VirtualMachine
-
Gesamte Inhalte
48 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von VirtualMachine
-
-
Hallo,
ich habe gerade massive Kopfschmerzen, da mir die Ideen ausgegangen sind wie ich weiter google traktieren kann um doch noch die gewünschte Antwort zu finden.
Ich habe ein L2L VPN zwischen einem 2811er ( mittels einsteckkarte zur Telefonanlage hochgerüstet ) und einer PIX. Das läuft sauber stabil und ohne weitere Probleme.
Ok nun connecte ich mit Lappi und dem Cisco VPN Client auf den 2811er, was auch keinerlei Schwierigkeiten bereitet und das Cisco Softphone funktioniert auch tadellos. Nun muss ich aber mit dem Laptop auch in das Netz was hinter der PIX liegt, da dort die Serverfarm liegt.
Der Laptop schickt die Pakete die ich ins Netz der PIX schicken will, irgendwo ins Internetnirwana, so dass diese auf dem 2811er gar nicht erst in den debugs auftauchen.
Wie gebe ich dem VPN Client beim Aufbau des VPNs zu verstehen, dass er das Netz der PIX über den 2811er also den VPN - Tunnel erreicht?
-
Ok habs gefunden... der zweite Domänencontroller hatte die Freigabe noch... nur merkwürdig warum die Server auf dem gesucht haben
-
Hallo,
habe hier folgendes Problem, das ich trotz Google und der Suche hier nicht lösen konnte.
Ich habe auf einem 2k3 Printserver einen neuen Drucker eingerichtet und installiert.
Dann ist mir aufgefallen, dass ich den FreigabeNamen vergeigt habe und habe die Freigabe umbenannt.
Ok bis hierher alles im grünen Bereich...
Das Problem ist jetzt folgendes, dass der alte Freigabename vor dem umbenennen immer noch beim Suchen von Druckern auftaucht :shock:
Man kann den sogar anwählen und der schaltet auf bereit (nur das die Druckwarteschlange nicht abgearbeitet wird also kein bedrucktes Papier den Drucker verlässt )
Neustarten des Printservers hat auch nicht geholfen. In der Registry habe ich keinen Eintrag mit dem alten Sharenamen gefunden. Und bei net share auf dem Printserver taucht die falsche Freigabe nicht auf.
Woher kommt es also das der beim Suchen von Druckern ( über Drucker und Faxgeräte ) immer noch die alte Freigabe findet? Wo ist das Verzeichnis gespeichert das er durchsucht, damit ich dort mal rein sehen kann ob der dort noch drinsteht.
Schönes Wochenende euch allen :)
ok Nachtrag: Gerade habe ich mitbekommen, dass wenn die User vom Terminal Server aus die inzwischen ungültige Druckerfreigabe auswählen, mir der gesamte TerminalServer abschmiert
-
hallo,
hab eure vorschläge mal ausprobiert:
gateway(config)# crypto key zeroize rsa
WARNING: All RSA keys will be removed.
WARNING: All device certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes
crypto key generate rsa modulus 768
INFO: The name for the keys will be: <Default-RSA-Key>
Keypair generation process begin. Please wait...
debug ssh enabled at level 255
ich bekomme leider das gleiche Ergebnis wie vorher der debug bringt keinen Output; rauf komme ichweiterhin mit ssh nicht.
gateway# show run | g ssh
aaa authentication ssh console LOCAL
ssh 10.0.10.0 255.255.255.0 inside
ssh 10.10.0.0 255.255.255.0 inside
ssh 10.0.10.0 255.255.255.0 inside_trunk
ssh 10.0.0.0 255.255.255.0 inside_trunk
ssh 10.0.0.187 255.255.255.255 inside_trunk
ssh 10.10.5.0 255.255.255.0 inside105
ssh 10.10.0.0 255.255.255.0 inside100
ssh timeout 60
ssh version 2
^^ das scheint alles zu sein was in der config mit ssh zu tun hat
show run | g NAT
nat (inside_trunk) 0 access-list NO-NAT
das ist der einzigste nat eintrag der sich auf das interface bezieht
mfg
-
Hallo,
also ich habe immernoch folgendes Problem
Ich kann mich nicht per SSH auf die ASA5510 verbinden.
