt nur bis morgen eine einschätzung über die komplexität abgeben und mir fehlt leider die nötige Erfahrung in dem Bereich mfg und danke

Cisco ist zuverlässig und stabil. Einmal richtig configuriert und die Geräte laufen einfach. Das einzigste was ich festgestellt hab ist das Cisco nicht in der Lage ist Webinterfaces zu bauen die auch das machen was man erwartet. Hatte das letzte Woche erst mit einer UC500. Hab zur Abwechslung mal versucht über das Webinterface ein neues Ciscotel einzurichten. Nach 1h hab ich es aufgegeben weil einfach nix gelaufen ist und das ganze auf Konsolenebene gemacht. Hat 10minuten gedauert bis ich alle verstümmelten Konfigs vom Webinterface gefunden hab und die korrigiert hatte und seit dem läuft das ganze wieder wie geschnitten Brot :)

So hat zwar eine halbe Ewigkeit gedauert aber es funktioniert inzwischen :) ich möchte mich an dieser Stelle noch mal herzlichst bei blackbox bedanken der sehr viel Geduld mit mir hatte mfg

Schonmal daran gedacht deine gesamte Infrastruktur zu zentralisieren so das die Nutzer nur noch Remote arbeiten? Bsp: mietest einen Schrank in einem RZ bestückst den mit der Hardware die du benötigst. Die Mitarbeiter verbinden sich von ihren Standorten dann auf die Server im RZ und können arbeiten. Damit hast du dann eine zentrale Datenhaltung die jedem von jedem Standort zur Verfügung steht. Wenn dann noch Virtualisierung dazukommt hast du eine Lösung die tragfähig flexibel und vor allem ausbaufähig ist. Die geringe Bandbreit deiner Standorte würde dann lediglich noch bei Druckvorgängen zum Tragen kommen mfg

Also deine Lösung ist leider nicht praktikabel. Da ein Klone vollkommen identisch zu seinem Ursprung ist wundert es mich das du nicht noch mehr Probleme bekommst, da es zu Netzwerkkonflikten kommt aufgrund gleicher uuid ip-adresse etc. Ich würde vorschlagen du lässt über deine Klone ein Sysprep laufen. Damit ist gesichert das diese neue uuids etc bekommen. (Hier wird wohl auch der grund liegen warum die domäne die klone verweigert weil diese alle uuids der angeschlossenen Rechner hält und diese EINDEUTIG sein müssen) Wie du das passende Failover hinbekommst kommt allerding darauf an welche Applikationen darauf laufen. mfg

Outsourcing ist schon ein gutes Stichwort... Vorzuziehen wäre ein Anbieter der dir alle deine Anforderungen erfüllt, so dass nicht jeder Baustein bei einem extra Hoster liegt. Bei einem erfolgreichen Startup wird irgendwann der kleine Desktop Pc unterm Schreibtisch als Rechenzentrum so oder so nicht mehr reichen (das ist jetzt mal sehr überspitzt ;) ). Datensicherung ist auch ein Faktor, wenn nur ein einzelner Server in einem Büro steht. Da solltest dir Gedanken drum machen zum Beispiel was passiert wenn die Festplatte kaputt geht. Wo steht dann dein Mirror das die Arbeit weitergeht und nicht ins stocken gerät ? Desaster Recovery... Was passiert wenn das Büro abbrennt? Das ganze ist halt nicht billig und kommt auf die Risikobereitschaft der Firma drauf an ( und auf das Budget weil eine redundante ausfallsichere Infrstruktur ist nicht das billigste ) mfg

Das das mal so mal so aussieht liegt daran das der Teil nachträglich von besagter Firma implementiert wurde... Habs jetzt mal getestet und es funktioniert leider immer noch nicht :( mfg

Ok entschuldigt die etwas schlampige Beschreibung also ist-Zustand: 1 DC Server 1 Exchange Server (läuft auf einem anderen Host nicht auf dem DC) Der zweite DC wird ebenfalls ein W2k3 Sp1 werden damit ich da keine neue Baustelle aufmache und soll ein extra Host werden so das ich am ende 3Hosts habe. 2 Mit DC's und 1 mit Exchange thx :)

