ShineDaStar

Da sind die "Nerds" wohl verschieden, der eine will privat nichts damit zu tun haben, der andere würde am liebsten im Netzwerkschrank schlafen ;-) Ich versuche gerade zB., ob es nicht möglich ist, VRF als Virtuellen Router zu nutzen, auch wenn man nichts mit VPN macht, da bin ich recht dankbar, die entsprechenden Geräte zu haben, aber ich habe auch in der Arbeit eigendlich garnichts, noch jedenfalls, damit zu tun ;-) Ich bin aber froh das Forum hier gefunden zu haben, denn das cisco router forum hat mir bis jetzt noch garnichts gebracht, wärend dieses hier schon sehr meinen Horizont erweitert hat ;-)

stimmt genau... und mag ich verwechselt haben ;-) Gegen ein Chassis spricht vllt. auch etwas der Strom... aber bevorzugen würde ich es. Ich habe ja einen 3600 router als consolen Server laufen... die von cyclates und sowas ( weiss nich ob man die dafür verwenden kann ) würden mir zum Beispiel noch mehr zusagen, aber derren Preis ist... irgendwie für Privat.---- Indiskutabel ;-) Aber Nette Technik Affinitäten habt ihr zu Hause stehen ;-)

Naja, das sind glückliche Fügungen, sowas dann sein eigen nennen zu können ;-) und ich bin sehr zufrieden ;-) Ja gut, das mit dem Firewallmodul das habe ich mir auch schon überlegt, aber dafür bräuchte ich nen 6500 er chassis, linecards und die FW karte, was dann zusammen doch irgendwie weitaus mehr kostet, war aber in erster Linie mein erster Gedanke.... Aber ein Router aus der 2900 er reihe wäre mal die erste prio, zwecks flexibilität usw... Muss ich mal schauen. Aber das Managementmodul aus Deinem Rack, das hätt ich auch gerne ;-)

naja, einen wesentlichen Config Schritt kann ich mit der 5505 nicht ( abgesehen davon dass ich die zukünftig als router/VPN Aussenstelle bei meinem Bruder hinstellen will ): Sie kann die Regeln nicht Portbasiert anwenden, die Regeln gelten immer für das System und für die Vlans, nicht für die interface, die bekommt die funktionalität nur, wenn dem Interface ein vlan zugeordnet ist. Und sie kann kein port trunking, also nich die cisco definition, sondern dass 2 physikalische links ein virtuelles geben, so dass sie den link balance ausführen können... Ich würde die mir auch nur kaufen, wenn ich günstig rankomme...

cool, sowas suche ich auch noch, ich mache das gerade mit ner Gebäudeleittechnik die ich auch auf arbeit verwende... gerner würde ich das mit sowas machen... was hast denn so dazu bekommen? Bei mir kommt sehr wars***einlich noch eine ASA5510 oder 5520 und ein Router aus der 2900 ISR G2 reihe, ich weiss nur noch nicht welcher, da die nach und nach erst verfügbar werden... Wie ist das btw. eigendlich mit einem SmartNET Vetrag? Gilt der dann nur für ein Gerät und nur für dieses die Software oder wonach richtet sich das? Ich steige da irgendwie nicht so ganz durch...

Was ist denn hier das unterste Gerät, das graue, im Rack, wenn ich Fragen darf? Ich musste meine HP Systeme auch aus machen, weil ich hier proteste zwecks der hohen Energierechnung bekommen habe ;-) Wohl dem, der das in der Firma stehen lassen kann.

Dachte mir schon ähnliches, gemessen an meinem chassis ( 1RU entspricht ca.2,5 cm ), das hat gute 48 RU und das is schon groß, dann passen 4 je schrank rein ( die Dinger stehen bei unserem Systemhaus auch rum, glaub ich ), dann sind das wie Du sagtest 48 racks und gemessen daran, dass ein Switch Chassis dieser Baureihe gute 5K teuros kostet, gehe ich mal fest davon aus, dass das keiner zum Spass stehen hat und Stimme Dir zu, dass der Post am Thema vorbei ging ;-)

ist das Dein Heimlab oder hast Du das auf der Arbeit? Ich habe nun aktuell: 1x C881 1x C892 2x 1200 AP´s 2x selbes nur mit externen Antennen 1x C3750 1x C3750G im Stack mit oben erwöhnten 1x C2600 Switch 24 Port 1x WLC2106 Wlan Controler 1x ASA5505 1x 3741 Router als Access Server Und halt das Zubehör... jetzt wo ich das Aufschreibe is das schon ganz schön übertrieben für zu Hause ;-) Aber Hobby ist Hobby ;-)

