shoty
-
Gesamte Inhalte
92 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von shoty
-
-
Hallo Leute,
ich möchte gerne unsere VoIP Gateways (Cisco 2801) mit IP SLA überwachen.
Ich habe folgendes eingegeben:
ip sla 12
type jitter dest-ipaddr 10.90.90.xx dest-port 16001 codec g711alaw
owner name
frequency 240
exit
ip sla schedule 12 life forever start-time now
Erste Frage: welche IP muss ich bei "dest-ipaddr" eintragen ?? Ich hab jetzt die meines Network Monitoring tools eingetragen, ist das richtig???
Zweite Frage: Hab ich vielleicht irgendetwas vergessen an Einstellungen??
so sieht die das Ergebnis aus, wenn ich "sh ip sla stat" eingebe:
Round Trip Time (RTT) for Index 12
Latest RTT: NoConnection/Busy/Timeout
Latest operation start time: *14:41:18.522 MET Wed Feb 24 2010
Latest operation return code: No connection
RTT Values:
Number Of RTT: 0 RTT Min/Avg/Max: 0/0/0 milliseconds
Latency one-way time:
Number of Latency one-way Samples: 0
Source to Destination Latency one way Min/Avg/Max: 0/0/0 milliseconds
Destination to Source Latency one way Min/Avg/Max: 0/0/0 milliseconds
Jitter Time:
Number of SD Jitter Samples: 0
Number of DS Jitter Samples: 0
Source to Destination Jitter Min/Avg/Max: 0/0/0 milliseconds
Destination to Source Jitter Min/Avg/Max: 0/0/0 milliseconds
Packet Loss Values:
Loss Source to Destination: 0 Loss Destination to Source: 0
Out Of Sequence: 0 Tail Drop: 0
Packet Late Arrival: 0 Packet Skipped: 0
Voice Score Values:
Calculated Planning Impairment Factor (ICPIF): 0
Mean Opinion Score (MOS): 0
Number of successes: 0
Number of failures: 9
Operation time to live: Forever
Hoffe es kann mir jemand helfen, da ich noch ganz frisch auf dem VoIP Gebiet bin!
Achja, dritte Frage: Was ist überhaupt sinnvoll zu überwachen??
-
Da steht drin:
Aktion:
Verweigerte Verbindung
Regel:
Standardregel
Quellnetz:
VPN Clients
Zielnetzwerk:
Intern
er zeigt aber den Benutzer an, den ich in der Gruppe als Berechtigung hinzugefügt habe, sieht aus als ob er einfach die Regel überspringen würde!
Wenn ich "Alle Benutzer" in die Regel einfüge, nimmt er auch die Regel, die ich dafür angelegt habe!! Ich verstehs nicht! :confused:
-
Hallo Leute,
ich hab hier ein Problem mit meinem ISA 2006 Server mit der VPN Einwahl.
Der Server macht eine Berechtigungsabfrage über einen Radius Server, das funktioniert auch alles wunderbar.
Ich hab VPN eingerichtet, als "Von" "VPN Clients" und "Bis" "Interne Netz" und als "Bedingung" bzw. Gruppe/User "Alle User", da klappt die Einwahl und auch der Zugriff auf die Server.
Wenn ich jetzt aber als "Bedingung" eine Gruppe oder User aus dem AD hinzufüge, klappt zwar noch die Einwahl, ich hab aber keine Berechtigung auf irgendetwas zuzugreifen, nicht mal Ping geht!:
Standardregel Verweigerte Verbindung!
Wieso klappt das nur mit "Alle User" ???
Mein Ziel ist bestimmte User auch nur auf bestimmte Server zu lassen, oder ist das irgendwie anders möglich???
Danke...
-
d.h. das einzige, was dieser Befehl bewirkt ist, dass der Trunk nicht mehr über das default VLAN 1, sondern jetzt über das VLAN 10 ausgehandelt wird. Ist das sicherheitstechnisch besser bzw. sinnvoller?
