VirtualMachine

Hallo,

 

danke für die Antworten erstmal die Config von der 2811 liegt gedruckt bei 50 Seiten von daher beschränke ich das erst einmal auf die access-listen und die vpn relevanten daten. Falls noch was fehlt reiche ich das gerne nach:

 

crypto isakmp policy 3

encr 3des

authentication pre-share

group 2

!

crypto isakmp policy 10

hash md5

authentication pre-share

crypto isakmp key stehtnix address 213.xxx.xxx.xxx no-xauth

!

crypto isakmp client configuration group telefonclient

key blubblub

dns 4.2.2.3

domain nix.com

pool ippool

!

!

crypto ipsec transform-set ESP-AES esp-aes 256 esp-md5-hmac

!

crypto dynamic-map dynmap 10

set transform-set ESP-AES

 

crypto map SDM_CMAP_2 client authentication list userauthen

crypto map SDM_CMAP_2 isakmp authorization list groupauthor

crypto map SDM_CMAP_2 client configuration address respond

crypto map SDM_CMAP_2 1 ipsec-isakmp

set peer 213.xxx.xxx.xxx

set transform-set ESP-AES

match address 101

crypto map SDM_CMAP_2 10 ipsec-isakmp dynamic dynmap

 

ip local pool ippool 192.168.10.1 192.168.10.254

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 213.xxx.xxx.xxx

ip route 10.0.10.2 255.255.255.255 Service-Engine0/1

 

 

ip nat inside source list NO-NAT interface FastEthernet0/1 overload

!

ip access-list extended NO-NAT

deny ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255

deny ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255

deny ip 10.0.10.0 0.0.0.255 192.168.10.0 0.0.0.255

deny ip 10.1.10.0 0.0.0.255 192.168.10.0 0.0.0.255

permit ip 192.168.10.0 0.0.0.255 10.0.0.0 0.0.0.255

 

logging 10.0.0.80

access-list 1 remark INSIDE_IF=FastEthernet0/0

access-list 1 remark SDM_ACL Category=2

access-list 1 permit 10.0.10.0 0.0.0.255

access-list 3 permit 10.0.0.41

access-list 3 permit 10.0.0.45

access-list 100 deny ip 213.XXX.XXX.XXX 0.0.0.15 any

access-list 100 permit ip any any

access-list 100 deny ip host 255.255.255.255 any

access-list 100 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 permit ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255

access-list 101 permit ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255

access-list 101 permit ip 10.0.14.0 0.0.0.255 10.0.0.0 0.0.0.255

access-list 101 permit ip host 10.0.14.2 10.0.0.0 0.0.0.255

access-list 101 permit ip 10.0.0.0 0.0.0.255 10.0.14.0 0.0.0.255

access-list 102 remark SDM_ACL Category=4

access-list 102 remark IPSec Rule

access-list 102 permit ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255

access-list 104 permit ip 10.1.10.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 120 permit ip any any

access-list 160 permit ip host 213.xxx.xxx.xxx host 213.xxx.xxx.xxx

access-list 160 permit ip 10.0.10.0 0.0.0.255 any

access-list 160 permit ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255

access-list 160 permit ip host 213.xxx.xxx.xxx any

 

route-map SDM_RMAP_1 permit 1

match ip address 103

!

route-map SDM_RMAP_2 permit 1

match ip address 106

 

Musste gerade feststellen das nach meiner letzen access-listen umstellung der Spliuttunnel nicht mehr funktioniert und man nicht ins Internet vom Laptop aus mehr kommt bei bestehendem VPN

 

Thx in Advance

Hallo,

 

ich habe gerade massive Kopfschmerzen, da mir die Ideen ausgegangen sind wie ich weiter google traktieren kann um doch noch die gewünschte Antwort zu finden.

 

Ich habe ein L2L VPN zwischen einem 2811er ( mittels einsteckkarte zur Telefonanlage hochgerüstet ) und einer PIX. Das läuft sauber stabil und ohne weitere Probleme.