Habe auch schon alles dementsprechende gelöscht gehabt und dann nach der ANleitung von Cisco:
PIX/ASA 7.x: SSH/Telnet on the Inside and Outside Interface Configuration Example - Cisco Systems
von vorne angefangen. Nur leider hilft nix :confused:
Router Config:
interface Ethernet0/3
nameif inside_trunk
security-level 100
ip address 10.0.0.2 255.255.255.0
!
asa5510# show run | g ssh
aaa authentication ssh console LOCAL
ssh 10.0.10.0 255.255.255.0 inside_trunk
ssh 10.0.0.0 255.255.255.0 inside_trunk
ssh 10.0.0.187 255.255.255.255 inside_trunk
ssh timeout 60
ssh version 2
show crypto key mypubkey rsa
Key pair was generated at: 04:08:14 CEST Oct 12 2009
Key name: <Default-RSA-Key>
Usage: General Purpose Key
Modulus Size (bits): 1024
Key Data:
30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 009d0c04
a4962817 d313e764 4415557e e206e9bd 09b12442 7717af9a d0ea4b3c f00e3713
cb511cf0 dfeb1994 77c60d9e 7ad49471 9239f00f 7485b1e4 db964ca4 122035a3
35aa35af 456435bb 37d8f84a d0c8ecfd 6d7e9ba2 5c1cc6c8 ceadb275 495cf8de
efbb48da 374a7798 db6e0217 9c3f787d 36d46d60 08cd980c 995e6648 7d020301 0001
Antworten die ich bekomme wenn ich es von einem Linuxhost aus versuche:
vorher mal das Debug auf der ASA anschalten:
ASA5510# debug ssh
debug ssh enabled at level 1
Linuxhost:
ssh -v 10.0.0.2
OpenSSH_5.1p1, OpenSSL 0.9.8g 19 Oct 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to 10.0.0.2 [10.0.0.2] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
ssh_exchange_identification: Connection closed by remote host
Ok mal telnet auf den ssh port testen:
telnet 10.0.0.2 22
Trying 10.0.0.2...
Connected to 10.0.0.2.
Escape character is '^]'.
Connection closed by foreign host.
Putty sagt einfach nur: Server unexprectedly closed network connection
und das debug auf der ASA zeigt reinweg gar nix an :shock:
Hab schon ewig gegoogelt aber nix hat bisher geholfen
mfg und danke
-
Ich mache sowas regelmässig allerdings mit VMWare als Hypervisor...
Was ich mich frage warum jeder der Nutzer ein eigenes windows bekommen soll?
wäre da nicht eine Terminalserverlösung besser? benötigst weniger Ressourcen etc um den Betrieb aufrecht zu erhalten
So ist unsere komplette Firma virtualisiert mit Thinclients während die Terminalserver 5km weiter im RZ stehen
-
Das kenn ich von 2k3 Terminalservern
da reicht es wenn man sich mit einem Administratoraccount einloggt und die Session von gestörten account beendet mittels Terminserververwaltung( ABMELDEN nicht trennen )
Danach kann sich der betroffene Acccount wie gewohnt enloggen
mfg
-
hallo,
1. Tabelle ausfindig machen wo die links gespeichert sind
2. Update Tabelle SET Linkfeld=new_url where linkfeld=alte_url
fertig... funktioniert aber nicht wenn hinter der url der name des bildes direkt angehängt ist...( http://www.weissnicht.de/images/bild1.jpg)
da muss dann ein script her ( z.b. php )
ich denke der rewrite geht schneller und bietet mehr vorteile... :)
-
Global offene Ports werden von uns strikt verweigert
Wenn offene Ports dann nur zielgerichtet auf Host wie z.B. auf den Webserver , Mailserver etc pp und die nach Möglichkeit in eigenen VLANs stehen so dass ein erfolgreicher Angriffsversuch nur den entsprechenden Server betrifft und der Angreifer nicht das ganze Netz zerstören kann... zumindest solange die Firewalls der Router nicht geknackt werden.
Andere Dienste sind grundsätzlich nur über ein VPN zu erreichen.
Und da wo es möglich ist werden nur feste "Aussen"-IPs für den Aufbau des VPN zugelassen
mfg
-
Hallo,
also ich bin gerade dabei zu versuchen das über dynamische Hunt-Groups zu basteln:
ephone-hunt 1 sequential
pilot 139
list 20, 40, 30, 10, 31
final 89
preference 1
timeout 10
!
