osirus01

Hallo zusammen,

 

habe ein Problem mit den SYSLOG Messages auf dem Passport 1624 und 1612.

Habe über den Device-Manager gesagt das er die SYSLOG Messages an meinen SYSLOG Server schicken soll. Nur leider kommt da nix an. Mit allen anderen Geräten geht das. Bay470 Cisco Router und PIXen.

Der SYSLOG Server ist der SYSLOG-NG. Habe hier Filter gebaut die nach IP-Adressen filtern und in verschiedene LOGFiles schreiben.

Nun hab ich die Vermutung das der Passport mit einer anderen IP die sendet. Kann das sein? Wir haben VRRP auf beiden Switches am laufen. Kann es nun sein das der mit der Master Adresse seines VRRP Interfaces sendet??

 

Danke und Gruß

 

Osirus

Am liebsten CLI. Access-listen auf der PiX ab ner bestimmten größe dann doch lieber mit dem PDM. :)

Super, danke Dir. Den hab ich auch gefunden. War mir nur nicht sicher ob der das abdeckt.

 

Danke und Gruß

 

Osirus

Hallo zusammen,

 

weis jemand einen Lehrgang in dem die Grundlagen des Passport 1600 vermittelt bekommt?

Konfig VLAN, Routing zwischen VLANs, VRRP etc.

Hallo, habe leider keinen CCO Account. Gibt es keine andere Möglichkeit das Ding richtig zum laufen zu bringen?

Cisco Internetwork Operating System Software

IOS C800 Software (C800-Y6-MW), Version 12.2(8)T10, RELEASE SOFTWARE (fc1)

TAC Support: http://www.cisco.com/tac

Copyright © 1986-2003 by cisco Systems, Inc.

Compiled Fri 30-May-03 01:28 by kellythw

Image text-base: 0x000F5000, data-base: 0x0077F000

 

ROM: TinyROM version 1.4(1)

arcor uptime is 21 hours, 59 minutes

System returned to ROM by power-on

System image file is "flash:c800-y6-mw.122-8.T10.bin"

 

Cisco C801 (MPC850) processor (revision 1) with 48252K bytes of virtual memory.

Processor board ID FOC07410YPV (1861230185)

CPU part number 0x2101

Bridging software.

Basic Rate ISDN software, Version 1.1.

1 Ethernet/IEEE 802.3 interface(s)

1 ISDN Basic Rate interface(s)

8M bytes of physical memory (DRAM)

8K bytes of non-volatile configuration memory

8M bytes of flash on board (4M from flash card)

 