Ok nun connecte ich mit Lappi und dem Cisco VPN Client auf den 2811er, was auch keinerlei Schwierigkeiten bereitet und das Cisco Softphone funktioniert auch tadellos. Nun muss ich aber mit dem Laptop auch in das Netz was hinter der PIX liegt, da dort die Serverfarm liegt.

Der Laptop schickt die Pakete die ich ins Netz der PIX schicken will, irgendwo ins Internetnirwana, so dass diese auf dem 2811er gar nicht erst in den debugs auftauchen.

 

Wie gebe ich dem VPN Client beim Aufbau des VPNs zu verstehen, dass er das Netz der PIX über den 2811er also den VPN - Tunnel erreicht?

Ok habs gefunden... der zweite Domänencontroller hatte die Freigabe noch... nur merkwürdig warum die Server auf dem gesucht haben

Hallo,

 

habe hier folgendes Problem, das ich trotz Google und der Suche hier nicht lösen konnte.

Ich habe auf einem 2k3 Printserver einen neuen Drucker eingerichtet und installiert.

 

Dann ist mir aufgefallen, dass ich den FreigabeNamen vergeigt habe und habe die Freigabe umbenannt.

 

Ok bis hierher alles im grünen Bereich...

Das Problem ist jetzt folgendes, dass der alte Freigabename vor dem umbenennen immer noch beim Suchen von Druckern auftaucht :shock:

 

Man kann den sogar anwählen und der schaltet auf bereit (nur das die Druckwarteschlange nicht abgearbeitet wird also kein bedrucktes Papier den Drucker verlässt )

 

Neustarten des Printservers hat auch nicht geholfen. In der Registry habe ich keinen Eintrag mit dem alten Sharenamen gefunden. Und bei net share auf dem Printserver taucht die falsche Freigabe nicht auf.

 

Woher kommt es also das der beim Suchen von Druckern ( über Drucker und Faxgeräte ) immer noch die alte Freigabe findet? Wo ist das Verzeichnis gespeichert das er durchsucht, damit ich dort mal rein sehen kann ob der dort noch drinsteht.

 

Schönes Wochenende euch allen :)

 

 

ok Nachtrag: Gerade habe ich mitbekommen, dass wenn die User vom Terminal Server aus die inzwischen ungültige Druckerfreigabe auswählen, mir der gesamte TerminalServer abschmiert

hallo,

 

hab eure vorschläge mal ausprobiert:

 

gateway(config)# crypto key zeroize rsa

WARNING: All RSA keys will be removed.

WARNING: All device certs issued using these keys will also be removed.

 

Do you really want to remove these keys? [yes/no]: yes

 

 

crypto key generate rsa modulus 768

INFO: The name for the keys will be: <Default-RSA-Key>

Keypair generation process begin. Please wait...

 

debug ssh enabled at level 255

 

ich bekomme leider das gleiche Ergebnis wie vorher der debug bringt keinen Output; rauf komme ichweiterhin mit ssh nicht.

 

gateway# show run | g ssh

aaa authentication ssh console LOCAL

ssh 10.0.10.0 255.255.255.0 inside

ssh 10.10.0.0 255.255.255.0 inside

ssh 10.0.10.0 255.255.255.0 inside_trunk

ssh 10.0.0.0 255.255.255.0 inside_trunk

ssh 10.0.0.187 255.255.255.255 inside_trunk

ssh 10.10.5.0 255.255.255.0 inside105

ssh 10.10.0.0 255.255.255.0 inside100

ssh timeout 60

ssh version 2

 

^^ das scheint alles zu sein was in der config mit ssh zu tun hat

 

show run | g NAT

nat (inside_trunk) 0 access-list NO-NAT

das ist der einzigste nat eintrag der sich auf das interface bezieht

 

mfg

Hallo,

 

also ich habe immernoch folgendes Problem

Ich kann mich nicht per SSH auf die ASA5510 verbinden.

