29
CISCO 926-4P SEC Lizenz ,CLM oder Installation Lizenz USB und Zone Based Firewall
Hallo ,
ich möchte eine Zone Base Firewall installieren aber ich habe das Problem dass ich die Lizenz gerne über USB installieren bzw. einspielen würde aber dieses laut der Anleitung die ich zugeschickt bekommen habe nicht funktioniert.
Des weiteren kann ich den CLM den Cisco License Manager über den Link welchen ich erhalten habe nicht herunterladen und deshalb Frage ich hier nach ob ihr das selbe Problem habt oder mir bezüglich der Installation weiterhelfen könnt.
Gruß
Mario
ich möchte eine Zone Base Firewall installieren aber ich habe das Problem dass ich die Lizenz gerne über USB installieren bzw. einspielen würde aber dieses laut der Anleitung die ich zugeschickt bekommen habe nicht funktioniert.
Des weiteren kann ich den CLM den Cisco License Manager über den Link welchen ich erhalten habe nicht herunterladen und deshalb Frage ich hier nach ob ihr das selbe Problem habt oder mir bezüglich der Installation weiterhelfen könnt.
Gruß
Mario
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1220798787
Url: https://administrator.de/contentid/1220798787
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
29 Kommentare
Neuester Kommentar
Hi Mario,
was sagt denn der Versender von Anleitung und CLM-Link zu Deinem Problem?
mfg
kowa
was sagt denn der Versender von Anleitung und CLM-Link zu Deinem Problem?
mfg
kowa
Ticket aufgemacht aber keine Antwort auch nicht ob man die Lizenz ohne ftp also über den USB Port einspielen kann?
Die bekommen es irgendwie nicht auf die Reihe mir dabei zu helfen.
Jmd Erfahrung damit
Die bekommen es irgendwie nicht auf die Reihe mir dabei zu helfen.
Jmd Erfahrung damit
Poste bitte mal die Anleitung, ggf. Seriennummern rausixxen.
Jmd Erfahrung damit
In einem Administrator Forum mit Cisco Administratoren sicher eine überflüssige Frage. 
Im Grunde ist es kinderleicht wenn man dem Lizenz Tutorial folgt:
https://www.cisco.com/c/en/us/td/docs/routers/access/sw_activation/SA_on ...
Wir gehen jetzt einmal davon aus das du über das Cisco Lizenz Portal http://www.cisco.com/go/license die Lizenz Datei mit der Endung .xml oder .lic nach dem o.a. Tutorial erstellt und runtergeladen hast ?! Ist dem so ?
Wenn ja, dann kopierst du diese xml Datei auf deinen USB Stick, und steckst den in den Router.
Jetzt solltest du eine Terminal Message ala:
Dec 10 05:02:13.427: %USBFLASH-5-CHANGE: usbflash1 has been inserted!
bekommen was zeigt das der Router den USB Stick erkannt hat und ihm den Device Namen usbflash1 zugewiesen hat.
Achtung: Der USB Stick muss FAT32 formatiert sein damit das der Fall ist.
Wenn du nun den Copy Befehl aufrufst und dir die Devices ansiehst sollte auch dein Stick als "usbflash1" zu sehen sein.
Router#copy ?
/erase Erase destination file system.
/error Allow to copy error file.
/noverify Don't verify image signature before reload.
/verify Verify image signature before reload.
archive: Copy from archive: file system
cns: Copy from cns: file system
flash0: Copy from flash0: file system
flash1: Copy from flash1: file system
flash: Copy from flash: file system
ftp: Copy from ftp: file system
http: Copy from http: file system
https: Copy from https: file system
null: Copy from null: file system
nvram: Copy from nvram: file system
pram: Copy from pram: file system
rcp: Copy from rcp: file system
running-config Copy from current system configuration
scp: Copy from scp: file system
startup-config Copy from startup configuration
system: Copy from system: file system
tar: Copy from tar: file system
tftp: Copy from tftp: file system
tmpsys: Copy from tmpsys: file system
usbflash1: Copy from usbflash1: file system <== Erscheint wenn USB eingesteckt !
xmodem: Copy from xmodem: file system
ymodem: Copy from ymodem: file system
Mit Router#dir usbflash1: solltest du dann auch den Inhalt des USB Sticks sehen
Nun kopierst du die XML Datei auf den Router Flash Speicher mit:
copy usbflash1: <Datei> flash:
Mit show flash: oder auch dir flash: kannst du dir den internen Router Flash ansehen und ob deine Lizenzdatei sauber kopiert wurde.
Dann mit license install flash0:<Datei> die Lizenz über das CLI installieren. Das sollte dann eine Success Meldung im Terminal geben ala:
*Jul 7 17:24:57.391: %LICENSE-6-INSTALL: Feature XYZ was installed in this device.
Ist dem so mit reload den Router rebooten und nach dem Reboot zeigt dir dann show version oder auch show license die erfolgreich installierte Lizenz an:
<code type = plain>Router#sh license
Index 1 Feature: ipbasek9
Period left: Life time
License Type: Permanent
License State: Active, In Use
License Count: Non-Counted
License Priority: Medium
Index 2 Feature: securityk9
Period left: Life time
License Type: Permanent
License State: Active, In Use
License Count: Non-Counted
License Priority: Medium
Ich habe eine .lic Datei ist dieses auch ok? Funktioniert es mit diesen Dateien auch?