Configuration register is 0x2102

access-list 1 remark ****** NAT-LIST ******

access-list 1 permit 10.2.0.0 0.0.0.255

access-list 1 permit 192.168.xxx.xxx 0.0.0.255

access-list 1 permit 188.11.xxx.xxx 0.0.0.255

access-list 99 permit 188.11.xxx.xxx

access-list 99 permit 172.16.xxx.xxx

access-list 99 remark ***** TELNET-ACCESS *****

access-list 99 permit 10.2.xxx.xxx 0.0.0.255

access-list 111 remark ******************************************

access-list 111 remark * *

access-list 111 remark * ACCESS UPS, FTP-TRANSFER FUER xxxxxxxx *

access-list 111 remark * *

access-list 111 remark ******************************************

access-list 111 remark

access-list 111 remark *********** TELNET-ACCESS 23 ***************

access-list 111 permit tcp host 188.11.xxx.xxx host 192.168.xxx.xxx eq telnet

access-list 111 permit tcp host 172.16.xxx.xxx host 192.168.xxx.xxx eq telnet

access-list 111 remark *********** ICMP-ECHO 8 ***************

access-list 111 permit icmp host 188.11.xxx.xxx host 145.253.2.11 echo

access-list 111 remark *********** DNS-REQUEST 53 ***************

access-list 111 permit udp host 188.11.xxx.xxx gt 1023 any eq domain

access-list 111 permit udp host 188.11.xxx.xxx gt 1023 any eq domain

access-list 111 permit udp host 188.11.xxx.xxx gt 1023 any eq domain

access-list 111 permit udp host 192.168.xxx.xxx gt 1023 any eq domain

access-list 111 permit udp host 192.168.xxx.xxx gt 1023 any eq domain

access-list 111 permit udp host 192.168.xxx.xxx gt 1023 any eq domain

access-list 111 remark *********** HTTP-ACCESS 80 ****************

access-list 111 permit tcp host 188.11.xxx.xxx gt 1023 any eq www

access-list 111 permit tcp host 188.11.xxx.xxx gt 1023 any eq www

access-list 111 permit tcp host 188.11.xxx.xxx gt 1023 any eq www

access-list 111 permit tcp host 192.168.xxx.xxx gt 1023 any eq www

access-list 111 permit tcp host 192.168.xxx.xxx gt 1023 any eq www

access-list 111 permit tcp host 192.168.xxx.xxx gt 1023 any eq www

access-list 111 remark *********** HTTPs-ACCESS 443 **************

access-list 111 permit tcp host 188.11.xxx.xxx gt 1023 any eq 443

access-list 111 permit tcp host 188.11.xxx.xxx gt 1023 any eq 443

access-list 111 permit tcp host 188.11.xxx.xxx gt 1023 any eq 443

access-list 111 permit tcp host 192.168.xxx.xxx gt 1023 any eq 443

access-list 111 permit tcp host 192.168.xxx.xxx gt 1023 any eq 443

access-list 111 permit tcp host 192.168.xxx.xxx gt 1023 any eq 443

access-list 111 remark *********** FTP/DATA ACCESS 20/21 *********

access-list 111 permit tcp host 188.11.xxx.xxx gt 1023 any eq ftp

access-list 111 permit tcp host 188.11.xxx.xxx gt 1023 any eq ftp-data

access-list 111 permit tcp host 188.11.xxx.xxx gt 1023 any eq ftp

access-list 111 permit tcp host 188.11.xxx.xxx gt 1023 any eq ftp-data

access-list 111 remark *********** POP3-ACCESS 110 ***************

access-list 111 permit tcp host 192.168.xxx.xxx gt 1023 any eq pop3

access-list 111 remark *********** SYS-LOG-SERVICE 514 ***********

access-list 111 permit udp host 192.168.xxx.xxx gt 1023 host 188.11.xxx.xxx eq syslog

access-list 111 remark *********** DENY ANY ANY LOG **************

access-list 111 deny ip any any log

dialer-list 1 protocol ip list 111

no cdp run

!

line con 0

stopbits 1

line vty 0 4

access-class 99 in

exec-timeout 15 0

password xxxx

login

!

no rcapi server

!

!

end

 

router#

 

Danke und Gruß

 

Osirus

Building configuration...

 

Current configuration : 4742 bytes

!

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname router

!

boot system flash c800-y6-mw.122-8.T10.bin

enable secret 5 xxxxxxxxxxxxxxxxxxxxxxx

!

username xxxxx password 0 xxxxxx

ip subnet-zero

!

no ip domain-lookup

ip name-server 194.25.2.129

ip name-server 145.253.2.11

isdn switch-type basic-net3

!

!

!

interface Ethernet0

description xxxxx

ip address 192.168.xxx.xxx. 255.255.255.0

ip access-group 111 in

ip nat inside

no cdp enable

!

interface BRI0

no ip address

encapsulation ppp

dialer pool-member 1

isdn switch-type basic-net3

no cdp enable

ppp authentication pap chap callout

ppp chap hostname xxxx

ppp chap password 0 xxxxxx

ppp pap sent-username xxxx password 0 xxxxx

ppp multilink

!

interface Dialer1

ip address negotiated

ip nat outside

encapsulation ppp

dialer pool 1

dialer idle-timeout 360 either

dialer string 074560001920785

dialer load-threshold 10 either

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname xxxx

ppp chap password 0 xxxx

ppp pap sent-username xxxx password 0 xxxx

ppp multilink

!

ip nat inside source list 1 interface Dialer1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route 172.16.xxx.xxx 255.255.255.xxx 192.168.xxx.xxx

ip route 188.11.xxx.xxx 255.255.255.xxx 192.168.xxx.xxx

no ip http server

!