Nun sollte die Config folgendes können: - Interface FastEthernet 8 ( ein WAN Interface ) soll als reines admin Zugang verwendet werden, so dass man es hinter der asa ins interne netz stecken kann, ohne sicherheitsbedenken - IPTV priorisieren - hier hängt öfters mal der stream, bzw. ton geht weiter, Bild freezed und es gibt starke artefaktbildung, Grobpixelung, dann geht es erst weiter. - Standard Firewall Inspection durchführen - VoIP Priorisieren - vom Gigabitethernet 0 sollte man das Modem erreichen können, das liegt im konfigurierten subnet, ich kann aber leider nicht drauf zugreifen, das sollte aber gehen - Über BRI sollte man sich via einer Telefonnummer zur Fernkonfig verbinden können Danke schonmal für eure hilfe. Ich versuche mir die Cisco Technik selbst beizubringen und wollte mir mal Rat von den experten und tipps zur Lösung selbiger einholen. Danke schonmal im Voraus.:)

logging history size 300 access-list 110 remark Management-Vlan access-list 110 permit ip 192.168.2.0 0.0.0.255 any access-list 120 remark Interlan.private.interconnect access-list 120 permit ip 192.168.8.0 0.0.0.255 any access-list 124 permit ip 192.168.10.0 0.0.0.255 any access-list 124 remark IPTV.Multicast.Access access-list 125 permit ip 192.168.10.0 0.0.0.255 any access-list 125 remark IPTV.Dialer1.Access access-list 126 remark VoIP-Network access-list 126 permit ip 192.168.11.0 0.0.0.255 any access-list 127 remark perimeter-net access-list 127 permit ip 192.168.12.0 0.0.0.255 any access-list 185 deny ip any any dscp 1 access-list 185 permit ip any any dialer-list 1 protocol ip permit priority-list 1 protocol ip high list 126 priority-list 1 queue-limit 4096 2048 1024 512 priority-list 2 interface Vlan100 medium priority-list 2 protocol ip high list 124 priority-list 2 protocol ip high list 125 priority-list 2 queue-limit 4096 2048 1024 512 priority-list 3 protocol ip high udp domain priority-list 3 queue-limit 4096 2048 1024 512 priority-list 4 interface Vlan100 medium priority-list 4 queue-limit 4096 2048 1024 512 priority-list 5 protocol ip medium tcp 441 priority-list 5 protocol ip medium tcp www priority-list 5 protocol ip medium tcp 143 priority-list 5 protocol ip medium tcp 993 priority-list 5 protocol ip medium tcp smtp priority-list 5 protocol ip medium tcp 465 priority-list 5 protocol ip medium tcp pop3 priority-list 5 protocol ip medium tcp 995 priority-list 5 protocol ip high tcp 37 priority-list 5 protocol ip high tcp 443 priority-list 5 protocol ip high udp 443 priority-list 5 queue-limit 4096 2048 1024 512 priority-list 6 protocol ip normal priority-list 6 queue-limit 4096 2048 1024 512 snmp-server community sicherheitRW snmp-server community viewlineRO snmp-server community location RO Rack_UG_Slot1 snmp-server community contact RO meine@me.com snmp-server trap-source Vlan1 snmp-server source-interface informs Vlan1 snmp-server location Serverraum U1 snmp-server contact meine@me.com snmp-server chassis-id Router snmp-server enable traps syslog snmp-server host 192.168.0.5 MeViewNet snmp-server host 192.168.0.5 MeAdminNet mac-address-table aging-time 3600 no cdp run ! ! ! ! route-map check->NAT->IPTV permit 10 match ip address 124 match interface GigabitEthernet0.8 ! route-map check->NAT permit 15 match ip address 126 match interface Dialer1 ! route-map check->NAT permit 20 match ip address 120 match interface Dialer1 ! route-map check->NAT permit 25 match ip address 127 match interface Dialer1 ! route-map check->NAT->IIPTV permit 10 match ip address 125 match interface Dialer1 ! ! ! control-plane host management-interface BRI0 allow ssh management-interface FastEthernet8 allow ftp http https ssh tftp snmp beep telnet tl1 management-interface Vlan1 allow ssh snmp management-interface Vlan100 allow ssh snmp ! ! control-plane ! banner exec ^CCC ADMINISTRATION ONLY!!!! All abuse will be logged and procecuded! No trasspassing beyond this point for unauthorized personal! ^C banner login ^C ___,------, ^C banner motd ^C Admin Conta^C ! line con 0 transport output telnet line aux 0 transport output telnet line vty 0 4 password 7 meinpw transport input ssh ! scheduler max-task-time 5000 scheduler allocate 4000 1000 scheduler interval 500 ntp update-calendar ntp server 195.145.119.188 prefer source Dialer1 ntp server 192.53.103.104 maxpoll 16 minpoll 8 prefer source Dialer1 burst iburst ntp server 192.53.103.108 source Dialer1 end