Warum habe ich eine andere Datei?
Warum habe ich eine andere Datei?
So hier das was ich bei sh ver ausgegeben bekommen habe ( Auszug)
Hier die sh licens:
So ist es richtig oder?`
Dann kann ich ja mit der Firewall aus dem Tutorial anfangen, richtig?
Gibt es da für die ZFW eines von Cisco?
License UDI:
-------------------------------------------------
Device# PID SN
-------------------------------------------------
*1 C926-4P SERIENNNUMMER
Technology Package License Information for Module:'c900'
------------------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
------------------------------------------------------------------------
ipbase ipbasek9 Permanent ipbasek9
security None None securityk9
appx None None None
900 Next reboot level = securityk9 and License = securityk9Hier die sh licens:
Cisco_Router_B#sh license
Index 1 Feature: ipbasek9
Period left: Life time
License Type: Permanent
License State: Active, In Use
License Count: Non-Counted
License Priority: Medium
Index 2 Feature: securityk9
Period left: Life time
License Type: Permanent
License State: Active, In Use
License Count: Non-Counted
License Priority: MediumSo ist es richtig oder?`
Dann kann ich ja mit der Firewall aus dem Tutorial anfangen, richtig?
Gibt es da für die ZFW eines von Cisco?
Probiere, ob die inspect-Befehle vorhanden sind.
Ich habe eine .lic Datei ist dieses auch ok? Funktioniert es mit diesen Dateien auch?
Noch besser, denn das ist die Lizenz Datei die nicht nach Hause telefoniert. Damit geht es natürlich auch !HIER wird es nochmal ganz genau erklärt:
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus1000/Inte ...
So ist es richtig oder?`
Yepp, bingo ! Lizenz ist installiert und aktiviert !Gibt es da für die ZFW eines von Cisco?
Ja gibt es. Guckst du hier:https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/98628-z ...
https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/108014- ...
Oder natürlich das hiesige Forum:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
@ WIndows 10 Gegner wenn ich ip inspect ? eingebe erhalte ich keine Fehlermeldung sondern eine Auflistung.
erhalte ich keine Fehlermeldung sondern eine Auflistung.
Was ja dann zeigt das die Firewall Funktion jetzt auch aktiv und einsatzklar ist, denn wenn du dich an deinen vorherigen Thread erinnerst: Ohne Lizenz hattest du diese und auch die ZFW Firewall Kommandos ja nicht im Parser ! 
ist das so ok? oder muss ich noch etwas ändern so wie bei einer standart fireawall
Was genau macht die Firewall aus dem tutorial wie sicher ist sie?
Was muss ich ergänzen ggf?
isco_Router_B(config-if)#do show policy-map type inspect zone-pair
policy exists on zp LOKAL-INTERNET
Zone-pair: LOKAL-INTERNET
Service-policy inspect : LOKAL-INTERNET-POLICY
Class-map: LOKAL-ERLAUBT (match-any)
Match: protocol http
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol https
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol dns
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol pop3s
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol imaps
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol smtp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol sip
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol sip-tls
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol rtsp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol ftp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol ftps
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol ssh
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol ntp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol tcp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol udp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol icmp
0 packets, 0 bytes
30 second rate 0 bps
Inspect
Session creations since subsystem startup or last reset 0
Current session counts (estab/half-open/terminating) [0:0:0]
Maxever session counts (estab/half-open/terminating) [0:0:0]
Last session created never
Last statistic reset never
Last session creation rate 0
Maxever session creation rate 0
Last half-open session total 0
TCP reassembly statistics
received 0 packets out-of-order; dropped 0
peak memory usage 0 KB; current usage: 0 KB
peak queue length 0
Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes
policy exists on zp GAST-INTERNET
Zone-pair: GAST-INTERNET
Service-policy inspect : GAST-INTERNET-POLICY
Class-map: GAST-ERLAUBT (match-any)
Match: protocol http
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol https
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol dns
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol ntp
0 packets, 0 bytes
30 second rate 0 bps
Inspect
Session creations since subsystem startup or last reset 0
Current session counts (estab/half-open/terminating) [0:0:0]
Maxever session counts (estab/half-open/terminating) [0:0:0]
Last session created never
Last statistic reset never
Last session creation rate 0
Maxever session creation rate 0
Last half-open session total 0
TCP reassembly statistics
received 0 packets out-of-order; dropped 0
peak memory usage 0 KB; current usage: 0 KB
peak queue length 0
Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes
policy exists on zp INTERNET-ROUTER
Zone-pair: INTERNET-ROUTER
Service-policy inspect : INTERNET-ROUTER-POLICY
Class-map: IPsec_VPN (match-all)
Match: access-group name ISAKMP_IPSEC
Pass
0 packets, 0 bytes
Class-map: class-default (match-any)
Match: any
Drop
14 packets, 730 bytes