-
Hallo Leute,
ich bin hier gerade am überprüfen eines Switches und bin bei mehreren Ports auf die Einstellung "switchport trunk native vlan xx" gestoßen. Kann mir jemand sagen, was dieser Befehl bewirkt!?
z.B.:
interface GigabitEthernet4/44
switchport
switchport access vlan 30
switchport trunk native vlan 10
switchport trunk allowed vlan 10,20,30
switchport mode access
no ip address
mls qos trust dscp
oder:
interface GigabitEthernet4/45
switchport
switchport access vlan 10
switchport trunk native vlan 10
switchport mode access
no ip address
mls qos trust dscp
channel-group 2 mode on
Danke...
-
Alle guten Dinge sind 3... hier noch mal als Link ;)
-
--Übrtragung funktioniert--
ATX-Abfrage von A an B
2009-08-07 13:47:55 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.ETOutput/etisoutput.asmx - 80 - 62.xxx.xx.xx HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+1.1.4322.2407) - - 192.168.xxx.xx 200 0 0 628 1000 2093
RECEIVED von B an A
2009-08-07 13:47:57 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109
2009-08-07 13:47:59 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 619 880 2140
Vier erfolgreiche Verschickungen von B an A
2009-08-07 13:48:06 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109
2009-08-07 13:48:06 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 620 1776 93
2009-08-07 13:48:13 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109
2009-08-07 13:48:13 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 620 1776 62
2009-08-07 13:48:21 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109
2009-08-07 13:48:21 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 620 1660 93
2009-08-07 13:48:28 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109
2009-08-07 13:48:28 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 620 3797 78
LOADED von B an A
2009-08-07 13:48:29 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109
2009-08-07 13:48:29 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 619 878 765
-
So hier das Log: :)
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-08-07 00:04:39
#Fields: date time s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken
--Übertragung funktioniert nicht--
ATX-Abfrage von A an B
2009-08-07 13:45:08 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.ETOutput/etisoutput.asmx - 80 - 62.xxx.xx.xx HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+1.1.4322.2407) - - 192.168.xxx.xx 200 0 0 628 1000 2046
RECEIVED von B an A
2009-08-07 13:45:09 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 93
2009-08-07 13:45:09 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 619 880 499
Vier vergebliche Verschickungen von ET an DSO
2009-08-07 13:45:17 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 93
2009-08-07 13:45:54 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 93
2009-08-07 13:46:31 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 93
2009-08-07 13:47:10 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 1234
LOADED von B an A
2009-08-07 13:47:41 W3SVC1639073039 INTRA 192.168.xxx.xx GET /test/xxx.xxxx.etinput/etisinput.asmx wsdl 80 - 93.0.x.xxx HTTP/1.1 PEAR+HTTP_Request+class+(+http://pear.php.net/+) - - web01.xxx.de 200 0 0 17624 160 109
2009-08-07 13:47:43 W3SVC1639073039 INTRA 192.168.xxx.xx POST /test/xxx.xxxx.etinput/etisinput.asmx - 80 - 93.0.x.xxx HTTP/1.0 PEAR-SOAP+0.8.0RC4-devel - - web01.xxx.de 200 0 0 619 878 1406
--------------------------------------------------------------------------
-
Hi Brainstorm,
kannst du mir sagen wie ich das mache? :confused:
Grüße
-
Hi Leute,
ich habe ein Problem mit einem Datenabruf eines HTTP Transfers in unserem Netz über einen VPN Tunnel.
Das Problem tritt sporadisch auf, manchmal klappt der Transfer, manchmal kommt nur die hälfte an und zwischendrin fehlen Pakete!
Hier der Log Eintrag von unserem IIS, ich kann da keinen fehler feststellen, vielleicht könnt ihr mir helfen, siehe TXT File:
Danke
-
Hab mit der Telekom gesprochen, die sagen, dass die Verbindung getestet wurde und die Router auch auf MTU Size 1500 eingestellt sind.
Leider sehe ich ja bei einem VPN Tunnel keine Hops dazwischen, sondern nur die Firewall, und die sind beide auch auf 1500 eingestellt.