^^ das ist der IST-Zustand auf meiner Testumgebung
wenn ich jetzt versuche:
no list
list 20,*,*,*,*
bekomme ich die Antwort * is not a number
ok meine testumgebung ist jetzt leider nur ein 2811 Router mit Unity Expansion Card mit leicht veraltetem Versionstand...
Also hab ich mich mal ans Updaten gemacht
Das IOS konnte ich ohne Probleme auf die neuste Version Updaten ... aber das Unity weigert sich hartknäckig:
mailbox> software download upgrade url ftp://10.0.0.125/neu/cue-vm-k9.nme.3.2.4.pkg username root password xxxx
WARNING:: This command will download the necessary software to
WARNING:: complete an upgrade. It is recommended that a backup be done
WARNING:: before installing software.
Would you like to continue? [n] y
Downloading cue-vm-k9.nme.3.2.4.pkg
Bytes downloaded : 179928
Validating package signature ... error
Package signature validation failed for pkg cue-vm-k9.nme.3.2.4.pkg
[15252 refs]
weiss einer woran das liegt?
hab das release direkt von der Cisco Seite wo man hingeführt wird wenn man den Weg über router->2800->2811.... folgt
Und das nächste wäre weiss einer wie das Stichwort bei Cisco heisst wenn ich einen Button im Telefon ( 7940) erstellen möchte ? Der soll dazu dienen sich mit einem Klick in die Hunt-Group ein- bzw auszuloggen ( bei create, configure etc bekomm ich zwar sehr viele hits aber keinen mit nem how-to )
mfg und danke
-
Hallo,
also Huntgroup 1 soll wenn alle Plätze belegt sind direkt auf nen AB gehen
das ist kein Problem das hab ich schon hinbekommen :)
huntgroup 2 soll die Anrufer in Warteposition mit Ansage und Musik halten und sobald einer aus der Huntgroup auflegt auf den freiwerdenden Platz weiterleiten...
weitere (zumindest für mich) schwierigkeit hierbei ist das die Huntgroup aus 8Nummern besteht alle Nummern (auf ihren Durchwahlen) von aussen erreichbar sein sollen und falls besetzt ist direkt in die warteschleife gebracht werden sollen ohne vorher alle 8 Telefone nacheinander durchzunudeln was ne huntgroup ja standardmässig tut.
Auto-attendant ist wohl der richtige Ansatz
Mit dem was auf der Cisco-HP steht komm ich nicht zurecht und komme da nicht weiter weil es schon am zweiten schritt scheitert:
Die wav Dateien sind nicht mehr vorhanden warum auch immer... neue über die Anlagen aufzeichnen funktioniert auch nicht, weil die nr auf der die schleife gelegt wurde sofort ein besetzt zurückgibt.
Zumal ich so am Zweifeln bin ob das überhaupt in die richtige Richtung geht ...
nen schubs in die richtige Richtung wäre nett :)
-
Hallo,
ich würde die Netzwerkkarte deinstallieren und mit den aktuellsten Treibern vom Herrsteller nochmal neu installieren. (mal am Rande is das eine OnBoard oder eine zugesteckte?)
falls das nicht helfen sollte würde ich folgendes testen:
Da du PC und Notebook hast vermute ich mal das du auch über einen Router oder einen Switch verfügst.
Ich würde als Test mal auf dem Notebook eine Freigabe einrichten dort ein etwas größeres File ( so 100mb) reinpacken und mit dem PC versuchen von dem Notebook zu ziehen.
Da das über das Lan geht sollte das recht flot gehen... wenn das Wirkung zeigt mal an den Werten wie der MTU und sowas herumspielen
-
Warum soll der Clone denn auf einen physischen Server?
Ich kenne jetzt zwar die dahinterliegende Hardware nicht aber ich denke es wäre einfacher die virtuelle Platte an einen anderen Ort zu mirrorn und dann im Fall der Fälle den Clone wieder mit der VMware hochzufahren. Bei SAN-Infrastrukturen wird das sehr gerne neben der üblichen Bandsicherung eingesetzt
mfg
-
Hallo,
wie es aussieht bin ich den Cisco Geräten ans Herz gewachsen auf jedenfall kommt ein task nach dem anderen in dem Bereich :suspect:
Hat jemand Erfahrungen mit dem Einrichten von Huntgroups und Warteschleifen?