interface Vlan1 description Internal Management Host allocation ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly timeout absolute 1440 0 fair-queue ! interface Vlan2 description IPTV virtual access ip address 192.168.10.1 255.255.255.0 ip pim sparse-mode ip nat inside ip virtual-reassembly ip igmp helper-address 79.249.159.254 ip igmp version 3 ip igmp explicit-tracking ip igmp query-interval 15 ip igmp proxy-service ! interface Vlan3 description PBX VoIP System Interconnect bandwidth 2000 ip address 192.168.11.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Vlan4 description Perimeter Network ip address 192.168.12.1 255.255.255.0 ip nat inside ip virtual-reassembly delay 10 ! interface Vlan100 description Hostlink to ASA Secured Net ip address 192.168.8.1 255.255.255.0 ip nat inside ip virtual-reassembly delay 2 ! interface Dialer1 description Dialer for Dialin VDSL$FW_OUTSIDE$ ip address negotiated ip access-group PUBLIC-VDSL in ip access-group 185 out ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer idle-timeout 0 dialer persistent keepalive 1 no cdp enable ppp authentication pap callin ppp pap sent-username MeineKennung#0001@t-online.de password 7 MeinPw service-policy input mark-forbitten-tasks ! ip forward-protocol nd ip route profile ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 87.140.255.0 255.255.255.128 MeineIP ip route 87.141.128.0 255.255.128.0 MeineIP ip route 193.158.34.0 255.255.254.0 MeineIP ip route 194.25.134.197 255.255.255.255 MeineIP ip route 194.25.237.4 255.255.255.255 MeineIP ip route 217.6.164.40 255.255.255.254 MeineIP ip route 217.6.164.42 255.255.255.255 MeineIP ip route 217.6.164.45 255.255.255.255 MeineIP ip route 217.6.164.46 255.255.255.254 MeineIP ip route 217.6.164.48 255.255.255.248 MeineIP ip route 217.6.167.128 255.255.255.192 MeineIP no ip http server ip http authentication local no ip http secure-server ! ! ip dns view default logging domain timeout 1 domain retry 1 dns forwarder 8.8.8.8 dns forwarder 208.67.220.220 dns forwarder 192.58.128.30 dns forwarder 193.0.14.129 dns forwarder 199.7.83.42 dns forwarder 192.33.4.12 ip dns server ip pim rp-address 79.249.159.254 ip nat translation tcp-timeout 3600 ip nat translation udp-timeout 3600 ip nat inside source route-map check->NAT interface Dialer1 overload ip nat inside source route-map check->NAT->IIPTV interface Dialer1 overload ip nat inside source route-map check->NAT->IPTV interface GigabitEthernet0.8 overload ! ip access-list standard Administrationsteam@deluxemails.com ip access-list standard Rack_UG_Slot1 ! ip access-list extended IPTV permit tcp any any established permit udp any eq bootps any eq bootpc permit udp any any gt 1024 permit udp host 193.158.35.31 any permit ip any 224.0.0.0 15.255.255.255 permit pim host 79.249.159.254 any permit igmp host 79.249.159.254 any permit icmp host 79.249.159.254 any deny ip any any log-input remark grand access list IPTV Network ip access-list extended PUBLIC-VDSL permit udp any eq domain any permit udp any any eq 5060 permit udp any any gt 1024 permit tcp any any eq 1723 permit udp any any eq 1701 permit udp any any eq non500-isakmp permit udp any any eq isakmp permit tcp any any eq 3483 permit tcp any any eq 9000 permit icmp any any echo-reply permit tcp any any established remark Access list for internet access permit udp host 192.53.103.104 eq ntp any permit udp host 192.53.103.108 eq ntp any permit udp host 195.145.119.188 eq ntp any deny ip any any log-input ! kron occurrence Reset-PPPoE at 5:00 recurring policy-list Reset-PPPoE ! kron policy-list Reset-PPPoE cli clear interface Dialer 1 !