policy exists on zp ROUTER-INTERNET
Zone-pair: ROUTER-INTERNET
Service-policy inspect : ROUTER-INTERNET-POLICY
Class-map: ROUTER-PROTOCOLS (match-any)
Match: class-map match-all IPsec_VPN
0 packets, 0 bytes
30 second rate 0 bps
Match: access-group name ISAKMP_IPSEC
Match: protocol tcp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol udp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol icmp
0 packets, 0 bytes
30 second rate 0 bps
Inspect
Session creations since subsystem startup or last reset 0
Current session counts (estab/half-open/terminating) [0:0:0]
Maxever session counts (estab/half-open/terminating) [0:0:0]
Last session created never
Last statistic reset never
Last session creation rate 0
Maxever session creation rate 0
Last half-open session total 0
TCP reassembly statistics
received 0 packets out-of-order; dropped 0
peak memory usage 0 KB; current usage: 0 KB
peak queue length 0
Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes
Cisco_Router_B(config-if)#do sh policy-map type inspect zone-pair sessions
policy exists on zp LOKAL-INTERNET
Zone-pair: LOKAL-INTERNET
Service-policy inspect : LOKAL-INTERNET-POLICY
Class-map: LOKAL-ERLAUBT (match-any)
Match: protocol http
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol https
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol dns
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol pop3s
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol imaps
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol smtp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol sip
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol sip-tls
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol rtsp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol ftp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol ftps
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol ssh
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol ntp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol tcp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol udp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol icmp
0 packets, 0 bytes
30 second rate 0 bps
Inspect
Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes
policy exists on zp GAST-INTERNET
Zone-pair: GAST-INTERNET
Service-policy inspect : GAST-INTERNET-POLICY
Class-map: GAST-ERLAUBT (match-any)
Match: protocol http
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol https
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol dns
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol ntp
0 packets, 0 bytes
30 second rate 0 bps
Inspect
Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes
policy exists on zp INTERNET-ROUTER
Zone-pair: INTERNET-ROUTER
Service-policy inspect : INTERNET-ROUTER-POLICY
Class-map: IPsec_VPN (match-all)
Match: access-group name ISAKMP_IPSEC
Pass
0 packets, 0 bytes
Class-map: class-default (match-any)
Match: any
Drop
17 packets, 790 bytes
policy exists on zp ROUTER-INTERNET
Zone-pair: ROUTER-INTERNET
Service-policy inspect : ROUTER-INTERNET-POLICY
Class-map: ROUTER-PROTOCOLS (match-any)
Match: class-map match-all IPsec_VPN
0 packets, 0 bytes
30 second rate 0 bps
Match: access-group name ISAKMP_IPSEC
Match: protocol tcp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol udp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol icmp
0 packets, 0 bytes
30 second rate 0 bps
Inspect
Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes
Cisco_Router_B(config-if)#Was genau macht die Firewall aus dem tutorial wie sicher ist sie?
Was muss ich ergänzen ggf?
Was genau macht die Firewall aus dem tutorial wie sicher ist sie?
Das kommt drauf an, was da steht. Schaue es dir genau an. Wenn du dann die Funktionsweise erstehst, kannst du auch beurteilen, gegen was die dich absichert.Firewalls bewirken aber keine Wunder, sondern sind ausschließlich zusätzlicher Schutz vor Angriffen, wenn auf einem Rechner Serverdienste (u.a. die Windows-SMB-Dateifreigabe) laufen, die da eigentlich nicht laufen sollten.
Mmmhhh...alle Traffic Counter sind auf 0. Mit anderen Worten geht da (noch) nix rüber !
Ist die FW jetzt rein nur konfiguriert und der Router noch nicht aktiv am Internet ? Die show Kommandos sind relativ nutzlos wenn man nicht weiss ob der Router schon aktiv ist.
Man müsste also mal deine jetzt aktive Konfig (anonymisiert) mit "sh run" sehen um das wirklich beurteilen zu können das alles richtig konfiguriert ist...
Eine SPI Firewall mit ALG wie die in deinem Cisco Router ist absolut sicher, jedenfalls so absolut wie DU sie konfigurierst. Sie kann logischerweise natürlich nicht hellsehen und menschliche Konfig Fehler korrigieren. Folglich ist sie also immer so sicher wie DU SELBER sie machst.
Eine simple Binsenweisheit die übrigens für ALLE Firewalls auf der Welt gilt !
Ist die FW jetzt rein nur konfiguriert und der Router noch nicht aktiv am Internet ? Die show Kommandos sind relativ nutzlos wenn man nicht weiss ob der Router schon aktiv ist.
Man müsste also mal deine jetzt aktive Konfig (anonymisiert) mit "sh run" sehen um das wirklich beurteilen zu können das alles richtig konfiguriert ist...
Eine SPI Firewall mit ALG wie die in deinem Cisco Router ist absolut sicher, jedenfalls so absolut wie DU sie konfigurierst. Sie kann logischerweise natürlich nicht hellsehen und menschliche Konfig Fehler korrigieren. Folglich ist sie also immer so sicher wie DU SELBER sie machst.
Eine simple Binsenweisheit die übrigens für ALLE Firewalls auf der Welt gilt !