Also Konkret geht es um 3 Huntgroups, die jede Ihre eigene Warteschleife bekommen sollen.
Wobei eine Huntgroup nur aus Faxen besteht....
Zur Verfügung hab ich auf dem Router den CallManager Express und die UnityExpress... leider ist das meiste was ich zu dem Thema bei Cisco ausbuddeln konnte von den Vollversionen :shock:
Hat das schonmal jemand gemacht?
Wo liegen die Klippen und was gibts zu beachten?
Auf der Cisco-HP hab ich gelesen das man die Auto-Attendant-Scripte anpassen kann. Kann ich denen auch komplett neue Kunststücke beibringen?
Wie zum Bsp. 2Faxe stehen an Standort A 1 an Standort B wo nur eine klassische Telanlage von Siemens hängt. Wenn nach 6mal klingeln Fax 1 u 2 immer noch besetzt sind soll auf Fax3 am Standort B weitergeleitet werden :(
Tut mir leid wenn das Fragen sind wo ich mir die Antworten selber bei Cisco zusammen basteln kann.. muss halt nur bis morgen eine einschätzung über die komplexität abgeben und mir fehlt leider die nötige Erfahrung in dem Bereich
mfg und danke
-
Cisco ist zuverlässig und stabil. Einmal richtig configuriert und die Geräte laufen einfach.
Das einzigste was ich festgestellt hab ist das Cisco nicht in der Lage ist Webinterfaces zu bauen die auch das machen was man erwartet.
Hatte das letzte Woche erst mit einer UC500. Hab zur Abwechslung mal versucht über das Webinterface ein neues Ciscotel einzurichten. Nach 1h hab ich es aufgegeben weil einfach nix gelaufen ist und das ganze auf Konsolenebene gemacht.
Hat 10minuten gedauert bis ich alle verstümmelten Konfigs vom Webinterface gefunden hab und die korrigiert hatte und seit dem läuft das ganze wieder wie geschnitten Brot :)
-
So hat zwar eine halbe Ewigkeit gedauert aber es funktioniert inzwischen :)
ich möchte mich an dieser Stelle noch mal herzlichst bei blackbox bedanken der sehr viel Geduld mit mir hatte
mfg
-
Schonmal daran gedacht deine gesamte Infrastruktur zu zentralisieren so das die Nutzer nur noch Remote arbeiten?
Bsp: mietest einen Schrank in einem RZ bestückst den mit der Hardware die du benötigst.
Die Mitarbeiter verbinden sich von ihren Standorten dann auf die Server im RZ und können arbeiten.
Damit hast du dann eine zentrale Datenhaltung die jedem von jedem Standort zur Verfügung steht.
Wenn dann noch Virtualisierung dazukommt hast du eine Lösung die tragfähig flexibel und vor allem ausbaufähig ist. Die geringe Bandbreit deiner Standorte würde dann lediglich noch bei Druckvorgängen zum Tragen kommen
mfg
-
Also deine Lösung ist leider nicht praktikabel.
Da ein Klone vollkommen identisch zu seinem Ursprung ist wundert es mich das du nicht noch mehr Probleme bekommst, da es zu Netzwerkkonflikten kommt aufgrund gleicher uuid ip-adresse etc.
Ich würde vorschlagen du lässt über deine Klone ein Sysprep laufen. Damit ist gesichert das diese neue uuids etc bekommen. (Hier wird wohl auch der grund liegen warum die domäne die klone verweigert weil diese alle uuids der angeschlossenen Rechner hält und diese EINDEUTIG sein müssen)
Wie du das passende Failover hinbekommst kommt allerding darauf an welche Applikationen darauf laufen.
mfg
-
Outsourcing ist schon ein gutes Stichwort...
Vorzuziehen wäre ein Anbieter der dir alle deine Anforderungen erfüllt, so dass nicht jeder Baustein bei einem extra Hoster liegt. Bei einem erfolgreichen Startup wird irgendwann der kleine Desktop Pc unterm Schreibtisch als Rechenzentrum so oder so nicht mehr reichen (das ist jetzt mal sehr überspitzt ;) ). Datensicherung ist auch ein Faktor, wenn nur ein einzelner Server in einem Büro steht.
