Sternenkind 11 Geschrieben 30. April 2006 Melden Teilen Geschrieben 30. April 2006 Guten Morgen! Ich ärger mich seit paar Tagen wieder über mein VPN; weils schnell gehen sollte und ich nciht allzu viel Übung habe, habe ich SDM zum Erstellen benutzt... (Create Site to site) Ich bekomme beim Testen als Antwort successful, tunnel is up Failure reasons: A ping with data size of this VPN interface MTU size and 'Do not Fragment' bit set to the other end VPN device failing. This may happen is there is a lesser MTU network which drops the 'Do not fragment' packets 1) Call your ISP to resolve this issue (der wird bestimmt sagen, für 1,50/Monat mit fester IP gibts keinen Support) 2) Issue the commant 'crypto ipsec df-bit clear' under the VPN interface to avoid packets drop due to fragmentation (da ja kein extra Tunnel interface oder sonstwas vom SDM erstellt wurde, hab ich gedacht, ob er das Dialer interface meint, da brachte es jedenfalls nichts) Ich habe auf beiden Seiten T-DSL 1000 mit getacom als Provider mit fester IP Auf dem Dialer1 habe ich ip mtu 1492 ip tcp adjust-mss 1452 und auf dem Ethernet0 ip mtu 1262 ip tcp adjust-mss 1222 eingefügt sowie mit Dr.TCP auf allen Netzwerkkarten die MTUs auf 1262 geändert... Jetzt denke ich *zensiert*, was mach ich nur? Hat jemand vielleicht einen Tip für mich? Anzumerken wäre, dass es sogar mit Remotedesktop und dateien verschieben geklappt hat, bis ich die Config in Lübeck optimieren wollte - da war es noch von früher auf Dynvpn konfiguriert und jetzt ist es statisch; die Kieler konfig, mit der es ging, ist noch original Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 2. Mai 2006 Melden Teilen Geschrieben 2. Mai 2006 Wo ist denn dein Problem? Was geht nicht? Beim Ping kannst du ja die Paketgroesse selbst angeben, dann machste mal weniger und schaust obs geht. Und wo liegt der Vorteil drin die MTU auf 1262 zu legen? Dieser "Dr." TCP scheint mir ein Scharlatan zu sein :D :D :D Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 2. Mai 2006 Melden Teilen Geschrieben 2. Mai 2006 ... Dieser "Dr." TCP scheint mir ein Scharlatan zu sein :D :D :D :) Hi, unter XP ist das aber sonst nicht so einfach. Mann muss selber in der Registry editieren. Die Interfaces stehen unter einem Registrierungsschlüssel und da lässt sich die MTU einstellen. Ich kenn sonst kein anderes Tool mit dem das relativ einfach geht. Anschließen booten scheint auch nötig zu sein. Fu Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 2. Mai 2006 Melden Teilen Geschrieben 2. Mai 2006 Aber warum an allen Clients das aendern? Dafuer gibts adjust-mss und ICMP. Vielleicht ist ja die ICMP-Nachricht auf der Cisco geblockt, oder es fehlt ne Route zum Client. So Sachen hatte ich schon mal mit Checkpoints z.B. Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 2. Mai 2006 Melden Teilen Geschrieben 2. Mai 2006 Aber warum an allen Clients das aendern? Dafuer gibts adjust-mss und ICMP. Vielleicht ist ja die ICMP-Nachricht auf der Cisco geblockt, oder es fehlt ne Route zum Client. So Sachen hatte ich schon mal mit Checkpoints z.B. Ich hatte schon mal das Problem mit einen XP Checkpoint (SecuRemote) VPN Client. Die MTU mußte lokal geändert werden. Das System hat es nicht hinbekommen das auszuhandeln. Nach dem ändern klappt es Problemlos. Fu Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 2. Mai 2006 Melden Teilen Geschrieben 2. Mai 2006 Hio nochmal, ich wollte grad noch hinzufügen. Das ist ja immer eher ein lokales Anbindungsproblem. Wenn z.B. der Zugangsrouter, das kann ja irgendein soho Router sein, das nicht richtig aushandeln kann, oder man an dem keinen Wert festlegen kann. Dann macht es auch Sinn das am System selber festzulegen. Fu Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 2. Mai 2006 Autor Melden Teilen Geschrieben 2. Mai 2006 Hmm... ich glaub, ich poste doch mal Configs; pingen geht nämlich gar nicht, egal welche MTUs ich angebe... Hab sie bloß nicht hier... Heute Abend Ich weiß nicht, woran das liegen mag, die crypto und NAT Einstellungen sollten Stimmen und der sagt ja auch im SDM dass ein IPsec up ist :( Intern gibt es keine Firewalls Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 3. Mai 2006 Autor Melden Teilen Geschrieben 3. Mai 2006 Schonmal Kiel ! version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname sarah ! boot-start-marker boot-end-marker ! memory-size iomem 5 security authentication failure rate 3 log logging buffered 51200 debugging logging console critical enable secret xxxxxxxxxxxxxxxxx ! no aaa new-model ip subnet-zero no ip source-route ! ! ip dhcp excluded-address 192.168.3.1 ! ip dhcp pool standard-clients network 192.168.3.0 255.255.255.0 dns-server 192.168.3.1 192.168.1.34 default-router 192.168.3.1 ! ! ip tcp synwait-time 10 ip cef ip domain name IT-Blankensee.de no ip bootp server ip inspect name myfw cuseeme timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw realaudio timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw tftp timeout 30 ip inspect name myfw udp timeout 15 ip inspect name myfw tcp timeout 3600 ip inspect name myfw h323 timeout 3600 ip inspect name myfw http ip ips po max-events 100 ip ssh version 2 vpdn enable ! vpdn-group 1 request-dialin protocol pppoe ip mtu adjust ! vpdn-group 2 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 2 ! no ftp-server write-enable isdn switch-type basic-net3 ! ! username xxxxxxxxx privilege 15 password xxxxxxxxxxxx username xxxxxxxxxxxxxxx privilege 15 password xxxxxxxxxxxxxxxx ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pringles address xxxxxxxxx no crypto isakmp ccm ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto map SDM_CMAP_1 1 ipsec-isakmp description Tunnel toxxxxxxxxxx set peer xxxxxxxxxxxxxxxxx set transform-set ESP-3DES-SHA match address 100 ! ! ! interface Null0 no ip unreachables ! interface Ethernet0 description innen$FW_INSIDE$ ip address 192.168.3.