ip cef ip domain retry 1 ip domain timeout 1 ip domain name routernet.local ip multicast-routing ip multicast cache-headers ip inspect log drop-pkt ip inspect L2-transparent dhcp-passthrough ip inspect max-incomplete high 4000 ip inspect max-incomplete low 2000 ip inspect one-minute high 40000 ip inspect one-minute low 40000 ip inspect udp idle-time 86400 ip inspect hashtable-size 4096 ip inspect dns-timeout 2 ip inspect tcp finwait-time 30 ip inspect tcp block-non-session ip inspect tcp reassembly timeout 120 ip dhcp-client forcerenew no ipv6 cef ! ! multilink bundle-name authenticated isdn switch-type basic-net3 ! ! username Tobias privilege 15 password 7 secure boot-config ! ! ! archive log config hidekeys ! ! ip tcp synwait-time 10 ip ssh port 2367 rotary 1 ip ssh version 2 ! class-map match-any Forbitten-Tasks match protocol kazaa2 match protocol bittorrent match protocol edonkey match protocol gnutella ! ! policy-map mark-forbitten-tasks class Forbitten-Tasks set ip dscp 1 ! ! ! ! interface BRI0 description ISDN Management and Backup interface no ip address encapsulation ppp shutdown isdn switch-type basic-net3 isdn termination multidrop isdn point-to-point-setup ! interface FastEthernet0 description MediaReceiver_1 switchport access vlan 2 spanning-tree portfast ! interface FastEthernet1 description MediaReceiver_2 switchport access vlan 2 spanning-tree portfast ! interface FastEthernet2 description empty shutdown ! interface FastEthernet3 description empty shutdown ! interface FastEthernet4 description Uplink to ASA for internal switchport access vlan 100 switchport protected ! interface FastEthernet5 description uplink to Perimeter Switch switchport access vlan 4 switchport protected ! interface FastEthernet6 description Uplink to UC520 PBX System switchport access vlan 3 switchport protected spanning-tree portfast ! interface FastEthernet7 description empty shutdown ! interface FastEthernet8 description Management Interface ip address 192.90.60.90 255.255.255.0 shutdown duplex auto speed auto ! interface GigabitEthernet0 description Host of Vif and Admin Connection to CPE ip address dhcp ip nat outside ip nat enable ip virtual-reassembly duplex auto speed auto ! interface GigabitEthernet0.7 description BoundIFace4Dialer1 encapsulation dot1Q 7 pppoe enable group 1 pppoe-client dial-pool-number 1 no cdp enable ! interface GigabitEthernet0.8 description IPTV-Network T-Home interconnect encapsulation dot1Q 8 ip address dhcp ip access-group IPTV in ip information-reply ip directed-broadcast ip pim sparse-mode ip nat outside ip virtual-reassembly ip igmp version 3 ip igmp mroute-proxy Vlan2 keepalive 1 no cdp enable !