Hier die Informationen die ich habe.
einmal eine Ausgabe welche direkt beginnt nach dem Login:
Hier die RUnning config:
einmal eine Ausgabe welche direkt beginnt nach dem Login:
automatisch nach konsolen login erscheint:
G: Dropping TCP Segment: seq:-841562871 1480 bytes is out-of-order; expected seq:3453379945. Reason: TCP reassembly queue overflow - session 192.168.100.150:53236 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep 5 00:58:45: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:981481320 1480 bytes is out-of-order; expected seq:981452520. Reason: TCP reassembly queue overflow - session 192.168.100.150:55865 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep 5 00:58:46: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:-1949702251 1480 bytes is out-of-order; expected seq:2345239125. Reason: TCP reassembly queue overflow - session 192.168.100.150:62336 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep 5 00:58:48: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:-399520822 1480 bytes is out-of-order; expected seq:3895420554. Reason: TCP reassembly queue overflow - session 192.168.100.150:55861 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep 5 00:58:49: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:274331185 1480 bytes is out-of-order; expected seq:274303825. Reason: TCP reassembly queue overflow - session 192.168.100.150:56438 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep 5 00:58:50: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:984200908 1480 bytes is out-of-order; expected seq:984174988. Reason: TCP reassembly queue overflow - session 192.168.100.150:55865 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
Was bedeutet das?
8.100.150:56450 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep 5 01:00:04: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:-1524575688 1480 bytes is out-of-order; expected seq:2770367128. Reason: TCP reassembly queue overflow - session 192.168.100.150:56447 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep 5 01:00:05: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:-1524124178 1480 bytes is out-of-order; expected seq:2770818638. Reason: TCP reassembly queue overflow - session 192.168.100.150:56447 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep 5 01:00:06: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:321734510 1480 bytes is out-of-order; expected seq:321710030. Reason: TCP reassembly queue overflow - session 192.168.100.150:56438 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep 5 01:00:07: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:66483861 1480 bytes is out-of-order; expected seq:66459381. Reason: TCP reassembly queue overflow - session 192.168.100.150:56444 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep 5 01:00:08: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:151447361 1480 bytes is out-of-order; expected seq:151422881. Reason: TCP reassembly queue overflow - session 192.168.100.150:56433 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep 5 01:00:10: %FW-4-TCP_OoO_SEG: Dropping TCP Seg
wie kann ich diese Art von log unterbreche ?
Knan keine daten aus konsole kopieren? hab int dialer 0 shut und dnan okHier die RUnning config:
uilding configuration...
Current configuration : 6477 bytes
!
! Last configuration change at 22:56:27 CEST Sat Sep 4 2021
!
version 15.8
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 PASSWORT
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
network 192.168.100.0 255.255.255.0
default-router 192.168.100.254
dns-server 192.168.100.254
domain-name mario.domain
!
ip dhcp pool Gastnetz
network 172.16.100.0 255.255.255.0
default-router 172.16.100.254
dns-server 172.16.100.254
domain-name mario.domain
!
!
!
ip domain name mario.domain
ip cef
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
!
ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn SERIENNUMMER
!
!
username admin privilege 15 password 7 PASSWORT
!
redundancy
!
!
!
!
!
controller VDSL 0
!
!
class-map type inspect match-any LOKAL-ERLAUBT
match protocol http
match protocol https
match protocol dns
--More--
*Sep 5 01:13:08: %FW-4-TCP_OoO_SEG: Deleting session as expected TCP segment with seq:3857582570 has not arrived even after 25 seconds - session 192.168.100.150:56467 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOK match protocol pop3s
match protocol imaps
match protocol smtp
match protocol sip
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tcp
match protocol udp
match protocol icmp
class-map type inspect match-any GAST-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol ntp
class-map type inspect match-all IPsec_VPN
match access-group name ISAKMP_IPSEC
class-map type inspect match-any ROUTER-PROTOCOLS
match class-map IPsec_VPN
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect LOKAL-INTERNET-POLICY
description Traffic Lokales LAN zum Internet
class type inspect LOKAL-ERLAUBT
inspect
class class-default
drop
policy-map type inspect ROUTER-INTERNET-POLICY
description Traffic Router zum Internet
class type inspect ROUTER-PROTOCOLS
inspect
class class-default
drop
policy-map type inspect GAST-INTERNET-POLICY
description Traffic Gast zum Internet
class type inspect GAST-ERLAUBT
inspect
class class-default
drop
policy-map type inspect INTERNET-ROUTER-POLICY
description Traffic Internet zum Router
*Sep 5 01:13:09: %FW-4-TCP_OoO_SEG: Deleting session as expected TCP segment with seq:2885657820 has not arrived even after 25 seconds - session 192.168.100.150:56483 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT class type inspect IPsec_VPN
pass
class class-default
drop
!
zone security LOKAL
zone security GAST
zone security INTERNET
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security GAST-INTERNET source GAST destination INTERNET
service-policy type inspect GAST-INTERNET-POLICY
zone-pair security INTERNET-ROUTER source INTERNET destination self
service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security ROUTER-INTERNET source self destination INTERNET
service-policy type inspect ROUTER-INTERNET-POLICY
!