!

logging 188.11.xxx.xxx

Hallo zusammen,

 

ich übertrage jeden Morgen ein ca. 37MB große Datei via FTP auf einen Server. Problem is, das der Router die Verbindung immer nach dem dialer idle-timeout Wert trennt, selbst wenn da noch Traffic auf der Leitung ist.

habe einen Wert von 360 eingestellt. Die Üerbtragung dauert aber ca. 40 min. Ich kann ja jetzt nicht für jeden Mist die Leitugn 40min offen lassen. :) Weis jemannd wieso der Dialertimer nicht resetet wird?

Hier mal die Config

Hallo, die Clients können die Server aus beiden Netzen erreichen. Wenn ich die Clients in selbe Netz wie die Server hänge, bekommen ich trotzdem noch die Meldung.

 

Gruß

 

Osirus

Hallo, erstmal danke für schnelle Antwort!

 

 

snip/* was denn nu, BDC oder PDC? Oder mehrere? */snap

 

1 PDC und 1 BDC

 

Seit wann der Fehler auftritt kann ich leider nicht genau sagen. Wir haben das System erst vor kurzem übernommen und die alten Admins haben hier ziemlich gehaust. Lezte Änderungen, hmm von unserer Seite aus wurden keinen gemacht. Leider steht in beiden LOGFIle nicht drin.

 

Die Server laufen mit SP5 und Clients NT4 SP6, W2k mit SP4.

 

Gruß

 

Osirus

Hallo zusammen,

 

habe folgendes Problem. Ich kann keine Wks mehr zur Domäne hinzufügen. Der Domain Controller ist eine NT4 PDC mit BDC. Die Clients NT4 und 2k.

Zum Netz: Es ist kein WINSDienst vorhanden. Läuft alles über die LMHOSTS. DNS wird über die HOSTS gesteuert und über einen LANCom DSL Router. Hier sind alle Server hinterlegt. Clients und Server befinden sich in zwei verschiedenen Netzen. Geroutet wird über einen NT4 Server.

In der LMHosts sind die Server eingetragen + die DomainController mit den parametern

Servername #PRE und DOM:DOMAIN.

 

Leider ist es nicht möglich die PCs in die Domäne aufzunehmen. Es kommt immer die Meldung: Domäne XY ist nicht verfügbar.

 

Schaue ich mit nbtstat -c mir den Namecache an, sehe ich das der Name des PDC und der Domainname geladen wurde. Habe auch schon mal ein Netzlaufwerk zum Server verbunden und dann neugestartet. Leider ohne Erfolg.

Leider hilft es auch nicht wenn ich die Clients ins Server-LAN hänge. Bekomme dort die selbe Meldung.

 

Jemand ne Idee wie man das beheben kann?

 

Gruß

 

Osirus

Hallo zusammen,

 

wir haben folgendes Problem. Wir haben unsere Server von Netware 4.11 auf Netware 6.5 migriert. Auf dem Netware 6.5 Server wurde DNS Dienst installiert und ist auch aktiv. Alle Server sind dort eingetragen. Nun haben wir das Problem das so ziemliche alle Anwendungen (insbesondere LotusNotes) teilweise sehr langsam laufen. Nimmt man die DNS-Server in den Clients raus und schreibt die IP-Adressen der Server wieder in die HOSTs ist alles wieder schnell.

 

Die Workstations laufen alle mit Windows 2000 SP3/4 und NWClient 4.9 SP2.

Als DNS-Server sind beide Netware Server eingetragen.

Jemand ne Idee woran das liegen könnte?

Hi, wenn ich das richtig sehe ist die Access-List auch nicht scharf gestellt.

Trage mal im eth0 folgendes ein

 

ip access-group 199 in

 

Dann ist die ACL auf dem eth0 aktiv.