Habe auch schon alles dementsprechende gelöscht gehabt und dann nach der ANleitung von Cisco:

PIX/ASA 7.x: SSH/Telnet on the Inside and Outside Interface Configuration Example - Cisco Systems

 

von vorne angefangen. Nur leider hilft nix :confused:

Router Config:

 

interface Ethernet0/3

nameif inside_trunk

security-level 100

ip address 10.0.0.2 255.255.255.0

!

 

asa5510# show run | g ssh

aaa authentication ssh console LOCAL

ssh 10.0.10.0 255.255.255.0 inside_trunk

ssh 10.0.0.0 255.255.255.0 inside_trunk

ssh 10.0.0.187 255.255.255.255 inside_trunk

ssh timeout 60

ssh version 2

 

show crypto key mypubkey rsa

Key pair was generated at: 04:08:14 CEST Oct 12 2009

Key name: <Default-RSA-Key>

Usage: General Purpose Key

Modulus Size (bits): 1024

Key Data:

 

30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 009d0c04

a4962817 d313e764 4415557e e206e9bd 09b12442 7717af9a d0ea4b3c f00e3713

cb511cf0 dfeb1994 77c60d9e 7ad49471 9239f00f 7485b1e4 db964ca4 122035a3

35aa35af 456435bb 37d8f84a d0c8ecfd 6d7e9ba2 5c1cc6c8 ceadb275 495cf8de

efbb48da 374a7798 db6e0217 9c3f787d 36d46d60 08cd980c 995e6648 7d020301 0001

 

Antworten die ich bekomme wenn ich es von einem Linuxhost aus versuche:

vorher mal das Debug auf der ASA anschalten:

ASA5510# debug ssh

debug ssh enabled at level 1

 

Linuxhost:

ssh -v 10.0.0.2

OpenSSH_5.1p1, OpenSSL 0.9.8g 19 Oct 2007

debug1: Reading configuration data /etc/ssh/ssh_config

debug1: Applying options for *

debug1: Connecting to 10.0.0.2 [10.0.0.2] port 22.

debug1: Connection established.

debug1: permanently_set_uid: 0/0

debug1: identity file /root/.ssh/identity type -1

debug1: identity file /root/.ssh/id_rsa type -1

debug1: identity file /root/.ssh/id_dsa type -1

ssh_exchange_identification: Connection closed by remote host

 

Ok mal telnet auf den ssh port testen:

telnet 10.0.0.2 22

Trying 10.0.0.2...

Connected to 10.0.0.2.

Escape character is '^]'.

Connection closed by foreign host.

 

Putty sagt einfach nur: Server unexprectedly closed network connection

 

und das debug auf der ASA zeigt reinweg gar nix an :shock:

Hab schon ewig gegoogelt aber nix hat bisher geholfen

 

mfg und danke

Ich mache sowas regelmässig allerdings mit VMWare als Hypervisor...

Was ich mich frage warum jeder der Nutzer ein eigenes windows bekommen soll?

wäre da nicht eine Terminalserverlösung besser? benötigst weniger Ressourcen etc um den Betrieb aufrecht zu erhalten

So ist unsere komplette Firma virtualisiert mit Thinclients während die Terminalserver 5km weiter im RZ stehen

Das kenn ich von 2k3 Terminalservern

da reicht es wenn man sich mit einem Administratoraccount einloggt und die Session von gestörten account beendet mittels Terminserververwaltung( ABMELDEN nicht trennen )

Danach kann sich der betroffene Acccount wie gewohnt enloggen

 

mfg

hallo,

 

1. Tabelle ausfindig machen wo die links gespeichert sind

2. Update Tabelle SET Linkfeld=new_url where linkfeld=alte_url

 

fertig... funktioniert aber nicht wenn hinter der url der name des bildes direkt angehängt ist...( http://www.weissnicht.de/images/bild1.jpg)

da muss dann ein script her ( z.b. php )

ich denke der rewrite geht schneller und bietet mehr vorteile... :)

Global offene Ports werden von uns strikt verweigert

Wenn offene Ports dann nur zielgerichtet auf Host wie z.B. auf den Webserver , Mailserver etc pp und die nach Möglichkeit in eigenen VLANs stehen so dass ein erfolgreicher Angriffsversuch nur den entsprechenden Server betrifft und der Angreifer nicht das ganze Netz zerstören kann... zumindest solange die Firewalls der Router nicht geknackt werden.