Hallo liebe Forengemeinde, ich habe nun einige Zeit damit zugebracht, meinen router ( cisco 892 ) etwas zu konfigurieren... Nun würde ich gerne Wissen, ob man die konfig in anbetracht von Sicherheit und Funktionalität auch so bedenkenlos verwenden kann, bzw. was verbessern könnte. Erstmal die konfig: Building configuration... % String too long to write to nvram (2147): Current configuration : 14757 bytes ! ! Last configuration change at 19:46:35 CET Sun Jan 10 2010 by Tobias ! NVRAM config last updated at 23:54:58 CET Sat Jan 9 2010 by Tobias ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service linenumber service sequence-numbers ! hostname router ! boot-start-marker boot-end-marker ! security passwords min-length 6 logging count logging message-counter syslog logging userinfo logging buffered 102400 logging console critical enable secret 5 . enable password 7 ! aaa new-model ! ! aaa authentication login default local aaa authorization exec default local ! ! aaa session-id common clock timezone CET 1 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 clock calendar-valid cef table consistency-check IPv4 auto-repair delay 15 cef table rate-monitor-period 10 ! crypto pki trustpoint TP-self-signed-3284086038 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate- revocation-check none rsakeypair TP-self-signed- ! ! crypto pki certificate chain TP-self-signed-3284086038 certificate self-signed 01 3 quit ip source-route ip arp gratuitous local ip arp incomplete retry 10 ip arp incomplete entries 2048 ip icmp rate-limit unreachable 10 ip icmp rate-limit unreachable DF 1 ! ! ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.2.29 192.168.2.254 ip dhcp excluded-address 192.168.10.1 ip dhcp excluded-address 192.168.10.5 192.168.10.254 ip dhcp excluded-address 192.168.11.1 ip dhcp excluded-address 192.168.11.10 192.168.11.254 ip dhcp excluded-address 192.168.12.1 ip dhcp excluded-address 192.168.12.2 ip dhcp excluded-address 192.168.12.3 192.168.12.9 ip dhcp excluded-address 192.168.12.36 192.168.12.254 ip dhcp excluded-address 192.168.8.1 ! ip dhcp pool ASA host 192.168.8.2 255.255.255.0 client-identifier 0100.23eb.abbe.91 client-name TKGNASA01LTB01 domain-name painlan.local dns-server 192.168.8.1 default-router 192.168.8.1 lease infinite ! ip dhcp pool UC520 host 192.168.11.2 255.255.255.0 client-identifier 0100.270d.5d84.a0 default-router 192.168.2.1 dns-server 192.168.2.1 domain-name painlan.local client-name TKGNVPU01LTB01 lease infinite ! ip dhcp pool IPTV-Clients import all network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 192.168.10.1 lease 7 ! ip dhcp pool VoIP_Network import all network 192.168.11.0 255.255.255.0 dns-server 192.168.11.1 default-router 192.168.11.1 lease 7 ! ip dhcp pool Perimeter_Zone import all network 192.168.12.0 255.255.255.0 default-router 192.168.12.1 dns-server 192.168.12.1 lease 5 ! ip dhcp pool Lan2WAN.Interconnect import all network 192.168.8.0 255.255.255.0 default-router 192.168.8.1 dns-server 192.168.8.1 ! !

Ja, das soll schon vom internen lan ausgehen, bzw. später über den Terminal Server, der auch ein router ist, nur um das mal über ein paar hops zu probieren. Ebenso möchte ich, dass das Management über ein eigenes Interface zu erreichen ist, unabhängig vom internen Netz. So dass das Management ein eigenes Subnetz höchster sicherheit später ist. das interne netz geht über die asa auf ein eigenes vlan am router, wo es eigendlich nur ins internet soll... greetz

Hallo liebe Forengemeinde, ich habe da mal eine Frage: Ich habe einen Cisco 892 Router. Dieser hat ein 8 Port switch, 1 100MBit WAN und 1 GB Wan Interface. Nun habe ich meinen Internetanschluss über den Gigabit Port laufen. Dem 100 MBit Wan Port habe ich eine IP Addresse gegeben. Dann habe ich: ! control-plane host management-interface fastethernet 8 allow snmp https ssh ! eingegeben. Nun meine Frage: Ist dies dann meine korrekt konfigurierte Management Interface, die ich komplett so wie sie ist ans Interne Lan hinter der ASA anschließen kann, ohne dass hier ein Sicherheitsloch entsteht und/oder man die ASA einfach umgehen kann? Wenn ja: Was muss ich tun, dass dieses szenario funktioniert? Danke schonmal für eure hilfe Grüsse