 

Gruß

 

Osirus

Hallo zusammen!

 

Ich würde mir gerne eine VPN zugangen basteln. Das ganze soll über meiner PIX gehen und die Daten durch IPSec geschützt werden. Hat da jemand ne gute Anleitung wie das funktioniert?

Kenne mich mit IPSec nicht ganz so gut aus und hoffe über die Geschichte etwas mehr darüber zu erfahren.

 

Danke für Eure hilfe!

 

Gruß

 

Osirus

 

 

PIX IOS 6.3.3

Problem ist wir haben keine Domänen-Controller und auch leider noch einen ganzen Haufen NT4Clients.

Noch schlimmer ist es das wir ca. 300 WKS haben und die alle by Turnschuh aktuallisieren müssen. Daher halt am besten ein Reg-Eintrag den man schnell als Admin ausführen kann.

Habe den Eintragen auch gefunden und ir zurecht gebastelt

 

REGEDIT4

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

"ProxyOverride"="ip-adresse(n) z.B 192.168.1.1;<local>"

 

 

Dieser Eintrag gilt für das Default-Profil

 

und dieser hier ist für einen lokalen User (siehe SID)

 

[HKEY_USERS\S-1-5-21-1454471165-1677128483-1801674531-500

\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

"ProxyOverride"="ip-adresse(n) z.B 192.168.1.1;<local>"

 

Bei den Default eintrag übernimmt er es mir nicht in die Einstellung. Trotz neustart.

 

Bei dem Eintrag mit der SID hat er das Prob. das ja auf jeder WKS ein USer eine andere SID hat.

 

Hat jemand sonst noch ne Idee wie ich das machen kann. Hab leider nicht so viel Zeit bei den Clients das in jedem Profil einzustellen.

 

Gruß

 

Osirus

Morgen zusammen,

 

ich bin auf der Suche nach einem Reg-Eintrag mit dem es mir möglich ist, die Proxy-Einstellungen für alle lokalen User zu hinterlegen. Sprich ich melde mich einmal als Admin an, führe die Reg-Datei aus und alle Benutzer erhalten die selben Proxy-Einstellungen.

 

In den Einstellungen sollen alle lokalen Server eingetragen werden, die vom Proxy ignoriert werden sollen. Habe auch schon in der Reg. den Eintrag Proxyoverride gefunden. Ist es möglich den zu exportieren (nur den einen Eintrag) und auf allen Clients in die REg. einzufügen?

 

Gruß

Osirus

Hallo zusammen,

 

wir haben den Ms-PRoxy 2.0 im Einsatz und haben ein Problem mit einer Anwendung die über den Proxy ins Internet gehen soll.

In der Anwendung selbst können wir angeben das sie sich am Proxy authentifizieren soll. Bei einem Kollgen klappt es. Bei dem Rest nicht. Es klappt auch wirklich nur bei Ihm. Egal mit welchen Namen man sich anmeldet. Habe dann mal bei mir einen Sniffer mit laufen lassen. Dort kann man sehen das die Authentifizerung beim Proxy fehlt schlägt. NTLUM schlägt fehl.

Ich vermute ja das es irgendeine Einstellung am lokalen Rechner ist.

Hat da jemand ne Idee woran das liegen könnte?

 

Clients Win 2000 SP IE 6 SP1

 

Windows NT Server 4.0 SP5 Ms Proxy 2.0

 

 

 

Gruß

Osirus

Moin, schade die Zeichnung ist noch nicht freigeschaltet :D Da hab ich alles rein gemalt.

 

Also, bei dein Clients stellst Du als Standard Gateway die PIX ein. Als DNS musst Du deine Router oder den DNS-Server deines Providers eintragen. Hab bei mir den Router genommen. Musst halt nur dementsprechend die ACL anpassen.