Andere Dienste sind grundsätzlich nur über ein VPN zu erreichen.

Und da wo es möglich ist werden nur feste "Aussen"-IPs für den Aufbau des VPN zugelassen

 

mfg

Hallo,

 

also ich bin gerade dabei zu versuchen das über dynamische Hunt-Groups zu basteln:

 

ephone-hunt 1 sequential

pilot 139

list 20, 40, 30, 10, 31

final 89

preference 1

timeout 10

!

^^ das ist der IST-Zustand auf meiner Testumgebung

wenn ich jetzt versuche:

no list

list 20,*,*,*,*

bekomme ich die Antwort * is not a number

ok meine testumgebung ist jetzt leider nur ein 2811 Router mit Unity Expansion Card mit leicht veraltetem Versionstand...

Also hab ich mich mal ans Updaten gemacht

Das IOS konnte ich ohne Probleme auf die neuste Version Updaten ... aber das Unity weigert sich hartknäckig:

mailbox> software download upgrade url ftp://10.0.0.125/neu/cue-vm-k9.nme.3.2.4.pkg username root password xxxx

 

 

WARNING:: This command will download the necessary software to

WARNING:: complete an upgrade. It is recommended that a backup be done

WARNING:: before installing software.

 

Would you like to continue? [n] y

 

Downloading cue-vm-k9.nme.3.2.4.pkg

Bytes downloaded : 179928

 

Validating package signature ... error

Package signature validation failed for pkg cue-vm-k9.nme.3.2.4.pkg

[15252 refs]

weiss einer woran das liegt?

hab das release direkt von der Cisco Seite wo man hingeführt wird wenn man den Weg über router->2800->2811.... folgt

Und das nächste wäre weiss einer wie das Stichwort bei Cisco heisst wenn ich einen Button im Telefon ( 7940) erstellen möchte ? Der soll dazu dienen sich mit einem Klick in die Hunt-Group ein- bzw auszuloggen ( bei create, configure etc bekomm ich zwar sehr viele hits aber keinen mit nem how-to )

 

mfg und danke

Hallo,

 

also Huntgroup 1 soll wenn alle Plätze belegt sind direkt auf nen AB gehen

das ist kein Problem das hab ich schon hinbekommen :)

 

huntgroup 2 soll die Anrufer in Warteposition mit Ansage und Musik halten und sobald einer aus der Huntgroup auflegt auf den freiwerdenden Platz weiterleiten...

weitere (zumindest für mich) schwierigkeit hierbei ist das die Huntgroup aus 8Nummern besteht alle Nummern (auf ihren Durchwahlen) von aussen erreichbar sein sollen und falls besetzt ist direkt in die warteschleife gebracht werden sollen ohne vorher alle 8 Telefone nacheinander durchzunudeln was ne huntgroup ja standardmässig tut.

Auto-attendant ist wohl der richtige Ansatz

Mit dem was auf der Cisco-HP steht komm ich nicht zurecht und komme da nicht weiter weil es schon am zweiten schritt scheitert:

Cisco Unity Express Voice-Mail and Auto-Attendant CLI Administrator Guide for 3.0 and Later Versions - Configuring Auto Attendants [Cisco Unity Express] - Cisco Systems

Die wav Dateien sind nicht mehr vorhanden warum auch immer... neue über die Anlagen aufzeichnen funktioniert auch nicht, weil die nr auf der die schleife gelegt wurde sofort ein besetzt zurückgibt.

Zumal ich so am Zweifeln bin ob das überhaupt in die richtige Richtung geht ...