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip mtu 1262 ip nat inside ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1222 no cdp enable ! interface BRI0 no ip address no ip redirects no ip unreachables no ip proxy-arp encapsulation ppp ip route-cache flow shutdown dialer pool-member 1 isdn switch-type basic-net3 ! interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow load-interval 30 atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto pvc 1/32 encapsulation aal5snap pppoe-client dial-pool-number 1 ! ! interface FastEthernet1 duplex auto speed auto ! interface FastEthernet2 duplex auto speed auto ! interface FastEthernet3 duplex auto speed auto ! Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 3. Mai 2006 Autor Melden Teilen Geschrieben 3. Mai 2006 interface FastEthernet4 duplex auto speed auto ! interface Virtual-Template2 ip unnumbered Ethernet0 no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow peer default ip address pool mypool ppp pfc local request ppp pfc remote apply ppp acfc local request ppp acfc remote apply ppp encrypt mppe 128 ppp authentication ms-chap-v2 ppp ipcp dns 192.168.1.34 ! interface Dialer1 description connected to T-Online$FW_OUTSIDE$ ip address negotiated ip access-group 111 in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip nat outside ip inspect myfw out ip virtual-reassembly encapsulation ppp ip route-cache flow ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname xxxxxxxxx ppp chap password xxxxxxx ppp ipcp dns request ppp ipcp wins request crypto map SDM_CMAP_1 ! ip local pool mypool 192.168.4.1 192.168.4.254 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server ip http access-class 1 no ip http secure-server ! ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload ! logging trap debugging logging 192.168.3.2 access-list 1 remark HTTP Access-class list access-list 1 remark SDM_ACL Category=1 access-list 1 permit 192.168.3.0 0.0.0.255 access-list 1 deny any access-list 23 permit 192.168.3.0 0.0.0.255 access-list 100 remark SDM_ACL Category=4 access-list 100 remark IPSec Rule access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 102 remark SDM_ACL Category=16 access-list 102 remark IPSec Rule access-list 102 deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 102 permit ip 192.168.3.0 0.0.0.255 any access-list 103 permit tcp any any eq pop3 access-list 103 permit tcp any any eq smtp access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 111 permit icmp any any administratively-prohibited access-list 111 permit icmp any any echo access-list 111 permit icmp any any echo-reply access-list 111 permit icmp any any packet-too-big access-list 111 permit icmp any any time-exceeded access-list 111 permit icmp any any traceroute access-list 111 permit icmp any any unreachable access-list 111 permit udp any eq bootps any eq bootpc access-list 111 permit udp any eq bootps any eq bootps access-list 111 permit udp any eq domain any access-list 111 permit esp any any access-list 111 permit tcp any any established access-list 111 permit tcp any any eq 1723 access-list 111 permit tcp any any eq 139 access-list 111 permit udp any any eq isakmp access-list 111 permit udp any any eq 10000 access-list 111 permit udp any any eq netbios-ns access-list 111 permit udp any any eq netbios-dgm access-list 111 permit gre any any access-list 111 deny ip any any dialer-list 1 protocol ip permit no cdp run ! route-map SDM_RMAP_1 permit 1 match ip address 102 ! ! control-plane ! banner login CWelcome to SuSE Linux 8.0 (i386) - Kernel 2.4.18 (0). ! line con 0 login local no modem enable transport output telnet stopbits 1 line aux 0 login local transport output telnet line vty 0 4 login local length 0 transport input telnet ssh ! scheduler max-task-time 5000 scheduler interval 500 no rcapi server ! ! end Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 3. Mai 2006 Melden Teilen Geschrieben 3. Mai 2006 Und von wo nach wo geht der Ping jetzt nicht und von welchem Router kommt der Fehler? Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 4. Mai 2006 Autor Melden Teilen Geschrieben 4. Mai 2006 beide... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 4. Mai 2006 Melden Teilen Geschrieben 4. Mai 2006 SRC IP und DST IP (Ping) waeren schon nicht schlecht ... Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 4. Mai 2006 Autor Melden Teilen Geschrieben 4. Mai 2006 192.168.1.1 zu 192.168.3.1 gibt U.U.U 192.168.3.1 zu 192.168.1.1 gibt ..... pinge also 836er zu 836er Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 4. Mai 2006 Melden Teilen Geschrieben 4. Mai 2006 Dann kommt deine Fehlermeldung von oben bei der 1?! Poste doch mal die Config von der 3, wenns nicht Kiel schon ist. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 4. Mai 2006 Autor Melden Teilen Geschrieben 4. Mai 2006 Kiel ist 3 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.