!
!
!
!
!
!
!
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
no ip address
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
description Gastnetz
switchport access vlan 2
no ip address
no cdp enable
!
interface GigabitEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1
description IPsec VPN Dialin
ip unnumbered Vlan1
zone-member security LOKAL
!
interface Vlan1
description Lokales LAN
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security LOKAL
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::1:0:0:0:1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
!
interface Vlan2
description Gastnetz
ip address 172.16.100.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security GAST
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::2:0:0:0:1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
!
interface Vlan10
description Gastnetz
no ip address
zone-member security GAST
!
interface Dialer0
description DSL Internet Interface
mtu 1488
ip address negotiated
ip access-group bockext in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
zone-member security INTERNET
encapsulation ppp
shutdown
dialer pool 1
dialer-group 1
no cdp enable
ipv6 address autoconfig default
ipv6 enable
ipv6 nd autoconfig default-route
no ipv6 redirects
no ipv6 unreachables
ipv6 dhcp client pd provider-v6-prefix rapid-commit
ipv6 verify unicast reverse-path
ppp authentication pap callin
ppp pap sent-username DSL@CISCO.COM password 7 PASSWORT
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
ip access-list extended ISAKMP_IPSEC
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
ip access-list extended blockext
remark offene TCP Verbindungen dr
remark offene TCP Verbindungen durchlassen
permit tcp any any established
remark DNS Port beide Protokolle, blockieren
deny tcp any any eq domain
deny udp any any eq domain
remark Rest erlauben
permit ip any any
!
!
!
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
!
!
!
control-plane
!
banner motd ^CC
LOGIN AUF DIESEN ROUTER OHNE GENEHMIGUNG STRAFBAR AUCH JEG: VERSUCH . ALLES ANDERE AUCH!!!
NO LOGIN IS ALLOWED OR USING OF THIS ROUTER!
^C
!
line con 0
line 4
no activation-character
transport preferred none
transport input all
transport output all
stopbits 1
line vty 0 4
transport input none
!
scheduler allocate 20000 1000
!
end
https://community.cisco.com/t5/network-security/fw-4-tcp-ooo-seg-droppin ...
https://freddejonge.nl/get-rid-cisco-ios-router-message-fw-4-tcp_ooo_seg ...
Die "Konfig Leiche" VLAN 10 solltest du besser immer entfernen ! Es ist kontraproduktiv kaputte Konfig Reste in einer aktiven Konfig rumdümpeln zu lassen. Sowas kann immer böse Side Effects nach sich ziehen. Also mit "no int vlan 10" sowas entfernen. Ein no vor dem Kommando löscht dieses in der Regel !
Ansonsten ist deine Konfig und die ZFW Konfig soweit OK. Die ZFW Konfig hat allerdings noch einen gravierenden Fehler was das IPv6 Setup anbetrifft. Da du IPv6 auch aktiviert hast solltest du das in jedem Falle anpassen. Das Kapitel "ZFW Firewall für IPv6 anpassen" im hiesigen Cisco Tutorial geht explizit darauf ein ! Das hast du vermutlich wieder einmal nicht gelesen und umgesetzt.
Deine darauf angepasste ZFW Firewall müsste dann so aussehen:
(Die v4 IPsec VPN Allow Regeln am WAN sind jetzt mit den v6 in der Map ALLOW_IN zusammengefasst !)
!
class-map type inspect match-any ALLOW_IN
match access-group name ALLOWv4
match access-group name ALLOWv6
!
class-map type inspect match-any ICMPv6
match access-group name ICMPv6
!
class-map type inspect match-any LOKAL-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol pop3s
match protocol imaps
match protocol smtp
match protocol sip
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any GAST-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol ntp
!
class-map type inspect match-any ROUTER-PROTOCOLS
match class-map ALLOW_IN
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect LOKAL-INTERNET-POLICY
description Traffic Lokales LAN zum Internet
class type inspect LOKAL-ERLAUBT
inspect
class class-default
drop
policy-map type inspect ROUTER-INTERNET-POLICY
description Traffic Router zum Internet
class type inspect ROUTER-PROTOCOLS
inspect
class class-default
drop
policy-map type inspect ICMPv6
description Traffic ICMPv6 to LAN
class type inspect ICMPv6
inspect
class class-default
drop
policy-map type inspect GAST-INTERNET-POLICY
description Traffic Gast zum Internet
class type inspect GAST-ERLAUBT
inspect
class class-default
drop
policy-map type inspect INTERNET-ROUTER-POLICY
description Traffic Internet zum Router
class type inspect ALLOW_IN
pass
class class-default
drop
!
zone security LOKAL
zone security GAST
zone security INTERNET
!