Auf das Angebot komme ich gerne zurück. Ich hätte da noch kleinere Fragen zu den Grundsätzlichen Funktionen usw., zwar ist der Windows Server schon relativ "Bedienerfreundlich", aber DNS ist meiner Ansicht nach nicht unbedingt etwas, dessen konfiguration man erraten sollte. Mich würde interessieren, wie ich den Server dazu bekomme, dass er dynamisch die Geräte, welche sich melden, mit der entsprechenden IP assoziiert, so dass ich nacher einfach den Gerätenamen eingebe, der server weiss dass das Gerät im Netz ist, den domainnamen um homenet.cool vervollständigt und man dann Zugriff auf das Device bekommt. Ebenso würde mich interessieren, was es mit den Forward, Reverse und Stub Zonen auf sich hat. Ich habe jetzt mal eine Endung Inc als TLD im Forward eingetragen, darin ein sub mit homenet und darin dann A Hosts configuriert, mit entsprechenden Reverse einträgen. Scheinbar funktioniert es, sofern die Geräte im selben subnetz sind. Sind sie es nicht, geht es nicht. Also habe ich noch eine reverse Zone angelegt, aber auch da geht es nicht. Ist es dann so, dass zu jeder reverse zone, welche ein anderes sub verwendet ( also bspw. 10.10.10.0 und 10.10.11.0 ) auch ein entsprechendes forward zonen Bereich geben muss? Ich weiss, das hört sich confus an, ich versuche mir im sozusagen selbststudium die Kenntnisse über den Windows Server anzueignen, bin also relativ neu, was dieses Segment anbelangt, darum die komischen Fragen.

ausgezeichnet, danke, das funktioniert einwandfrei. Ich wusste nicht, dass das im Endeffekt relativ einfach ist, sofern es sich nur um mein kleines Heimnetz handelt.

ja das Auflösen von Namen aus dem Internet funktioniert tadellos. Der Server steht nicht in einer Domäne sondern ist einer Arbeitsgruppe zugeteilt. Nun weiss ich jetzt nicht wie man a) Dynamische Updates einträgt b) die Geräte via Ihrem Hostnamen.heimnetz.cool aufrufbar sind c) was ich hierfür in den Zonen eintragen muss. Also was geht ist, dass er die Namen aus dem Netz auflöst, er ist auch WINS Server und DHCP Server, was hervorragend funktioniert. Nur die lokale "erfundene" TLD is nich anwendbar, zumindest weiss ich nicht wie, und die Namen der Geräte im Netz ist auch noch immer Ihre IP Adresse, bis auf den Namen des Servers, den bekommt er natürlich aufgelöst.

Genau das wollte ich, abgesehen von dem lookup aus dem internet. Also genauso wie Du es beschrieben hast, nur halt nicht vom internet heraus erreichbar sein. Wie mache ich das denn?

Hallo liebe Forengemeinde und Prosit Neujahr! Ich habe da mal eine Frage, die ich leider nicht ganz gegoogelt bekomme. Gerade nutze ich den Windows Server 2008 R2 ( Trial Mode ), da ich etwas probieren wollte. Einen eigenen DNS Server zu Hause. Wenn ich meine Webaddresse nehmen wollen würde, müsste ich ja meine dynamischen IP Updates an bspw. dyndns liefern und meinem Provider der Webpage die Weiterleitung dahin eintragen, zumindest für die Sub Domains. Dann muss ich auf meinem heimischen DNS zonen Weiterleitungen machen. Habe ich das so richtig verstanden? Wenn ja, ist es genau das, was ich nicht will ;-) Da ich eigendlich eine fiktive Domain zu Hause haben will, bspw. heimnetz.cool. Dann sollen alle Switche, Rechner, etc. In meinem Privaten Netz unter devicename.heimnetz.cool von den internen clients erreichbar sein. Die Hauptdomain sollte dann die homepage auf dem windows server sein, als http://heimnetz.cool. Dann sollte der DNS alles, was er nicht kennt, bei den DNS Servern im Internet fragen. Hierfür habe ich Weiterleitungen eingerichtet, also nicht die welche man unterhalb der serverrolle bei den zonen einrichten kann, bedingte Weiterleitungen wenn ich hier richtig liege, sondern direkt auf die Rolle, rechte Maustaste und da dann drin. Nun würde mich interessieren: Wie bekomme ich das denn hin, dass der Server das macht? Danke schonmal im Voraus für eure hilfe Grü?e