-
Hallo Leute,
ich hab da mal ein Problem :confused: !
Also, wir haben eine VPN Verbindung nach Holland, über diese Verbindung werden Daten über HTTP übertragen, das hat auch bis letzte Woche Donnerstag alles wunderbar funktioniert, nun ist es aber so, das mal einige Daten ankommen, einige wiederum nicht, aber das passiert ganz sporadisch, mal geht es mal nicht.
Wenn ich den Server in Holland anpinge kommt manchmal ein Timeout dazwischen, ich weiss aber nicht ob das normal ist?!
Im Anhang in der Textdatei ist ein Auszug der Verbindung die mit Wireshark gesnifft wurde!
Wir dachten auch erst es sei ein MTU Size Problem, aber beide Seiten sind auf MTU Size 1500 eingestellt!!
Hoffe mir kann jemand helfen, oder einen Tip geben....
-
Hab meine PIX neu gestartet und sie da ..... es funktioniert wieder?!?!:suspect:
naja bin mal gespannt für wie lange! :confused:
-
Normalerweise komm ich ja von der Haupstelle auch auf den Router drauf, nur leider jetzt nicht mehr!!
Beim Debugging kommt auch nichts auffälliges, der baut die Verbindung ohne Probleme auf, nur Bytes Rx bleibt auf 0 !!!
-
hab leider keinen Zugriff auf den Router, wenn aber gar nichts mehr klappt, werde ich wohl morgen früh mal hinfahren müssen, ist nicht gerade um die Ecke!!
ssh Outside Interface hab ich probiert, keine Änderung.
ich bin der einzige, der Zugriff auf die Router hat, von daher ist es eigentlich nicht möglich, das da was geändert wurde!
Das komische ist ja, das die Verbindung eigentlich steht, ich aber kein Zugriff habe!!
-
Hi Leute,
ich hab ein Probblem mit meinem VPN Tunnel, seit letzte Woche Dienstag hab ich keine Verbindung mehr zu meiner Niederlassung.
Auf der einen Seite befindet sich eine PIX 525:
So wie es aussieht ist der Tunnel aber aufgebaut, s.u.
sh crypto isakmp sa
20 IKE Peer: 87.2xxx.xxx.xxx
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
sh crypto ipsec sa peer 87.2xx.xxx.xxx
peer address: 87.2xx.xxx.xxx
Crypto map tag: outside_map, seq num: 75, local addr: 145.xxx.xxx.xxx
access-list outside_cryptomap_75 permit ip any 10.24.2.48 255.255.255.240
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.24.2.48/255.255.255.240/0/0)
current_peer: 87.2xx.xxx.xxx
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 2649, #pkts decrypt: 2649, #pkts verify: 2649
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 145.xxx.xxx.xxx, remote crypto endpt.: 87.2xx.xxx.xxx
path mtu 1500, ipsec overhead 60, media mtu 1500
current outbound spi: D4003F2C
inbound esp sas:
spi: 0xAD612A18 (2908826136)
transform: esp-3des esp-md5-hmac
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 5717, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4274814/24892)
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xD4003F2C (3556785964)
transform: esp-3des esp-md5-hmac
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 5717, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4275000/24889)
IV size: 8 bytes
replay detection support: Y
Auf der anderen Seite befindet sich ein Cisco 1800 Series Router.
Die Verbindung steht auch, wenn ich aber unter Monitoring schaue, zeigt er unter Bytes Tx: 128738 an und unter Bytes Rx: 0 !!!!
Ich kann auch nichts anpingen auf der anderen Seite. Ein Router neustart wurde schon durchgeführt!
Hat sonst noch jemand eine Idee, woran das liegen kann???Es wurde nichts verändert!
Vielen Dank
nette Grüße
Dennis
-
hi blackbox,
danke für die schnelle antwort.
Das würde aber heißen, mit Version 7.1(2), welche ich auf meiner PIX 525 installiert habe, müsste es funktionieren oder??
