Wordo 11 Geschrieben 4. Mai 2006 Melden Teilen Geschrieben 4. Mai 2006 Dann hat aber die andere 836 das Problem in der Konfiguration. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 4. Mai 2006 Autor Melden Teilen Geschrieben 4. Mai 2006 poste in 1-2 stunden config Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 4. Mai 2006 Autor Melden Teilen Geschrieben 4. Mai 2006 Lübeck ! version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname shandy ! boot-start-marker boot-end-marker ! memory-size iomem 5 security authentication failure rate 3 log logging buffered 51200 debugging logging console critical enable secret xxxxxxxxxxxxxxxxxxxxxxxxx ! clock timezone PCTime 1 clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00 no aaa new-model ip subnet-zero no ip source-route ! ! ip dhcp excluded-address 192.168.1.1 ! ! ip tcp synwait-time 10 ip cef ip domain name IT-Blankensee.de no ip bootp server ip inspect name myfw cuseeme timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw realaudio timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw tftp timeout 30 ip inspect name myfw udp timeout 15 ip inspect name myfw tcp timeout 3600 ip inspect name myfw h323 timeout 3600 ip inspect name myfw http ip ips po max-events 100 ip ssh version 2 vpdn enable ! vpdn-group 1 request-dialin protocol pppoe ip mtu adjust ! vpdn-group 2 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 2 ! no ftp-server write-enable isdn switch-type basic-net3 ! ! username xxxxxxxxx username xxxxxxxxxx ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pringles address xxxxxxxx no crypto isakmp ccm ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto map SDM_CMAP_1 1 ipsec-isakmp description Tunnel xxxxxxxxx set peer xxxxxxxxxxxxx set transform-set ESP-3DES-SHA match address 100 ! ! ! interface Null0 no ip unreachables ! interface Ethernet0 description Drinnen!$FW_INSIDE$$ETH-LAN$ ip address 192.168.1.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip mtu 1262 ip nat inside ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1222 no cdp enable ! interface BRI0 description connected to T-Online ip address negotiated ip access-group 111 in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1452 ip nat outside ip inspect myfw in ip virtual-reassembly encapsulation ppp ip route-cache flow ip tcp adjust-mss 1412 dialer string 0191011 dialer hold-queue 10 dialer-group 2 isdn switch-type basic-net3 isdn answer1 4982860 no cdp enable ppp authentication pap callin ppp pap sent-username xxxxxxxxxx ppp ipcp dns request ppp ipcp wins request ! interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow load-interval 30 atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto pvc 1/32 encapsulation aal5snap pppoe-client dial-pool-number 1 ! ! interface FastEthernet1 duplex auto speed auto ! interface FastEthernet2 duplex auto speed auto ! interface FastEthernet3 duplex auto speed auto ! Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 4. Mai 2006 Autor Melden Teilen Geschrieben 4. Mai 2006 interface FastEthernet4 duplex auto speed 10 ! interface Virtual-Template2 ip unnumbered Ethernet0 no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow peer default ip address pool mypool ppp pfc local request ppp pfc remote apply ppp acfc local request ppp acfc remote apply ppp encrypt mppe 128 ppp authentication ms-chap-v2 ppp ipcp dns 192.168.1.34 ! interface Dialer1 description $FW_OUTSIDE$ ip address negotiated ip access-group 111 in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1456 ip nat outside ip inspect myfw out ip virtual-reassembly encapsulation ppp ip route-cache flow ip tcp adjust-mss 1416 dialer pool 1 dialer remote-name redback dialer-group 1 ppp authentication pap chap callin ppp chap hostname xxxxxxxx ppp chap password xxxxxxxx ppp ipcp dns request ppp ipcp wins request crypto map SDM_CMAP_1 crypto ipsec df-bit clear ! ip local pool mypool 192.168.2.1 192.168.2.254 ip local pool ippool 192.168.255.1 192.168.255.254 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 194.25.134.0 255.255.255.0 BRI0 ! ip http server ip http access-class 2 no ip http secure-server ! ip nat inside source route-map bri interface BRI0 overload ip nat inside source route-map dial interface Dialer1 overload ! Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 4. Mai 2006 Autor Melden Teilen Geschrieben 4. Mai 2006 logging trap debugging logging 192.168.1.2 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 2 remark HTTP Access-class list access-list 2 remark SDM_ACL Category=1 access-list 2 permit 192.168.1.0 0.0.0.255 access-list 2 deny any access-list 23 permit 192.168.1.0 0.0.0.255 access-list 100 remark SDM_ACL Category=4 access-list 100 remark IPSec Rule access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 access-list 100 remark SDM_ACL Category=4 access-list 100 remark IPSec Rule access-list 101 remark SDM_ACL Category=4 access-list 101 remark IPSec Rule access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 access-list 102 permit ip 192.168.1.0 0.0.0.255 any access-list 103 permit tcp any any eq pop3 access-list 103 permit tcp any any eq smtp access-list 104 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 access-list 105 remark SDM_ACL Category=16 access-list 105 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 access-list 110 remark IPSec Rule access-list 110 remark SDM_ACL Category=18 access-list 110 remark IPSec Rule access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 access-list 110 permit ip 192.168.1.0 0.0.0.255 any access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 110 remark NAT access-list 110 remark SDM_ACL Category=18 access-list 110 remark IPSec Rule access-list 111 permit icmp any any administratively-prohibited access-list 111 permit icmp any any echo access-list 111 permit icmp any any echo-reply access-list 111 permit icmp any any packet-too-big access-list 111 permit icmp any any time-exceeded access-list 111 permit icmp any any traceroute access-list 111 permit icmp any any unreachable access-list 111 permit udp any eq bootps any eq bootpc access-list 111 permit udp any eq bootps any eq bootps access-list 111 permit udp any eq domain any access-list 111 permit esp any any access-list 111 permit tcp any any established access-list 111 permit tcp any any eq 1723 access-list 111 permit udp any any eq isakmp access-list 111 permit udp any any eq 10000 access-list 111 permit udp any any eq netbios-ns access-list 111 permit udp any any eq netbios-dgm access-list 111 permit gre any any access-list 111 deny ip any any access-list 111 permit tcp any any eq 22 access-list 111 permit udp any any eq non500-isakmp access-list 111 permit ahp any any access-list 111 permit tcp any any eq 1023 dialer-list 1 protocol ip permit dialer-list 2 protocol ip list 103 no cdp run ! route-map dial permit 10 match ip address 110 match interface Dialer1 ! route-map bri permit 10 match ip address 110 match interface BRI0 ! ! control-plane ! banner login Welcome to SuSE Linux 8.0 (i386) - Kernel 2.4.18 (0). ! line con 0 login local no modem enable transport output telnet stopbits 1 line aux 0 login local transport output telnet line vty 0 4 login local length 0 transport preferred ssh transport input ssh transport output ssh ! scheduler max-task-time 5000 scheduler interval 500 no rcapi server ! ! end Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 4. Mai 2006 Melden Teilen Geschrieben 4. Mai 2006 Also ich wuerd sagen du stellt die MTU wieder zurueck und tust in die 111 ACL ICMP temporaer komplett freischalten .. mal schaun was passiert Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 5. Mai 2006 Autor Melden Teilen Geschrieben 5. Mai 2006 zurück auf was? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 5. Mai 2006 Melden Teilen Geschrieben 5. Mai 2006 Auf ETH0 nimmst den Befehl raus, dann sollte default 1500 drin sein und machst den adjust auf 1452, und beim Dialer die MTU auf 1492 und den adjust auch auf 1452. Wenn du dann noch Probleme hast (z.B. RDP), den adjust auf 1300. Hatte ich bisher keine negativen Erfahrungen gemacht. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 5. Mai 2006 Autor Melden Teilen Geschrieben 5. Mai 2006 Provider sagt MTK 1456 Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 5. Mai 2006 Melden Teilen Geschrieben 5. Mai 2006 Ok, dann stell das so ein, kommt natuerlich immer auf den Provider an. Bei mir kann ich einstellen was ich will, weil der LAC den maximalen Wert eh fest vorgibt. Auf ETH0 laesst es aber draussen. Wenn ICMP erlaubt ist dann ist das kein Problem. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 5. Mai 2006 Autor Melden Teilen Geschrieben 5. Mai 2006 tolles Forum, ich schreib MTK und jeder weiß, was ich meine :) lübeck Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) Kiel Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 5. Mai 2006 Melden Teilen Geschrieben 5. Mai 2006 Und diese Fehlermeldung kommt immer noch? Post mal "sh logg" und paar "sh crypto blabla's", evtl noch n debug auf die ACL. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 8. Mai 2006 Autor Melden Teilen Geschrieben 8. Mai 2006 In dem begrenzen Bereich, in dem ich das verstehe, seh ich so keinen Fehler, aber ich musste dieses WE auf eine Konfirmation und hab morgen Ausbildungsabschlussprüfung und mach danach weiter... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.