shoty

Danke für die schnelle Antwort. Hab bis jetzt nur diese Seite hier von Cisco gefunden: Cisco IOS IP SLAs Configuration Guide, Release 12.4 - IP SLAs--Analyzing Service Levels Using the VoIP Jitter Operation [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems kennt jemand auch eine gute Seite auf deutsch, wo das erklärt wird?

Hallo Leute, ich möchte gerne unsere VoIP Gateways (Cisco 2801) mit IP SLA überwachen. Ich habe folgendes eingegeben: ip sla 12 type jitter dest-ipaddr 10.90.90.xx dest-port 16001 codec g711alaw owner name frequency 240 exit ip sla schedule 12 life forever start-time now Erste Frage: welche IP muss ich bei "dest-ipaddr" eintragen ?? Ich hab jetzt die meines Network Monitoring tools eingetragen, ist das richtig??? Zweite Frage: Hab ich vielleicht irgendetwas vergessen an Einstellungen?? so sieht die das Ergebnis aus, wenn ich "sh ip sla stat" eingebe: Round Trip Time (RTT) for Index 12 Latest RTT: NoConnection/Busy/Timeout Latest operation start time: *14:41:18.522 MET Wed Feb 24 2010 Latest operation return code: No connection RTT Values: Number Of RTT: 0 RTT Min/Avg/Max: 0/0/0 milliseconds Latency one-way time: Number of Latency one-way Samples: 0 Source to Destination Latency one way Min/Avg/Max: 0/0/0 milliseconds Destination to Source Latency one way Min/Avg/Max: 0/0/0 milliseconds Jitter Time: Number of SD Jitter Samples: 0 Number of DS Jitter Samples: 0 Source to Destination Jitter Min/Avg/Max: 0/0/0 milliseconds Destination to Source Jitter Min/Avg/Max: 0/0/0 milliseconds Packet Loss Values: Loss Source to Destination: 0 Loss Destination to Source: 0 Out Of Sequence: 0 Tail Drop: 0 Packet Late Arrival: 0 Packet Skipped: 0 Voice Score Values: Calculated Planning Impairment Factor (ICPIF): 0 Mean Opinion Score (MOS): 0 Number of successes: 0 Number of failures: 9 Operation time to live: Forever Hoffe es kann mir jemand helfen, da ich noch ganz frisch auf dem VoIP Gebiet bin! Achja, dritte Frage: Was ist überhaupt sinnvoll zu überwachen??

Da steht drin: Aktion: Verweigerte Verbindung Regel: Standardregel Quellnetz: VPN Clients Zielnetzwerk: Intern er zeigt aber den Benutzer an, den ich in der Gruppe als Berechtigung hinzugefügt habe, sieht aus als ob er einfach die Regel überspringen würde! Wenn ich "Alle Benutzer" in die Regel einfüge, nimmt er auch die Regel, die ich dafür angelegt habe!! Ich verstehs nicht! :confused:

Hallo Leute, ich hab hier ein Problem mit meinem ISA 2006 Server mit der VPN Einwahl. Der Server macht eine Berechtigungsabfrage über einen Radius Server, das funktioniert auch alles wunderbar. Ich hab VPN eingerichtet, als "Von" "VPN Clients" und "Bis" "Interne Netz" und als "Bedingung" bzw. Gruppe/User "Alle User", da klappt die Einwahl und auch der Zugriff auf die Server. Wenn ich jetzt aber als "Bedingung" eine Gruppe oder User aus dem AD hinzufüge, klappt zwar noch die Einwahl, ich hab aber keine Berechtigung auf irgendetwas zuzugreifen, nicht mal Ping geht!: Standardregel Verweigerte Verbindung! Wieso klappt das nur mit "Alle User" ??? Mein Ziel ist bestimmte User auch nur auf bestimmte Server zu lassen, oder ist das irgendwie anders möglich??? Danke...

d.h. das einzige, was dieser Befehl bewirkt ist, dass der Trunk nicht mehr über das default VLAN 1, sondern jetzt über das VLAN 10 ausgehandelt wird. Ist das sicherheitstechnisch besser bzw. sinnvoller?

Hallo Leute, ich bin hier gerade am überprüfen eines Switches und bin bei mehreren Ports auf die Einstellung "switchport trunk native vlan xx" gestoßen. Kann mir jemand sagen, was dieser Befehl bewirkt!? z.B.: interface GigabitEthernet4/44 switchport switchport access vlan 30 switchport trunk native vlan 10 switchport trunk allowed vlan 10,20,30 switchport mode access no ip address mls qos trust dscp oder: interface GigabitEthernet4/45 switchport switchport access vlan 10 switchport trunk native vlan 10 switchport mode access no ip address mls qos trust dscp channel-group 2 mode on Danke...