 

nen schubs in die richtige Richtung wäre nett :)

Hallo,

 

ich würde die Netzwerkkarte deinstallieren und mit den aktuellsten Treibern vom Herrsteller nochmal neu installieren. (mal am Rande is das eine OnBoard oder eine zugesteckte?)

falls das nicht helfen sollte würde ich folgendes testen:

Da du PC und Notebook hast vermute ich mal das du auch über einen Router oder einen Switch verfügst.

Ich würde als Test mal auf dem Notebook eine Freigabe einrichten dort ein etwas größeres File ( so 100mb) reinpacken und mit dem PC versuchen von dem Notebook zu ziehen.

Da das über das Lan geht sollte das recht flot gehen... wenn das Wirkung zeigt mal an den Werten wie der MTU und sowas herumspielen

Warum soll der Clone denn auf einen physischen Server?

Ich kenne jetzt zwar die dahinterliegende Hardware nicht aber ich denke es wäre einfacher die virtuelle Platte an einen anderen Ort zu mirrorn und dann im Fall der Fälle den Clone wieder mit der VMware hochzufahren. Bei SAN-Infrastrukturen wird das sehr gerne neben der üblichen Bandsicherung eingesetzt

mfg

Hallo,

 

wie es aussieht bin ich den Cisco Geräten ans Herz gewachsen auf jedenfall kommt ein task nach dem anderen in dem Bereich :suspect:

 

Hat jemand Erfahrungen mit dem Einrichten von Huntgroups und Warteschleifen?

Also Konkret geht es um 3 Huntgroups, die jede Ihre eigene Warteschleife bekommen sollen.

Wobei eine Huntgroup nur aus Faxen besteht....

Zur Verfügung hab ich auf dem Router den CallManager Express und die UnityExpress... leider ist das meiste was ich zu dem Thema bei Cisco ausbuddeln konnte von den Vollversionen :shock:

 

Hat das schonmal jemand gemacht?

Wo liegen die Klippen und was gibts zu beachten?

Auf der Cisco-HP hab ich gelesen das man die Auto-Attendant-Scripte anpassen kann. Kann ich denen auch komplett neue Kunststücke beibringen?

Wie zum Bsp. 2Faxe stehen an Standort A 1 an Standort B wo nur eine klassische Telanlage von Siemens hängt. Wenn nach 6mal klingeln Fax 1 u 2 immer noch besetzt sind soll auf Fax3 am Standort B weitergeleitet werden :(

Tut mir leid wenn das Fragen sind wo ich mir die Antworten selber bei Cisco zusammen basteln kann.. muss halt nur bis morgen eine einschätzung über die komplexität abgeben und mir fehlt leider die nötige Erfahrung in dem Bereich

 

mfg und danke

Cisco ist zuverlässig und stabil. Einmal richtig configuriert und die Geräte laufen einfach.

Das einzigste was ich festgestellt hab ist das Cisco nicht in der Lage ist Webinterfaces zu bauen die auch das machen was man erwartet.

Hatte das letzte Woche erst mit einer UC500. Hab zur Abwechslung mal versucht über das Webinterface ein neues Ciscotel einzurichten. Nach 1h hab ich es aufgegeben weil einfach nix gelaufen ist und das ganze auf Konsolenebene gemacht.

Hat 10minuten gedauert bis ich alle verstümmelten Konfigs vom Webinterface gefunden hab und die korrigiert hatte und seit dem läuft das ganze wieder wie geschnitten Brot :)

So hat zwar eine halbe Ewigkeit gedauert aber es funktioniert inzwischen :)

 

ich möchte mich an dieser Stelle noch mal herzlichst bei blackbox bedanken der sehr viel Geduld mit mir hatte

 

mfg

Schonmal daran gedacht deine gesamte Infrastruktur zu zentralisieren so das die Nutzer nur noch Remote arbeiten?

Bsp: mietest einen Schrank in einem RZ bestückst den mit der Hardware die du benötigst.