Muss ich dazu noch einen bestimmten befehl dann eingeben, oder reicht eine einfache Translation Exemption Rule, wie z.B.:
access-list inside_nat0_outbound extended permit ip any 10.24.x.xx 255.255.255.248
dank dir...
-
Hi Leute,
ich hab ein Problem, und zwar, wenn ich mich mit meinem VPN Client auf meine PIX anmelde, kann ich nicht von diesem VPN Client auf meine Site to Site VPN Verbindungen zugreifen, ich kann diese nicht mal anpingen!
Ich hab gelesen, das man nicht von dem Interface von wo man kommt wieder raus kann, ist das richtig?? Da muss es doch einen Trick geben oder??
Danke für eure Hilfe...
gruß
Shoty
-
Mit dem Packet Tracer zeigt er mir die Fehlermeldung:
(rpf-violated) Reverse-path verify failed
Das Komische ist aber, von der Firewall aus kann ich den Client (10.24.3.10) anpingen und von dem Client kann ich auch das Interface 10.99.0.1 anpingen, nur alles was dahinter ist z.B. 10.99.0.8 bekomme ich keine Antwort!:mad:
-
wie sollte die Route dann ausschauen?? Und beim Statischen NAT funktionierts ja auch ohne was an den Routen zu ändern! :confused: :cry:
-
hi Blackbox.... danke für die schnelle Antwort....
hab die Sache mal mit einer NAT0 Regel getestet, leider kein Erfolg!
eigentlich sieht das Routing so aus: (Ich hatte nur nicht so viel Zeichen zum erstellen meiner Anfrage:()
route NLs 10.0.0.0 255.0.0.0 10.99.1.2 1
route GlobalMP 10.0.9.17 255.255.255.255 10.24.0.5 1
route GlobalMP 10.13.16.0 255.255.255.0 10.24.0.5 1
route GlobalMP 10.13.17.0 255.255.255.0 10.24.0.5 1
route GlobalMP 10.13.18.0 255.255.255.0 10.24.0.5 1
route GlobalMP 10.13.22.40 255.255.255.255 10.24.0.5 1
route GlobalMP 10.13.22.41 255.255.255.255 10.24.0.5 1
route GlobalMP 10.13.22.47 255.255.255.255 10.24.0.5 1
route GlobalMP 10.13.22.48 255.255.255.255 10.24.0.5 1
route GlobalMP 10.13.22.49 255.255.255.255 10.24.0.5 1
route GlobalMP 10.14.2.0 255.255.255.0 10.24.0.5 1
route GlobalMP 10.14.5.0 255.255.255.0 10.24.0.5 1
route GlobalMP 10.14.6.33 255.255.255.255 10.24.0.5 1
route GlobalMP 10.14.33.0 255.255.255.0 10.24.0.5 1
route GlobalMP 10.15.6.0 255.255.255.0 10.24.0.5 1
route GlobalMP 10.19.111.0 255.255.255.0 10.24.0.5 1
route NLs 10.30.1.0 255.255.255.192 10.99.1.5 1
route NLs 10.30.2.0 255.255.255.192 10.99.1.5 1
route NLs 10.30.5.0 255.255.255.192 10.99.1.5 1
route NLs 10.30.6.0 255.255.255.192 10.99.1.5 1
route NLs 10.30.7.0 255.255.255.192 10.99.1.5 1
route NLs 10.30.10.0 255.255.255.192 10.99.1.5 1
route NLs 10.30.52.0 255.255.255.0 10.99.1.5 1
route NLs 10.30.104.0 255.255.255.192 10.99.1.5 1
route NLs 10.90.9.0 255.255.255.192 10.99.1.5 1
route NLs 10.90.85.0 255.255.255.192 10.99.1.5 1
route NLs 10.90.86.0 255.255.255.192 10.99.1.5 1
route NLs 10.90.94.0 255.255.255.192 10.99.1.5 1
route NLs 10.90.97.0 255.255.255.192 10.99.1.5 1
route NLs 10.90.98.0 255.255.255.192 10.99.1.5 1
route NLs 10.91.2.0 255.255.255.192 10.99.1.5 1
route GlobalMP 10.99.2.0 255.255.255.0 10.24.0.5 1
route GlobalMP 10.149.10.0 255.255.255.0 10.24.0.5 1
route GlobalMP 10.151.0.0 255.255.0.0 10.24.0.5 1
route GlobalMP 10.152.4.0 255.255.255.0 10.24.0.5 1
route GlobalMP 10.152.5.0 255.255.255.0 10.24.0.5 1
route GlobalMP 10.152.104.44 255.255.255.255 10.24.0.5 1