Alle guten Dinge sind 3... hier noch mal als Link ;) Free Text Host - The Anonymous Text Hosting Service

--Übrtragung funktioniert-- ATX-Abfrage von A an B 2009-08-07 13:47:55 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.ETOutput/etisoutput.asmx - 80 - 62.xxx.xx.xx HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+1.1.4322.2407) - - 192.168.xxx.xx 200 0 0 628 1000 2093 RECEIVED von B an A 2009-08-07 13:47:57 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109 2009-08-07 13:47:59 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 619 880 2140 Vier erfolgreiche Verschickungen von B an A 2009-08-07 13:48:06 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109 2009-08-07 13:48:06 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 620 1776 93 2009-08-07 13:48:13 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109 2009-08-07 13:48:13 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 620 1776 62 2009-08-07 13:48:21 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109 2009-08-07 13:48:21 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 620 1660 93 2009-08-07 13:48:28 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109 2009-08-07 13:48:28 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 620 3797 78 LOADED von B an A 2009-08-07 13:48:29 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109 2009-08-07 13:48:29 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 619 878 765

So hier das Log: :) #Software: Microsoft Internet Information Services 6.0 #Version: 1.0 #Date: 2009-08-07 00:04:39 #Fields: date time s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken --Übertragung funktioniert nicht-- ATX-Abfrage von A an B 2009-08-07 13:45:08 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.ETOutput/etisoutput.asmx - 80 - 62.xxx.xx.xx HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+1.1.4322.2407) - - 192.168.xxx.xx 200 0 0 628 1000 2046 RECEIVED von B an A 2009-08-07 13:45:09 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 93 2009-08-07 13:45:09 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 619 880 499 Vier vergebliche Verschickungen von ET an DSO 2009-08-07 13:45:17 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 93 2009-08-07 13:45:54 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 93 2009-08-07 13:46:31 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 93 2009-08-07 13:47:10 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 1234 LOADED von B an A 2009-08-07 13:47:41 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109 2009-08-07 13:47:43 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 619 878 1406 --------------------------------------------------------------------------

Hi Brainstorm, kannst du mir sagen wie ich das mache? :confused: Grüße

Hi Leute, ich habe ein Problem mit einem Datenabruf eines HTTP Transfers in unserem Netz über einen VPN Tunnel. Das Problem tritt sporadisch auf, manchmal klappt der Transfer, manchmal kommt nur die hälfte an und zwischendrin fehlen Pakete! Hier der Log Eintrag von unserem IIS, ich kann da keinen fehler feststellen, vielleicht könnt ihr mir helfen, siehe TXT File: Danke

Hab mit der Telekom gesprochen, die sagen, dass die Verbindung getestet wurde und die Router auch auf MTU Size 1500 eingestellt sind. Leider sehe ich ja bei einem VPN Tunnel keine Hops dazwischen, sondern nur die Firewall, und die sind beide auch auf 1500 eingestellt.

Hallo Leute, ich hab da mal ein Problem :confused: ! Also, wir haben eine VPN Verbindung nach Holland, über diese Verbindung werden Daten über HTTP übertragen, das hat auch bis letzte Woche Donnerstag alles wunderbar funktioniert, nun ist es aber so, das mal einige Daten ankommen, einige wiederum nicht, aber das passiert ganz sporadisch, mal geht es mal nicht. Wenn ich den Server in Holland anpinge kommt manchmal ein Timeout dazwischen, ich weiss aber nicht ob das normal ist?! Im Anhang in der Textdatei ist ein Auszug der Verbindung die mit Wireshark gesnifft wurde! Wir dachten auch erst es sei ein MTU Size Problem, aber beide Seiten sind auf MTU Size 1500 eingestellt!! Hoffe mir kann jemand helfen, oder einen Tip geben.... Wireshark.txt

Hab meine PIX neu gestartet und sie da ..... es funktioniert wieder?!?!:suspect: naja bin mal gespannt für wie lange! :confused:

Normalerweise komm ich ja von der Haupstelle auch auf den Router drauf, nur leider jetzt nicht mehr!! Beim Debugging kommt auch nichts auffälliges, der baut die Verbindung ohne Probleme auf, nur Bytes Rx bleibt auf 0 !!!

hab leider keinen Zugriff auf den Router, wenn aber gar nichts mehr klappt, werde ich wohl morgen früh mal hinfahren müssen, ist nicht gerade um die Ecke!! ssh Outside Interface hab ich probiert, keine Änderung. ich bin der einzige, der Zugriff auf die Router hat, von daher ist es eigentlich nicht möglich, das da was geändert wurde! Das komische ist ja, das die Verbindung eigentlich steht, ich aber kein Zugriff habe!!