Entschuldige die etwas wirre Beschreibung, aber genau so verwirrt bin ich auch ;-) Aber mal im Ernst, was ich im Detail vor habe: In meinem Internen LAN steht ein Windows Homeserver. Der soll eigendlich - sofern das geht - das DHCP, TFTP, DNS, Radius für das Ganze Netzwerk machen. Dann will ich weg von WPA und das via Webanmeldung/Radius machen, sowie die IP nur an bekannte Clients vergeben. Mein 890 Router routet das Internet in die Perimeter Zone, von da geht es einmal auf meine UC520, einmal an meine MediaReceiver, und dann auf meine ASA. Von da geht es ins interne LAN, in das WLan und vllt. noch ins admin Netz ( mit zus. Router ). Und gestern funktionierte erst das dhcp, ich habe nichts geändert, und alle clients ( 2 laptops, handys... ) verloren auf einmal die Verbindung. Und wenn ich nun ne statische Addresse vergebe, dann funktioniert es, via dhcp nicht. Auf meine ASA ist DHCP aktiv, auf dem WLan Controller auch, beide funktionieren nicht, wenn ich abwechselnd einen aus mache, auch dann funktioniert es nicht. Das Ganze kommt mir sehr komisch vor, nahezu unlösbar, zumindest komme ich nicht all zu weit.

Nun ist es wirklich strange, auf einmal geht kein wlan mehr, weil man keine dhcp zugewiesene addresse mehr bekommt. Weder die ASA, noch der WLC dhcp server hat lust die IP Addressen zu konfigurieren... Ich verstehe einfach nicht, was da falsch läuft, dass das nicht funktionieren mag... Ich habe an port 2 des WLC die ASA angeschlossen, der port, der für das Internet da ist. Mit statischer IP Funktioniert das einwandfrei, aber weder die ASA, noch WLC, wie gesagt, verteilen IP Addressen und ich weiss nicht warum. Hat mir einer nen Rat? Ich wäre sehr dankbar, denn so langsam drehe ich an selbigem ;-)

was kann ich denn an meiner Firewallconfig noch ändern, was grob unsicher ist, bzw. für QoS und Sicherheit?

jetzt bin ich verwirrt, wenn ich den internen dhcp des controllers nehme, funktioniert es, allerdings grad nur mit wpa2, weil das mit dem radius und so einfach nich in mein gelingen geraten will... Und ich weiss nicht was ich groß anders gemacht habe, als im controller den controller als dhcp server anzugeben... das is doch zu krass... Naja... jetzt muss ich heraus finden, welcher AAA Server es für umme gibt, bzw. wie man im WHS den IAS so einstellt, dass man den für freigaben im WLan und zur konfiguration auf den consolen nutzen kann... Das is das, was mich an der ASA wundert... man schaut sich mehrmals die config auf der console durch und auf einmal geht es, niemand weiss wieso und warum... ;-)

Das ist es ja und genau das bringt mich zum Zweifeln. Ich habe ein management LAN, ap-manager lan, beides untagged und in diesem Netz ist der controller, die ASA, die AP´s. Dann habe ich dem wlan ein vlan gegeben, auf der asa den access port konfiguriert, aber: Die clients bekommen keine IP. Verwende ich den DHCP Server des controllers, bekommen die Clients ne IP, können aber nicht ins Internet. Die Dienste aus dem Netz wären nur eigendlich Drucker, sonst kann es so bleiben, vllt. noch den Homeserver erreichbar machen, muss aber nicht. Das Prinzipielle ins Netz kommen geht nicht und da habe ich mich an die Config Guides gehalten, dennoch kann ich nicht ins internet. Die ASA erlaubt ja per default, dass alles, was eine sicherheitsstufe unter der eigenen interface hat, connectierbar ist, das geht aber nicht. Kein Ping vom Controller auf die ASA oder den Router, kein nichts... das ist ja genau das, was mich so zweifeln lässt...