route GlobalMP 10.153.0.0 255.255.255.0 10.24.0.5 1
route DRC_SRV_Inside 192.168.0.0 255.255.0.0 10.99.0.8 1
route Outside 0.0.0.0 0.0.0.0 212.xxx.xxx.xxx 1
Ich denke aber nicht, das es am Routing liegt, das komische ist, wenn ich eine Statische NAT Regel anlege:
static (Outside,DRC_SRV_Inside) interface 10.24.3.10 netmask 255.255.255.255 tcp 0 0 udp 0
im ASDM kommt dabei diese Fehlermeldung:
[WARNING] static (Outside,DRC_SRV_Inside) interface 10.24.3.10 netmask 255.255.255.255 tcp 0 0 udp 0
All traffic destined to the IP address of the DRC_SRV_Inside interface is being redirected.
WARNING: Users will not be able to access any service enabled on the DRC_SRV_Inside interface.
aber der Ping funktioniert dann!!!:confused:
-
Hi,
ich versuche hier gerade an meiner ASA VPN einzurichten, das hat auch alles wunderbar geklappt! Ich kann mich mit meinem VPN Client an der Firewall anmelden und bekomme auch eine IP: 10.24.3.10!
Wenn ich aber nun eine Interne Adresse (10.99.0.8) anpingen möchte, bekomme ich immer die Fehlermeldung:
portmap translation creation failed for udp src Outside:10.24.3.10/137 dst NLs:10.24.3.255/137
portmap translation creation failed for icmp src Outside:10.24.3.10 dst DRC_SRV_Inside:10.99.0.8 (type 8, code 0)
Hier meine Konfig:
ASA Version 8.0(4)3
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list DRC_Server_access_in extended permit ip any any log warnings
access-list NLs_access_in extended permit ip any any log warnings
access-list BT_access_in extended permit icmp any any log warnings
access-list DRC_SRV_Inside_nat0_outbound extended permit ip any 10.99.1.0 255.25
5.255.240
access-list DRC_SRV_Inside_nat0_outbound extended permit ip any 10.24.3.0 255.25
5.255.0
access-list Outside_access_in extended permit icmp any any log warnings
pager lines 24
mtu Outside 1500
mtu GlobalMP 1500
mtu NLs 1500
mtu DRC_SRV_Inside 1500
ip local pool VPNPool 10.24.3.10-10.24.3.254 mask 255.255.255.0
ip verify reverse-path interface Outside
ip verify reverse-path interface GlobalMP
ip verify reverse-path interface NLs
ip verify reverse-path interface DRC_SRV_Inside
icmp unreachable rate-limit 1 burst-size 1
arp timeout 14400
global (Outside) 1 interface
global (GlobalMP) 1 interface
nat (Outside) 1 10.24.3.0 255.255.255.0 outside
nat (DRC_SRV_Inside) 0 access-list DRC_SRV_Inside_nat0_outbound
nat (DRC_SRV_Inside) 1 0.0.0.0 0.0.0.0
access-group Outside_access_in in interface Outside
access-group BT_access_in in interface GlobalMP
access-group NLs_access_in in interface NLs
access-group DRC_Server_access_in in interface DRC_SRV_Inside
route Outside 0.0.0.0 0.0.0.0 212.xxx.xxx.xxx 1
route NLs 10.0.0.0 255.0.0.0 10.99.1.2 1
route DRC_SRV_Inside 192.168.0.0 255.255.0.0 10.99.0.8 1
dynamic-access-policy-record DfltAccessPolicy
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map Outside_dyn_map 20 set pfs
crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map Outside_dyn_map 20 set security-association lifetime seconds
28800
crypto dynamic-map Outside_dyn_map 20 set security-association lifetime kilobyte
s 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128
-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256