Die Mitarbeiter verbinden sich von ihren Standorten dann auf die Server im RZ und können arbeiten.

Damit hast du dann eine zentrale Datenhaltung die jedem von jedem Standort zur Verfügung steht.

Wenn dann noch Virtualisierung dazukommt hast du eine Lösung die tragfähig flexibel und vor allem ausbaufähig ist. Die geringe Bandbreit deiner Standorte würde dann lediglich noch bei Druckvorgängen zum Tragen kommen

 

mfg

Also deine Lösung ist leider nicht praktikabel.

Da ein Klone vollkommen identisch zu seinem Ursprung ist wundert es mich das du nicht noch mehr Probleme bekommst, da es zu Netzwerkkonflikten kommt aufgrund gleicher uuid ip-adresse etc.

Ich würde vorschlagen du lässt über deine Klone ein Sysprep laufen. Damit ist gesichert das diese neue uuids etc bekommen. (Hier wird wohl auch der grund liegen warum die domäne die klone verweigert weil diese alle uuids der angeschlossenen Rechner hält und diese EINDEUTIG sein müssen)

Wie du das passende Failover hinbekommst kommt allerding darauf an welche Applikationen darauf laufen.

 

mfg

Outsourcing ist schon ein gutes Stichwort...

Vorzuziehen wäre ein Anbieter der dir alle deine Anforderungen erfüllt, so dass nicht jeder Baustein bei einem extra Hoster liegt. Bei einem erfolgreichen Startup wird irgendwann der kleine Desktop Pc unterm Schreibtisch als Rechenzentrum so oder so nicht mehr reichen (das ist jetzt mal sehr überspitzt ;) ). Datensicherung ist auch ein Faktor, wenn nur ein einzelner Server in einem Büro steht.

Da solltest dir Gedanken drum machen zum Beispiel was passiert wenn die Festplatte kaputt geht. Wo steht dann dein Mirror das die Arbeit weitergeht und nicht ins stocken gerät ? Desaster Recovery... Was passiert wenn das Büro abbrennt?

Das ganze ist halt nicht billig und kommt auf die Risikobereitschaft der Firma drauf an ( und auf das Budget weil eine redundante ausfallsichere Infrstruktur ist nicht das billigste )

 

mfg

Das das mal so mal so aussieht liegt daran das der Teil nachträglich von besagter Firma implementiert wurde...

Habs jetzt mal getestet und es funktioniert leider immer noch nicht :(

mfg

Ok entschuldigt die etwas schlampige Beschreibung

 

also ist-Zustand: 1 DC Server 1 Exchange Server (läuft auf einem anderen Host nicht auf dem DC)

 

Der zweite DC wird ebenfalls ein W2k3 Sp1 werden damit ich da keine neue Baustelle aufmache und soll ein extra Host werden so das ich am ende 3Hosts habe. 2 Mit DC's und 1 mit Exchange

 

thx :)

Hallo,

 

bin gerade dabei unser Netzwerk ausfallsicherer zumachen und mehr Redundanz einzubauen.

Hierzu muss ich natürlich auch einen zweiten Domänencontroller aufsetzen.

Vom Prinzip her keine Problem... ausser das ich einen Exchange Server betreibe der Domänencontroller Nr.1 wie es in der Natur der Sache liegt stark erweitert hat.

Der zweite Domänencontroller lässt sich dadurch leider nicht einbinden weil ihm die Schemaerweiterungen fehlen und verlangt das ich auf dem Hauptcontroller ein DCPROMO ausführe.

Frage: Hat das schonmal einer gemacht und hat Erfahrungen damit?