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security GAST-INTERNET source GAST destination INTERNET
service-policy type inspect GAST-INTERNET-POLICY
zone-pair security INTERNET-ROUTER source INTERNET destination self
service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security ICMPv6 source INTERNET destination LOKAL
service-policy type inspect ICMPv6
zone-pair security ICMPv6 source INTERNET destination GAST
service-policy type inspect ICMPv6
zone-pair security ROUTER-INTERNET source self destination INTERNET
service-policy type inspect ROUTER-INTERNET-POLICY
!
ip access-list extended ALLOWv4
10 permit udp any any eq isakmp
20 permit udp any any eq non500-isakmp
30 permit esp any any
!
ipv6 access-list ALLOWv6
sequence 10 permit udp any eq 547 any eq 546
!
ipv6 access-list ICMPv6
sequence 10 permit icmp any any unreachable
sequence 20 permit icmp any any packet-too-big
sequence 30 permit icmp any any hop-limit
sequence 40 permit icmp any any reassembly-timeout
sequence 50 permit icmp any any header
sequence 60 permit icmp any any next-header
sequence 70 permit icmp any any parameter-option
sequence 80 permit icmp any any echo-request
sequence 90 permit icmp any any echo-reply
sequence 100 permit icmp any any dhaad-request
sequence 110 permit icmp any any dhaad-reply
sequence 120 permit icmp any any mpd-solicitation
sequence 130 permit icmp any any mpd-advertisement
!
Nach diesen Korrekturen wäre dann soweit alles fehlerfrei.
https://freddejonge.nl/get-rid-cisco-ios-router-message-fw-4-tcp_ooo_seg ...
Knan keine daten aus konsole kopieren? hab int dialer 0 shut und dnan ok
Bahnhof ?, Ägypten ? Was soll uns dieser kryptische Satz denn nun sagen ??? Daten aus der Konsole kopiert man stinknormal mit Cut and Paste. Oder was meinst du ??Die "Konfig Leiche" VLAN 10 solltest du besser immer entfernen ! Es ist kontraproduktiv kaputte Konfig Reste in einer aktiven Konfig rumdümpeln zu lassen. Sowas kann immer böse Side Effects nach sich ziehen. Also mit "no int vlan 10" sowas entfernen. Ein no vor dem Kommando löscht dieses in der Regel !
Ansonsten ist deine Konfig und die ZFW Konfig soweit OK. Die ZFW Konfig hat allerdings noch einen gravierenden Fehler was das IPv6 Setup anbetrifft. Da du IPv6 auch aktiviert hast solltest du das in jedem Falle anpassen. Das Kapitel "ZFW Firewall für IPv6 anpassen" im hiesigen Cisco Tutorial geht explizit darauf ein ! Das hast du vermutlich wieder einmal nicht gelesen und umgesetzt.
Deine darauf angepasste ZFW Firewall müsste dann so aussehen:
(Die v4 IPsec VPN Allow Regeln am WAN sind jetzt mit den v6 in der Map ALLOW_IN zusammengefasst !)
!
class-map type inspect match-any ALLOW_IN
match access-group name ALLOWv4
match access-group name ALLOWv6
!
class-map type inspect match-any ICMPv6
match access-group name ICMPv6
!
class-map type inspect match-any LOKAL-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol pop3s
match protocol imaps
match protocol smtp
match protocol sip
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any GAST-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol ntp
!
class-map type inspect match-any ROUTER-PROTOCOLS
match class-map ALLOW_IN
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect LOKAL-INTERNET-POLICY
description Traffic Lokales LAN zum Internet
class type inspect LOKAL-ERLAUBT
inspect
class class-default
drop
policy-map type inspect ROUTER-INTERNET-POLICY
description Traffic Router zum Internet
class type inspect ROUTER-PROTOCOLS
inspect
class class-default
drop
policy-map type inspect ICMPv6
description Traffic ICMPv6 to LAN
class type inspect ICMPv6
inspect
class class-default
drop
policy-map type inspect GAST-INTERNET-POLICY
description Traffic Gast zum Internet
class type inspect GAST-ERLAUBT
inspect
class class-default
drop
policy-map type inspect INTERNET-ROUTER-POLICY
description Traffic Internet zum Router
class type inspect ALLOW_IN
pass
class class-default
drop
!
zone security LOKAL
zone security GAST
zone security INTERNET
!
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security GAST-INTERNET source GAST destination INTERNET
service-policy type inspect GAST-INTERNET-POLICY
zone-pair security INTERNET-ROUTER source INTERNET destination self
service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security ICMPv6 source INTERNET destination LOKAL
service-policy type inspect ICMPv6
zone-pair security ICMPv6 source INTERNET destination GAST
service-policy type inspect ICMPv6
zone-pair security ROUTER-INTERNET source self destination INTERNET
service-policy type inspect ROUTER-INTERNET-POLICY
!
ip access-list extended ALLOWv4
10 permit udp any any eq isakmp
20 permit udp any any eq non500-isakmp
30 permit esp any any
!
ipv6 access-list ALLOWv6
sequence 10 permit udp any eq 547 any eq 546
!
ipv6 access-list ICMPv6
sequence 10 permit icmp any any unreachable
sequence 20 permit icmp any any packet-too-big
sequence 30 permit icmp any any hop-limit
sequence 40 permit icmp any any reassembly-timeout
sequence 50 permit icmp any any header
sequence 60 permit icmp any any next-header
sequence 70 permit icmp any any parameter-option
sequence 80 permit icmp any any echo-request
sequence 90 permit icmp any any echo-reply
sequence 100 permit icmp any any dhaad-request
sequence 110 permit icmp any any dhaad-reply
sequence 120 permit icmp any any mpd-solicitation
sequence 130 permit icmp any any mpd-advertisement
!