-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association life
time seconds 28800
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association life
time kilobytes 4608000
crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
X
crypto isakmp ipsec-over-tcp port 10000
telnet timeout 30
ssh timeout 5
console timeout 0
e-rate 200
group-policy xxxxx internal
group-policy xxxxx attributes
dns-server value 10.99.0.20 192.168.250.3
vpn-tunnel-protocol IPSec svc
ip-comp enable
re-xauth enable
group-lock value xxxxxxxx
pfs enable
default-domain value de.xxxxxxxxx.com
vpn-group-policy xxxxxxx
tunnel-group xxxxxxx type remote-access
tunnel-group xxxxxxx general-attributes
address-pool VPNPool
default-group-policy xxxxxxx
tunnel-group xxxxxxx ipsec-attributes
pre-shared-key xxxxxxx
!
class-map global-class
match default-inspection-traffic
!
!
policy-map global-policy
class global-class
inspect ftp
inspect icmp
!
service-policy global-policy global
: end
-------
Ich hoffe es kann mir jemand helfen.... THX:D
-
Ist die PIX hinter einem NAT Device? Sieht so aus als wuerden irgendwann die Keepalives nicht mehr durchkommen. Also eher ein Problem vom Router beim Client. Kommen die Ausfaelle nur bei bestimmten Personen vor?
Schwer zu sagen, es passiert bei mehreren Personen, ist schwierig einzugrenzen, weil es doch ein paar sind, die sich aber auch nicht alle melden, ich seh in der Firewall das es bei einigen abbricht!
Wie meinst du das, ob die Pix hinter einem NAT Device ist? Sie ist direkt mit dem Internet verbunden! Also es kommt kein Router mehr oder sonstiges!
-
Du brauchst das Problem an der PIX nicht suchen, Debugs vom Client sind viel wichtiger.
Achja hätt ich fast vergessen, hab doch meinen Testclient über Nacht laufen lassen:
Meldung:
Secure VPN Connection Terminated locally by the Client .
Reason 412: The remote peer is no longer responding.
Connection Terminated on: Okt 17, 2007 01:42:22 Duration: 0 Days, 13:53.06
VPN Client Log Window:
Cisco Systems VPN Client Version 4.7.00.0533
Copyright © 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
Config file directory: C:\Programme\Cisco Systems\VPN Client\
1 11:49:16.097 10/16/07 Sev=Warning/2 CVPND/0xE3400013
AddRoute failed to add a route: code 87
Destination 192.168.x.xxx
Netmask 255.255.255.255
Gateway 10.x4.x.xxx
Interface 10.x4.x.xxx
2 11:49:16.097 10/16/07 Sev=Warning/2 CM/0xA3100024
Unable to add route. Network: c0a801ff, Netmask: ffffffff, Interface: a18016d, Gateway: a18016d.
Leider hat er aber nichts zum Abbruch geloggt, hab bei den Log Settings alles auf Low gestellt, oder hab ich da was falsch eingestellt?!
Die 2. Meldung kommt komischerweise bei allen Clients, kann aber ohne Probleme im Netzwerk arbeiten, ohne irgendwelche einschränkungen!!
VoIP - IP SLA Konfigurieren
in Cisco Forum — Allgemein
Geschrieben
Danke für die schnelle Antwort.
Hab bis jetzt nur diese Seite hier von Cisco gefunden:
Cisco IOS IP SLAs Configuration Guide, Release 12.4 - IP SLAs--Analyzing Service Levels Using the VoIP Jitter Operation [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
kennt jemand auch eine gute Seite auf deutsch, wo das erklärt wird?