Da solltest dir Gedanken drum machen zum Beispiel was passiert wenn die Festplatte kaputt geht. Wo steht dann dein Mirror das die Arbeit weitergeht und nicht ins stocken gerät ? Desaster Recovery... Was passiert wenn das Büro abbrennt?
Das ganze ist halt nicht billig und kommt auf die Risikobereitschaft der Firma drauf an ( und auf das Budget weil eine redundante ausfallsichere Infrstruktur ist nicht das billigste )
mfg
-
Das das mal so mal so aussieht liegt daran das der Teil nachträglich von besagter Firma implementiert wurde...
Habs jetzt mal getestet und es funktioniert leider immer noch nicht :(
mfg
-
Ok entschuldigt die etwas schlampige Beschreibung
also ist-Zustand: 1 DC Server 1 Exchange Server (läuft auf einem anderen Host nicht auf dem DC)
Der zweite DC wird ebenfalls ein W2k3 Sp1 werden damit ich da keine neue Baustelle aufmache und soll ein extra Host werden so das ich am ende 3Hosts habe. 2 Mit DC's und 1 mit Exchange
thx :)
-
Hallo,
bin gerade dabei unser Netzwerk ausfallsicherer zumachen und mehr Redundanz einzubauen.
Hierzu muss ich natürlich auch einen zweiten Domänencontroller aufsetzen.
Vom Prinzip her keine Problem... ausser das ich einen Exchange Server betreibe der Domänencontroller Nr.1 wie es in der Natur der Sache liegt stark erweitert hat.
Der zweite Domänencontroller lässt sich dadurch leider nicht einbinden weil ihm die Schemaerweiterungen fehlen und verlangt das ich auf dem Hauptcontroller ein DCPROMO ausführe.
Frage: Hat das schonmal einer gemacht und hat Erfahrungen damit?
Hab die leichte Befürchtung das der DCPROMO auf dem Main-Domänencontroller mir meine Exchangeanbindung kaputt macht
Ich bin gerade schon dabei ein Paralellnetzwerk aufzubauen um das vorher in eriner Laborumgebung testen zu können würde mir aber sehr viel mühe und Zeit ersparen wenn ich das nicht 100mal machen müsste um auszutesten wie das funktioniert ;D
mfg und danke
-
hallo,
habe jetzt den ganzen Tag damit verbracht das Forum zu durchstöbern und alle möglichen Vorschläge durchprobiert aber nix hat geholfen :cry:
ok zu meinem Problem:
ich hab eine ASA5500 (ASA Version 8.0(3))
Die ASA hat nach aussen mehrere IP's
Nun habe ich mehrere Domains die alle ihren eigenen mail-server besitzen.
So weit so gut... Nun hab ich eine Firma beauftragt gehabt mir den Router fachgerecht einzurichten damit ich nicht daran herumstümpern muss :suspect:
Seit einigen Wochen kommt es jedoch vermehrt dazu das ich beim Mail verschicken folgende Fehlermeldung erhalte:
550 Client host rejected: cannot find your hostname
Die tolle Firma die mir den eingerichtet hat erklärt mir nur das ich den Empfängern meiner Mail sagen soll das die die Spam-Einstellungen ihrer Mail-Server lockern sollen damit meine Mails ankommen :mad:
access-list OUTSIDE extended permit tcp host xxx.xxx.xxx.254 host xxx.xxx.xxx.83 eq telnet
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.78 eq www
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.78 eq imap4
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.80 object-group group1-web
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.86 object-group group1-mailscanner
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.87 object-group group1-mail
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.90 object-group group2-mailscanner
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.89 object-group group2-mail
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.91 eq ftp
access-list OUTSIDE extended permit tcp host xxx.xxx.xx.186 host xxx.xxx.xxx.91 eq 23560
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.79 object-group wiki
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.72 eq www
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.77 eq smtp
access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.78 eq smtp
static (inside101,outside) tcp xxx.xxx.xxx.78 www 10.10.1.51 www netmask 255.255.255.255
static (inside101,outside) tcp xxx.xxx.xxx.78 imap4 10.10.1.51 imap4 netmask 255.255.255.255
static (inside102,outside) tcp xxx.xxx.xxx.80 www 10.10.2.60 www netmask 255.255.255.255
static (inside105,outside) tcp xxx.xxx.xxx.91 ftp 10.10.5.35 ftp netmask 255.255.255.255
static (inside105,outside) tcp xxx.xxx.xxx.91 23560 10.10.5.35 23560 netmask 255.255.255.255
static (inside101,outside) tcp xxx.xxx.xxx.77 smtp 10.10.1.50 smtp netmask 255.255.255.255
static (inside101,outside) tcp xxx.xxx.xxx.78 smtp 10.10.1.51 smtp netmask 255.255.255.255
static (inside102,outside) xxx.xxx.xxx.86 10.10.2.51 netmask 255.255.255.255
static (inside102,outside) xxx.xxx.xxx.87 10.10.2.50 netmask 255.255.255.255
static (inside103,outside) xxx.xxx.xxx.89 192.168.51.250 netmask 255.255.255.255
static (inside103,outside) xxx.xxx.xxx.90 192.168.51.249 netmask 255.255.255.255
static (inside106,outside) xxx.xxx.xxx.79 10.10.6.10 netmask 255.255.255.255
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.65 1
Hauptproblem ist die ip xxx.xxx.xxx.78
wenn ich von diesem Mail-Server eine Mail verschicke dann wird diese nicht von IP 78 sondern 84 geschickt aus welchen Gründen auch immer. Dadurch fällt natürlich das Reverse-Lockup ins Wasser und die Mail wird von vielen Mailservern abgewiesen :(
Bei group1 funktionert das ganze einwandfrei...