Nach diesen Korrekturen wäre dann soweit alles fehlerfrei.
Gut dann weis ich Bescheid , vielen Dank.
Kann man SPI auf den INterfaces auch noch einrichten oder macht man das nicht wegen der ZFW?
Wenn ja wie am Besten?
Was genau prüft die ZFW und was nicht?
Was ich mit herauskopieren meine ist dass ich weil ich die Logs automatisch welche von der Firewall immer mitkopiere weil sie zwischen der sh run ausgabe auch erschienen und ich deshalb dieses mitkopieren würde.
Kann man SPI auf den INterfaces auch noch einrichten oder macht man das nicht wegen der ZFW?
Wenn ja wie am Besten?
Was genau prüft die ZFW und was nicht?
Was ich mit herauskopieren meine ist dass ich weil ich die Logs automatisch welche von der Firewall immer mitkopiere weil sie zwischen der sh run ausgabe auch erschienen und ich deshalb dieses mitkopieren würde.
Wo willst du genau filtern?
Vor was soll dich die FW beschützen?
Diese Fragen musst du uns vorher beantworten.
Vor was soll dich die FW beschützen?
Diese Fragen musst du uns vorher beantworten.
1oder macht man das nicht wegen der ZFW?
Die ZFW ist eine vollständige SPI Firewall mit ALG und da du sie jetzt ja auch aktiv hast ist logischerweise auch SPI aktiv. Simple Logik ! Hier solltest du dringenst einmal dein Firewall KnowHow etwas verbessern.Was genau prüft die ZFW und was nicht?
Siehst du doch oben SELBER mit was du die Class Maps definiert hast !!! Lokal prüft sie mit "match protocol" http, https, dns, pop3s, imaps smtp, sip, sip-tls, rtsp, ftp, ftps, ssh und ntp per ALG. Was nicht diesen Protokollen entspricht wird über die globale TCP und UDP Inspection geprüft und zusätzlich ebenso ICMP.Also einfach mal selber auf deine Konfig sehen, da steht doch alles !!
show policy-map type inspect zone-pair <Zone_paar_name> zeigt dir genau an WAS die Firewall inspiziert. Und alle inspizierten Sessions siehst du mit sh policy-map type inspect zone-pair sessions !
Dort sollten die Counter nicht mehr auf "0" stehen wie oben !
weil sie zwischen der sh run ausgabe auch erschienen und ich deshalb dieses mitkopieren würde.
Nutze eine Telnet oder SSH Session aus dem lokalen LAN mit [ PuTTY] und aktiviere NICHT term mon. Dann werden die Log Messages unterdrückt. Auf der seriellen Konsole siehst du sie immer. Es sei denn du schaltest sie in der Konfig mit no logging console aus bzw. deaktivierst sie damit.Siehe dazu: https://blog.router-switch.com/2013/12/configure-logging-in-cisco-ios/
Zitat von @aqui:
...Lokal prüft sie mit "match protocol" http, https, dns, pop3s, imaps smtp, sip, sip-tls, rtsp, ftp, ftps, ssh und ntp per ALG. <-- mariocisco: kann man hier auch noch etwas hinzufügen oder nicht wenn ja was?
mmariocisco: Blöde Frage aber was ist genau der Unterschied -> Was nicht diesen Protokollen entspricht wird über die globale TCP und UDP Inspection geprüft und zusätzlich ebenso ICMP.
Kann man die Einstellungen ich sage mal hochschrauben so wie bei einer normalen Firewall wenn ja welche Einstellungen kann man noch anpassen? ( Steht hierzu auch noch etwas im manual oder in der Anleitung von cisco?
@Windows10Gegner ich möchte wissen welche Ports oder welche Protokolle nicht oder zu wenig geprüft werden.
Kann man die Einstellungen ich sage mal hochschrauben so wie bei einer normalen Firewall
Was ist für dich eine normale Firewallich möchte wissen welche Ports oder welche Protokolle nicht oder zu wenig geprüft werden.
Du musst dich mit den Protokollen befassen und dir überlegen, was du wie "sichern" willst.Ich sage, dass eine normale SPI-Firewall gegen Angriffe von außen meist ausreicht.
1
@Windows10Gegner
Also ist die ZFW ja besser als eine normale SPI Firewall weil diese ja in der ZFW auch enthalten ist oder?
Also ist die ZFW ja besser als eine normale SPI Firewall weil diese ja in der ZFW auch enthalten ist oder?
Also ist die ZFW ja besser als eine normale SPI Firewall weil diese ja in der ZFW auch enthalten ist oder?
Der Vorteil ist, dass man eben nicht für IPv4 und IPv6 getrennte Regeln braucht.Weißt du denn überhaupt, was SPI genau macht?
@ WIndows 10 Gegner
Spi prüft doch auf verdächten Verkehr oder?
Oder ist es so wie ich vorher geschrieben habe?
Wie ist denn eure SPi Firewall aufgebaut?