 

Gruß

 

Osirus

PIX Version 6.3(3)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password sag_ich_nüscht encrypted

passwd sag_ich_nüschtencrypted

hostname PIXel

domain-name ciscopix.com

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

name 192.168.x.x Osirus

name 172.16.1.2 Router

name 192.168.x.x Laptop

name 192.168.x.x PC2

object-group network INTERNET

description Zugriff HTTP, HTTPS, SMTP, POP3, 2710

network-object host Osirus

network-object host Laptop

object-group network FTP

description Zugriff FTP 21

network-object host Osirus

object-group network EMULE

description Zugriff EMULE-SERVER 4662, 4661, 4242

network-object host Osirus

access-list outside_in permit tcp any host 172.16.1.10 eq 4662

access-list outside_in deny icmp host Router host 172.16.1.10 echo-reply

access-list outside_in deny ip any any

access-list inside_in permit udp object-group INTERNET gt 1023 host Router eq do

main

access-list inside_in permit tcp object-group INTERNET gt 1023 any eq www

access-list inside_in permit tcp object-group INTERNET gt 1023 any eq smtp

access-list inside_in permit tcp object-group INTERNET gt 1023 any eq pop3

access-list inside_in permit tcp object-group INTERNET gt 1023 any eq https

access-list inside_in permit tcp object-group INTERNET gt 1023 any eq 2710

access-list inside_in permit tcp object-group FTP gt 1023 any eq ftp

access-list inside_in permit tcp object-group EMULE any eq 4242

access-list inside_in permit tcp object-group EMULE any eq 4662

access-list inside_in permit tcp object-group EMULE any eq 4661

access-list inside_in permit tcp host Osirus gt 1023 host Router eq www

access-list inside_in deny ip any any

pager lines 24

logging on

logging monitor debugging

logging trap errors

logging facility 23

logging host inside Osirus

mtu outside 1500

mtu inside 1500

ip address outside 172.16.1.1 255.255.255.224

ip address inside 192.168.x.x 255.255.255.0

ip verify reverse-path interface outside

ip verify reverse-path interface inside

ip audit info action alarm

ip audit attack action alarm

pdm location Osirus 255.255.255.255 inside

pdm location Router 255.255.255.255 outside

pdm location Laptop 255.255.255.255 inside

pdm group INTERNET inside

pdm group FTP inside

pdm group EMULE inside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 1 172.16.1.3-172.16.1.30

nat (inside) 1 192.168.x.x 255.255.255.0 0 0

static (inside,outside) 172.16.1.10 Osirus netmask 255.255.255.255 0 0

static (inside,outside) 172.16.1.11 Laptop netmask 255.255.255.255 0 0

static (inside,outside) 172.16.1.20 Snoop netmask 255.255.255.255 0 0

access-group outside_in in interface outside

access-group inside_in in interface inside

route outside 0.0.0.0 0.0.0.0 Router 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

aaa authentication ssh console LOCAL

http server enable

http Osirus 255.255.255.255 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

telnet Osirus 255.255.255.255 inside

telnet timeout 15

ssh Osirus 255.255.255.255 inside

ssh timeout 5

console timeout 0

username osirus password sag_ich_nüscht encrypted privilege 15

terminal width 80

Cryptochecksum:4d5b2543ew66ac94142cx08fx7f115b3

: end

PIXel#

Hi, hier meine Config. Aber wie ich sehe hast Du wohl auch noch ein IP-Adressen Problem. Der Router braucht ne IP aus dem Netz der PIX. Also z.b. 10.100.1.2 . Dann kannst Du den Router auch Pingen. Wichtig ist wenn Du pingst das Du ping outside 10.100.1.2 machst. Habe mal noch ne Zeichnung mit dran gehangen. Hoffe die macht das verständlich.

 

 

 

GRuß

Osirus

zeichnung.doc

Kabelmässig nimmst Du normale Patchkabel. Dann verbindest Du den Port 0 der PIX mit einem Port auf deinem Router. (Muss aber ein Interner sein.)

 

In wie weit kennst Du dich mit der PIX aus?

Ist die PIX schon konfiguriert?

Telent oder Consolen Zugang möglich?

 

GRuß

 

Osirus

Ok :D

 

Danke Dir...

Mail an gelöscht@gelöscht.ded

Hast ne PN.