 

Hab die leichte Befürchtung das der DCPROMO auf dem Main-Domänencontroller mir meine Exchangeanbindung kaputt macht

Ich bin gerade schon dabei ein Paralellnetzwerk aufzubauen um das vorher in eriner Laborumgebung testen zu können würde mir aber sehr viel mühe und Zeit ersparen wenn ich das nicht 100mal machen müsste um auszutesten wie das funktioniert ;D

 

mfg und danke

hallo,

 

habe jetzt den ganzen Tag damit verbracht das Forum zu durchstöbern und alle möglichen Vorschläge durchprobiert aber nix hat geholfen :cry:

 

ok zu meinem Problem:

ich hab eine ASA5500 (ASA Version 8.0(3))

Die ASA hat nach aussen mehrere IP's

Nun habe ich mehrere Domains die alle ihren eigenen mail-server besitzen.

So weit so gut... Nun hab ich eine Firma beauftragt gehabt mir den Router fachgerecht einzurichten damit ich nicht daran herumstümpern muss :suspect:

Seit einigen Wochen kommt es jedoch vermehrt dazu das ich beim Mail verschicken folgende Fehlermeldung erhalte:

550 Client host rejected: cannot find your hostname

Die tolle Firma die mir den eingerichtet hat erklärt mir nur das ich den Empfängern meiner Mail sagen soll das die die Spam-Einstellungen ihrer Mail-Server lockern sollen damit meine Mails ankommen :mad:

 

access-list OUTSIDE extended permit tcp host xxx.xxx.xxx.254 host xxx.xxx.xxx.83 eq telnet

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.78 eq www

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.78 eq imap4

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.80 object-group group1-web

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.86 object-group group1-mailscanner

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.87 object-group group1-mail

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.90 object-group group2-mailscanner

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.89 object-group group2-mail

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.91 eq ftp

access-list OUTSIDE extended permit tcp host xxx.xxx.xx.186 host xxx.xxx.xxx.91 eq 23560

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.79 object-group wiki

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.72 eq www

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.77 eq smtp

access-list OUTSIDE extended permit tcp any host xxx.xxx.xxx.78 eq smtp

static (inside101,outside) tcp xxx.xxx.xxx.78 www 10.10.1.51 www netmask 255.255.255.255

static (inside101,outside) tcp xxx.xxx.xxx.78 imap4 10.10.1.51 imap4 netmask 255.255.255.255

static (inside102,outside) tcp xxx.xxx.xxx.80 www 10.10.2.60 www netmask 255.255.255.255

static (inside105,outside) tcp xxx.xxx.xxx.91 ftp 10.10.5.35 ftp netmask 255.255.255.255

static (inside105,outside) tcp xxx.xxx.xxx.91 23560 10.10.5.35 23560 netmask 255.255.255.255

static (inside101,outside) tcp xxx.xxx.xxx.77 smtp 10.10.1.50 smtp netmask 255.255.255.255

static (inside101,outside) tcp xxx.xxx.xxx.78 smtp 10.10.1.51 smtp netmask 255.255.255.255

static (inside102,outside) xxx.xxx.xxx.86 10.10.2.51 netmask 255.255.255.255

static (inside102,outside) xxx.xxx.xxx.87 10.10.2.50 netmask 255.255.255.255

static (inside103,outside) xxx.xxx.xxx.89 192.168.51.250 netmask 255.255.255.255

static (inside103,outside) xxx.xxx.xxx.90 192.168.51.249 netmask 255.255.255.255

static (inside106,outside) xxx.xxx.xxx.79 10.10.6.10 netmask 255.255.255.255

route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.65 1

 

Hauptproblem ist die ip xxx.xxx.xxx.78

wenn ich von diesem Mail-Server eine Mail verschicke dann wird diese nicht von IP 78 sondern 84 geschickt aus welchen Gründen auch immer. Dadurch fällt natürlich das Reverse-Lockup ins Wasser und die Mail wird von vielen Mailservern abgewiesen :(

Bei group1 funktionert das ganze einwandfrei...

Wobei der einzigste unterschied ist das der über object-groups und port-objecten gesteuert wird und mein problemfall alles einzeln aufführt

 

Wollte jetzt wissen ob es daran liegen kann oder ob jemand noch nen anderen Fehler findet.

 

mfg und danke :)