Hallo, bin gerade dabei unser Netzwerk ausfallsicherer zumachen und mehr Redundanz einzubauen. Hierzu muss ich natürlich auch einen zweiten Domänencontroller aufsetzen. Vom Prinzip her keine Problem... ausser das ich einen Exchange Server betreibe der Domänencontroller Nr.1 wie es in der Natur der Sache liegt stark erweitert hat. Der zweite Domänencontroller lässt sich dadurch leider nicht einbinden weil ihm die Schemaerweiterungen fehlen und verlangt das ich auf dem Hauptcontroller ein DCPROMO ausführe. Frage: Hat das schonmal einer gemacht und hat Erfahrungen damit? Hab die leichte Befürchtung das der DCPROMO auf dem Main-Domänencontroller mir meine Exchangeanbindung kaputt macht Ich bin gerade schon dabei ein Paralellnetzwerk aufzubauen um das vorher in eriner Laborumgebung testen zu können würde mir aber sehr viel mühe und Zeit ersparen wenn ich das nicht 100mal machen müsste um auszutesten wie das funktioniert ;D mfg und danke

hallo, habe jetzt den ganzen Tag damit verbracht das Forum zu durchstöbern und alle möglichen Vorschläge durchprobiert aber nix hat geholfen :cry: ok zu meinem Problem: ich hab eine ASA5500 (ASA Version 8.0(3)) Die ASA hat nach aussen mehrere IP's Nun habe ich mehrere Domains die alle ihren eigenen mail-server besitzen. So weit so gut... Nun hab ich eine Firma beauftragt gehabt mir den Router fachgerecht einzurichten damit ich nicht daran herumstümpern muss :suspect: Seit einigen Wochen kommt es jedoch vermehrt dazu das ich beim Mail verschicken folgende Fehlermeldung erhalte: 550 Client host rejected: cannot find your hostname Die tolle Firma die mir den eingerichtet hat erklärt mir nur das ich den Empfängern meiner Mail sagen soll das die die Spam-Einstellungen ihrer Mail-Server lockern sollen damit meine Mails ankommen :mad: access-list OUTSIDE extended permit tcp host xxx.xxx.xxx.254 host xxx.xxx.xxx.83 eq telnet access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.78 eq www access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.78 eq imap4 access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.80 object-group group1-web access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.86 object-group group1-mailscanner access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.87 object-group group1-mail access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.90 object-group group2-mailscanner access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.89 object-group group2-mail access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.91 eq ftp access-list OUTSIDE extended permit tcp host xxx.xxx.xx.186 host xxx.xxx.xxx.91 eq 23560 access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.79 object-group wiki access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.72 eq www access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.77 eq smtp access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.78 eq smtp static (inside101,outside) tcp xxx.xxx.xxx.78 www 10.10.1.51 www netmask 255.255.255.255 static (inside101,outside) tcp xxx.xxx.xxx.78 imap4 10.10.1.51 imap4 netmask 255.255.255.255 static (inside102,outside) tcp xxx.xxx.xxx.80 www 10.10.2.60 www netmask 255.255.255.255 static (inside105,outside) tcp xxx.xxx.xxx.91 ftp 10.10.5.35 ftp netmask 255.255.255.255 static (inside105,outside) tcp xxx.xxx.xxx.91 23560 10.10.5.35 23560 netmask 255.255.255.255 static (inside101,outside) tcp xxx.xxx.xxx.77 smtp 10.10.1.50 smtp netmask 255.255.255.255 static (inside101,outside) tcp xxx.xxx.xxx.78 smtp 10.10.1.51 smtp netmask 255.255.255.255 static (inside102,outside) xxx.xxx.xxx.86 10.10.2.51 netmask 255.255.255.255 static (inside102,outside) xxx.xxx.xxx.87 10.10.2.50 netmask 255.255.255.255 static (inside103,outside) xxx.xxx.xxx.89 192.168.51.250 netmask 255.255.255.255 static (inside103,outside) xxx.xxx.xxx.90 192.168.51.249 netmask 255.255.255.255 static (inside106,outside) xxx.xxx.xxx.79 10.10.6.10 netmask 255.255.255.255 route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.65 1 Hauptproblem ist die ip xxx.xxx.xxx.78 wenn ich von diesem Mail-Server eine Mail verschicke dann wird diese nicht von IP 78 sondern 84 geschickt aus welchen Gründen auch immer. Dadurch fällt natürlich das Reverse-Lockup ins Wasser und die Mail wird von vielen Mailservern abgewiesen :( Bei group1 funktionert das ganze einwandfrei... Wobei der einzigste unterschied ist das der über object-groups und port-objecten gesteuert wird und mein problemfall alles einzeln aufführt Wollte jetzt wissen ob es daran liegen kann oder ob jemand noch nen anderen Fehler findet. mfg und danke :)