Hi Leute, ich hab ein Probblem mit meinem VPN Tunnel, seit letzte Woche Dienstag hab ich keine Verbindung mehr zu meiner Niederlassung. Auf der einen Seite befindet sich eine PIX 525: So wie es aussieht ist der Tunnel aber aufgebaut, s.u. sh crypto isakmp sa 20 IKE Peer: 87.2xxx.xxx.xxx Type : L2L Role : responder Rekey : no State : MM_ACTIVE sh crypto ipsec sa peer 87.2xx.xxx.xxx peer address: 87.2xx.xxx.xxx Crypto map tag: outside_map, seq num: 75, local addr: 145.xxx.xxx.xxx access-list outside_cryptomap_75 permit ip any 10.24.2.48 255.255.255.240 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (10.24.2.48/255.255.255.240/0/0) current_peer: 87.2xx.xxx.xxx #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 2649, #pkts decrypt: 2649, #pkts verify: 2649 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 145.xxx.xxx.xxx, remote crypto endpt.: 87.2xx.xxx.xxx path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: D4003F2C inbound esp sas: spi: 0xAD612A18 (2908826136) transform: esp-3des esp-md5-hmac in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 5717, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274814/24892) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0xD4003F2C (3556785964) transform: esp-3des esp-md5-hmac in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 5717, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4275000/24889) IV size: 8 bytes replay detection support: Y Auf der anderen Seite befindet sich ein Cisco 1800 Series Router. Die Verbindung steht auch, wenn ich aber unter Monitoring schaue, zeigt er unter Bytes Tx: 128738 an und unter Bytes Rx: 0 !!!! Ich kann auch nichts anpingen auf der anderen Seite. Ein Router neustart wurde schon durchgeführt! Hat sonst noch jemand eine Idee, woran das liegen kann???Es wurde nichts verändert! Vielen Dank nette Grüße Dennis

hi blackbox, danke für die schnelle antwort. Das würde aber heißen, mit Version 7.1(2), welche ich auf meiner PIX 525 installiert habe, müsste es funktionieren oder?? Muss ich dazu noch einen bestimmten befehl dann eingeben, oder reicht eine einfache Translation Exemption Rule, wie z.B.: access-list inside_nat0_outbound extended permit ip any 10.24.x.xx 255.255.255.248 dank dir...

Hi Leute, ich hab ein Problem, und zwar, wenn ich mich mit meinem VPN Client auf meine PIX anmelde, kann ich nicht von diesem VPN Client auf meine Site to Site VPN Verbindungen zugreifen, ich kann diese nicht mal anpingen! Ich hab gelesen, das man nicht von dem Interface von wo man kommt wieder raus kann, ist das richtig?? Da muss es doch einen Trick geben oder?? Danke für eure Hilfe... gruß Shoty

Mit dem Packet Tracer zeigt er mir die Fehlermeldung: (rpf-violated) Reverse-path verify failed Das Komische ist aber, von der Firewall aus kann ich den Client (10.24.3.10) anpingen und von dem Client kann ich auch das Interface 10.99.0.1 anpingen, nur alles was dahinter ist z.B. 10.99.0.8 bekomme ich keine Antwort!:mad:

wie sollte die Route dann ausschauen?? Und beim Statischen NAT funktionierts ja auch ohne was an den Routen zu ändern! :confused: :cry:

hi Blackbox.... danke für die schnelle Antwort.... hab die Sache mal mit einer NAT0 Regel getestet, leider kein Erfolg! eigentlich sieht das Routing so aus: (Ich hatte nur nicht so viel Zeichen zum erstellen meiner Anfrage:() route NLs 10.0.0.0 255.0.0.0 10.99.1.2 1 route GlobalMP 10.0.9.17 255.255.255.255 10.24.0.5 1 route GlobalMP 10.13.16.0 255.255.255.0 10.24.0.5 1 route GlobalMP 10.13.17.0 255.255.255.0 10.24.0.5 1 route GlobalMP 10.13.18.0 255.255.255.0 10.24.0.5 1 route GlobalMP 10.13.22.40 255.255.255.255 10.24.0.5 1 route GlobalMP 10.13.22.41 255.255.255.255 10.24.0.5 1 route GlobalMP 10.13.22.47 255.255.255.255 10.24.0.5 1 route GlobalMP 10.13.22.48 255.255.255.255 10.24.0.5 1 route GlobalMP 10.13.22.49 255.255.255.255 10.24.0.5 1 route GlobalMP 10.14.2.0 255.255.255.0 10.24.0.5 1 route GlobalMP 10.14.5.0 255.255.255.0 10.24.0.5 1 route GlobalMP 10.14.6.33 255.255.255.255 10.24.0.5 1 route GlobalMP 10.14.33.0 255.255.255.0 10.24.0.5 1 route GlobalMP 10.15.6.0 255.255.255.0 10.24.0.5 1 route GlobalMP 10.19.111.0 255.255.255.0 10.24.0.5 1 route NLs 10.30.1.0 255.255.255.192 10.99.1.5 1 route NLs 10.30.2.0 255.255.255.192 10.99.1.5 1 route NLs 10.30.5.0 255.255.255.192 10.99.1.5 1 route NLs 10.30.6.0 255.255.255.192 10.99.1.5 1 route NLs 10.30.7.0 255.255.255.192 10.99.1.5 1 route NLs 10.30.10.0 255.255.255.192 10.99.1.5 1 route NLs 10.30.52.0 255.255.255.0 10.99.1.5 1 route NLs 10.30.104.0 255.255.255.192 10.99.1.5 1 route NLs 10.90.9.0 255.255.255.192 10.99.1.5 1 route NLs 10.90.85.0 255.255.255.192 10.99.1.5 1 route NLs 10.90.86.0 255.255.255.192 10.99.1.5 1 route NLs 10.90.94.0 255.255.255.192 10.99.1.5 1 route NLs 10.90.97.0 255.255.255.192 10.99.1.5 1 route NLs 10.90.98.0 255.255.255.192 10.99.1.5 1 route NLs 10.91.2.0 255.255.255.192 10.99.1.5 1 route GlobalMP 10.99.2.0 255.255.255.0 10.24.0.5 1 route GlobalMP 10.149.10.0 255.255.255.0 10.24.0.5 1 route GlobalMP 10.151.0.0 255.255.0.0 10.24.0.5 1 route GlobalMP 10.152.4.0 255.255.255.0 10.24.0.5 1 route GlobalMP 10.152.5.0 255.255.255.0 10.24.0.5 1 route GlobalMP 10.152.104.44 255.255.255.255 10.24.0.5 1 route GlobalMP 10.153.0.0 255.255.255.0 10.24.0.5 1 route DRC_SRV_Inside 192.168.0.0 255.255.0.0 10.99.0.8 1 route Outside 0.0.0.0 0.0.0.0 212.xxx.xxx.xxx 1 Ich denke aber nicht, das es am Routing liegt, das komische ist, wenn ich eine Statische NAT Regel anlege: static (Outside,DRC_SRV_Inside) interface 10.24.3.10 netmask 255.255.255.255 tcp 0 0 udp 0 im ASDM kommt dabei diese Fehlermeldung: [WARNING] static (Outside,DRC_SRV_Inside) interface 10.24.3.10 netmask 255.255.255.255 tcp 0 0 udp 0 All traffic destined to the IP address of the DRC_SRV_Inside interface is being redirected. WARNING: Users will not be able to access any service enabled on the DRC_SRV_Inside interface. aber der Ping funktioniert dann!!!:confused:

Hi, ich versuche hier gerade an meiner ASA VPN einzurichten, das hat auch alles wunderbar geklappt! Ich kann mich mit meinem VPN Client an der Firewall anmelden und bekomme auch eine IP: 10.24.3.10! Wenn ich aber nun eine Interne Adresse (10.99.0.8) anpingen möchte, bekomme ich immer die Fehlermeldung: portmap translation creation failed for udp src Outside:10.24.3.10/137 dst NLs:10.24.3.255/137 portmap translation creation failed for icmp src Outside:10.24.3.10 dst DRC_SRV_Inside:10.99.0.8 (type 8, code 0) Hier meine Konfig: ASA Version 8.0(4)3 same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list DRC_Server_access_in extended permit ip any any log warnings access-list NLs_access_in extended permit ip any any log warnings access-list BT_access_in extended permit icmp any any log warnings access-list DRC_SRV_Inside_nat0_outbound extended permit ip any 10.99.1.0 255.25 5.255.240 access-list DRC_SRV_Inside_nat0_outbound extended permit ip any 10.24.3.0 255.25 5.255.0 access-list Outside_access_in extended permit icmp any any log warnings pager lines 24 mtu Outside 1500 mtu GlobalMP 1500 mtu NLs 1500 mtu DRC_SRV_Inside 1500 ip local pool VPNPool 10.24.3.10-10.24.3.254 mask 255.255.255.0 ip verify reverse-path interface Outside ip verify reverse-path interface GlobalMP ip verify reverse-path interface NLs ip verify reverse-path interface DRC_SRV_Inside icmp unreachable rate-limit 1 burst-size 1 arp timeout 14400 global (Outside) 1 interface global (GlobalMP) 1 interface nat (Outside) 1 10.24.3.0 255.255.255.0 outside nat (DRC_SRV_Inside) 0 access-list DRC_SRV_Inside_nat0_outbound nat (DRC_SRV_Inside) 1 0.0.0.0 0.0.0.0 access-group Outside_access_in in interface Outside access-group BT_access_in in interface GlobalMP access-group NLs_access_in in interface NLs access-group DRC_Server_access_in in interface DRC_SRV_Inside route Outside 0.0.0.0 0.0.0.0 212.xxx.xxx.xxx 1 route NLs 10.0.0.0 255.0.0.0 10.99.1.2 1 route DRC_SRV_Inside 192.168.0.0 255.255.0.0 10.99.0.8 1 dynamic-access-policy-record DfltAccessPolicy crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map Outside_dyn_map 20 set pfs crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA crypto dynamic-map Outside_dyn_map 20 set security-association lifetime seconds 28800 crypto dynamic-map Outside_dyn_map 20 set security-association lifetime kilobyte s 4608000 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128 -SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256 -MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association life time seconds 28800 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association life time kilobytes 4608000 crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map crypto map Outside_map interface Outside crypto isakmp enable Outside crypto isakmp policy 10 X crypto isakmp ipsec-over-tcp port 10000 telnet timeout 30 ssh timeout 5 console timeout 0 e-rate 200 group-policy xxxxx internal group-policy xxxxx attributes dns-server value 10.99.0.20 192.168.250.3 vpn-tunnel-protocol IPSec svc ip-comp enable re-xauth enable group-lock value xxxxxxxx pfs enable default-domain value de.xxxxxxxxx.com vpn-group-policy xxxxxxx tunnel-group xxxxxxx type remote-access tunnel-group xxxxxxx general-attributes address-pool VPNPool default-group-policy xxxxxxx tunnel-group xxxxxxx ipsec-attributes pre-shared-key xxxxxxx ! class-map global-class match default-inspection-traffic ! ! policy-map global-policy class global-class inspect ftp inspect icmp ! service-policy global-policy global : end ------- Ich hoffe es kann mir jemand helfen.... THX:D

Schwer zu sagen, es passiert bei mehreren Personen, ist schwierig einzugrenzen, weil es doch ein paar sind, die sich aber auch nicht alle melden, ich seh in der Firewall das es bei einigen abbricht! Wie meinst du das, ob die Pix hinter einem NAT Device ist? Sie ist direkt mit dem Internet verbunden! Also es kommt kein Router mehr oder sonstiges!

Achja hätt ich fast vergessen, hab doch meinen Testclient über Nacht laufen lassen: Meldung: Secure VPN Connection Terminated locally by the Client . Reason 412: The remote peer is no longer responding. Connection Terminated on: Okt 17, 2007 01:42:22 Duration: 0 Days, 13:53.06 VPN Client Log Window: Cisco Systems VPN Client Version 4.7.00.0533 Copyright © 1998-2005 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Windows, WinNT Running on: 5.1.2600 Service Pack 2 Config file directory: C:\Programme\Cisco Systems\VPN Client\ 1 11:49:16.097 10/16/07 Sev=Warning/2 CVPND/0xE3400013 AddRoute failed to add a route: code 87 Destination 192.168.x.xxx Netmask 255.255.255.255 Gateway 10.x4.x.xxx Interface 10.x4.x.xxx 2 11:49:16.097 10/16/07 Sev=Warning/2 CM/0xA3100024 Unable to add route. Network: c0a801ff, Netmask: ffffffff, Interface: a18016d, Gateway: a18016d. Leider hat er aber nichts zum Abbruch geloggt, hab bei den Log Settings alles auf Low gestellt, oder hab ich da was falsch eingestellt?! Die 2. Meldung kommt komischerweise bei allen Clients, kann aber ohne Probleme im Netzwerk arbeiten, ohne irgendwelche einschränkungen!!