Spi prüft doch auf verdächten Verkehr oder?
Oder ist es so wie ich vorher geschrieben habe?
Wie ist denn eure SPi Firewall aufgebaut?
Zitat von @mariocisco:
Spi prüft doch auf verdächten Verkehr oder?Ok, du hast davon keine Ahnung, willst aber eine Firewall einrichten.
Ist ungefähr so, wie wenn du bei deiner ersten Fahrstunde gleich ein Autorennen fährst.
Wird in die Hose gehen.
Befasse dich mit Stateful package inspection und frage dann hier erneut, sonst hat das einfach keinen Sinn.
https://de.wikipedia.org/wiki/Stateful_Packet_Inspection
Lesen und verstehen !!! 😉
Lesen und verstehen !!! 😉
1
Ich schaue es mir noch einmal an und melde mich dann nochmal .
Also ist eine dynamische Firewall . Jedes Datenpaket wird einer bestimmte Session zugeordnet.
Wie habt ihr denn eure SPI Firewall aufgebaut? Wo setzt man an wenn man schon eine ZFW Fireall hat . wie ergänzen sich diese.
ich bräuchte ansetze damit ich selbst entscheiden kann wie ich weiter vorgehe.
Also ist eine dynamische Firewall . Jedes Datenpaket wird einer bestimmte Session zugeordnet.
Wie habt ihr denn eure SPI Firewall aufgebaut? Wo setzt man an wenn man schon eine ZFW Fireall hat . wie ergänzen sich diese.
ich bräuchte ansetze damit ich selbst entscheiden kann wie ich weiter vorgehe.
Den Terminus "dynamische Firewall" entspringt sicher deiner Phantasie, denn so einen Ausdruck gibt es in der Netzwerkwelt nicht.
Da muss man also nichts ergänzen.
Sie ist eine klassische Firewall vor dem Router wie es immer in millionenfachen Netzwerk Designs weltweit eingesetzt ist. Nur eben das diese Firewall kein separates externes Gerät ist sondern schlicht und einfach gleich in den Router zusätzlich mit eingebaut wurde. Quasi also 2 Geräte in einem.
Wenn du die sauber konfiguriert hast ist das also gut und mehr muss man dann auch nicht machen. 2 Firewalls wären ja auch Blödsinn. Du hast dann eine laufende SPI Firewall in deinem Netz und das damit perfekt und sicher geschützt. Punkt...
Was du jetzt mit deinem wirren "Ansätzen" und "wie ich weiter vorgehe..." meinst versteht keiner der Administratoren hier. Was genau willst du damit sagen und WO ist denn jetzt da noch ein Problem für dich ? Du hast ein lokales Netz, einen Router und eine wasserdichte Firewall davor mit der ZFW. Braucht man denn noch mehr in einem Netzwerk ?
Bzw. man kann dir nur so auf die Frage antworten: Du gehst dir einen Kaffee holen, entspannst dich, lehnst dich zurück und siehst deiner Firewall beim arbeiten zu !
Das wäre jetzt die weitere korrekte Vorgehensweise für dich !!!
Bzw. den Thread zu schliessen natürlich nicht zu vergessen: Wie kann ich einen Beitrag als gelöst markieren?
Wie habt ihr denn eure SPI Firewall aufgebaut?
Ganz genau so wie du oben. Um es für dich nochmal zu wiederholen: Die ZFW ist eine vollständige SPI Firewall !Da muss man also nichts ergänzen.
Sie ist eine klassische Firewall vor dem Router wie es immer in millionenfachen Netzwerk Designs weltweit eingesetzt ist. Nur eben das diese Firewall kein separates externes Gerät ist sondern schlicht und einfach gleich in den Router zusätzlich mit eingebaut wurde. Quasi also 2 Geräte in einem.
Wenn du die sauber konfiguriert hast ist das also gut und mehr muss man dann auch nicht machen. 2 Firewalls wären ja auch Blödsinn. Du hast dann eine laufende SPI Firewall in deinem Netz und das damit perfekt und sicher geschützt. Punkt...
Was du jetzt mit deinem wirren "Ansätzen" und "wie ich weiter vorgehe..." meinst versteht keiner der Administratoren hier. Was genau willst du damit sagen und WO ist denn jetzt da noch ein Problem für dich ? Du hast ein lokales Netz, einen Router und eine wasserdichte Firewall davor mit der ZFW. Braucht man denn noch mehr in einem Netzwerk ?
Bzw. man kann dir nur so auf die Frage antworten: Du gehst dir einen Kaffee holen, entspannst dich, lehnst dich zurück und siehst deiner Firewall beim arbeiten zu !
Das wäre jetzt die weitere korrekte Vorgehensweise für dich !!!
Bzw. den Thread zu schliessen natürlich nicht zu vergessen: Wie kann ich einen Beitrag als gelöst markieren?
Ok wenn ihr das sagt. dann schaue ich mir die unterlagen einmal an für die ZFW was ich ggf. noch ändern könnte und sage danke.
und sage danke.
Immer gerne ! Nichts zu danken ! 😊HIER findest du nochmal alle wichtigen Infos von Cisco zur ZFW Firewall:
https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/98628-z ...