Wobei der einzigste unterschied ist das der über object-groups und port-objecten gesteuert wird und mein problemfall alles einzeln aufführt
Wollte jetzt wissen ob es daran liegen kann oder ob jemand noch nen anderen Fehler findet.
mfg und danke :)
VPN Netze routen
in Cisco Forum — Allgemein
Geschrieben · bearbeitet von VirtualMachine
Hallo,
danke für die Antworten erstmal die Config von der 2811 liegt gedruckt bei 50 Seiten von daher beschränke ich das erst einmal auf die access-listen und die vpn relevanten daten. Falls noch was fehlt reiche ich das gerne nach:
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key stehtnix address 213.xxx.xxx.xxx no-xauth
!
crypto isakmp client configuration group telefonclient
key blubblub
dns 4.2.2.3
domain nix.com
pool ippool
!
!
crypto ipsec transform-set ESP-AES esp-aes 256 esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set ESP-AES
crypto map SDM_CMAP_2 client authentication list userauthen
crypto map SDM_CMAP_2 isakmp authorization list groupauthor
crypto map SDM_CMAP_2 client configuration address respond
crypto map SDM_CMAP_2 1 ipsec-isakmp
set peer 213.xxx.xxx.xxx
set transform-set ESP-AES
match address 101
crypto map SDM_CMAP_2 10 ipsec-isakmp dynamic dynmap
ip local pool ippool 192.168.10.1 192.168.10.254
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 213.xxx.xxx.xxx
ip route 10.0.10.2 255.255.255.255 Service-Engine0/1
ip nat inside source list NO-NAT interface FastEthernet0/1 overload
!
ip access-list extended NO-NAT
deny ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255
deny ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255
deny ip 10.0.10.0 0.0.0.255 192.168.10.0 0.0.0.255
deny ip 10.1.10.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 10.0.0.0 0.0.0.255
logging 10.0.0.80
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.0.10.0 0.0.0.255
access-list 3 permit 10.0.0.41
access-list 3 permit 10.0.0.45
access-list 100 deny ip 213.XXX.XXX.XXX 0.0.0.15 any
access-list 100 permit ip any any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 permit ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.0.14.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 101 permit ip host 10.0.14.2 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 10.0.14.0 0.0.0.255
access-list 102 remark SDM_ACL Category=4
access-list 102 remark IPSec Rule
access-list 102 permit ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 104 permit ip 10.1.10.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 120 permit ip any any
access-list 160 permit ip host 213.xxx.xxx.xxx host 213.xxx.xxx.xxx
access-list 160 permit ip 10.0.10.0 0.0.0.255 any
access-list 160 permit ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 160 permit ip host 213.xxx.xxx.xxx any
route-map SDM_RMAP_1 permit 1
match ip address 103
!
route-map SDM_RMAP_2 permit 1
match ip address 106
Musste gerade feststellen das nach meiner letzen access-listen umstellung der Spliuttunnel nicht mehr funktioniert und man nicht ins Internet vom Laptop aus mehr kommt bei bestehendem VPN
Thx in Advance