n@ppo

na dann ist ja alles im lot. ein bis zwei sachen an deiner config würde ich noch ändern # ip inspect name myfw smtp timeout 3600 (kann raus, macht eh nur ärscher) ! interface Ethernet0 ip mtu 1456 (kann hier eigentlich auch raus, außer es gibt wirklich, wirklich einen grund dafür) ip tcp adjust-mss 1452 (kann hier raus, das adjustment wird im dialer erledigt) # btw: ich stehe nicht auf blonde frauen.... auf das andere schon :D

hi, sieht eigentlich gut aus. ergänze/verändere das ganze mal innerhalb der route-maps # route-map dial permit 10 match ip address 1 match interface dialer1 ! route-map bri permit 10 match ip address 1 match interface bri0 #

hi, auch wenns aufwendig ist. poste doch bitte mal die config die NICHT funktioniert (die mit der route-map).

hi, poste mal bitte die ausgabe von "sho ip nat trans" und "sho ip route c"

mit den o.g. zeilen definierst du zwei route-maps (dial und bri). innerhalb der route-maps wird auf die acl 1 verwiesen, bzw die route-map wird nur genutzt wenn die die acl 1 matched. die acl 1 ist in diesem fall dein inside netz (private) über die zeilen # ip nat inside source route-map dial interface Dialer1 overload ip nat inside source route-map bri interface Bri0 overload # werden die route-maps an den nat prozess und die outside interfaces gebunden.

hi, das funktioniert nur mit route-maps, da bei einem pat basierend auf source-lists mit zwei outside interfaces immer das interface genutzt wird über das, das erste paket drübergeht. sprich, wenn der dsl-dialer " up" ist und im nat-table einträge auf dieses interface zeigen, geht kein paket durch das zweite dialer-interface bzw. das zweite outside interface. die wahl über welches outside interface das paket läuft wird entweder durch eine weitere route-map inkl. policy-routing am ethernet (inside) interface erledigt oder bei vereinfachten anforderungen über den routingtable. # access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source route-map dial interface Dialer1 overload ip nat inside source route-map bri interface Bri0 overload ! route-map dial permit match ip address 1 ! route-map bri permit match ip address 1 ! ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 194.25.134.0 255.255.255.0 BRI0 #

hi, verbinde dich mal zum router via vpn-client. außerdem benötigst du noch eine console verbindung oder telnet. starte einen ping vom vpn-client zum sql-server. danach gib mal ein "deb ip policy" und poste den output davon. außerdem noch bitte den output von "sho access-list 111"

hi, die routen für splitt-tunneling konfigurierst du so. # crypto isakmp client configuration group groupauthor key superauskommentiert pool ippool acl 122 ! access-list 122 permit 192.168.1.0 0.0.0.255 any # auch wenn es nervig ist, schick danach noch mal die running-config. wenn sich dein client verbinden kann und du auf dem router mit "sho crypto ipsec sa" den client siehst sollte zumindest vom ipsec her alles ok sein. ich denke das problem sind die acl´s auf dem outside-interface und das policy-routing auf dem inside-interface. da policy-routing ist zwingend nötig für die funktion. hier der auszug aus der konfig um den es geht # ! interface Loopback0 description nonat-out-interface fuer ipsec ip address 1.1.1.1 255.255.255.0 ! interface FastEthernet0 description $FW_INSIDE$$ETH-LAN$ ......... ip route-cache policy (local policy routing) ip policy route-map nonat (route-map die, die bedingungen für policy routing definiert) ! route-map nonat permit 10 (name der route-map ink. sequence-nummer) match ip address 111 (acl die für die bedingung) set ip next-hop 1.1.1.2 (regel nachdem die bedingnng erfüllt wurde) ! access-list 111 remark *** for nonating the destination ipsec-clients-ip *** access-list 111 permit ip any 192.168.10.0 0.0.0.15 # den next-top in der route-map gibt es nicht auf dem router. es ist auch nicht zwingend nötig. es geht nur darum pakete die für das ziel 192.168.1.0 - 192.168.1.16 sind nicht durch den nat-process zu schicken, sondern auf ein interface des routers das sich nicht in der nat-konfiguration wiederfindet. dieses interface ist das loopback. wenn das paket dort angekommen ist hat der router denoch einen verwendung dafür, da er selbst den pool für dieses netz verwaltet und eine bindung dafür hat. also schickt er es durch den ipsec-tunnel.

hi, ich geh mal davon aus das die nötigen angaben für die branch-router existieren (ip-adressen, hostnames, etc) und in irgeneiner art in einem dokument niedergebracht sind (excel ?) die router stehen bei dir bzw. du hast console-zugriff ? wie ist das netz ausgelegt (hub-and-spoke, fully-meshed, partial meshed) ? bei einem hub-and-spoke ist das ganze recht einfach. es sollte auch bei den anderen genannten arten funktionieren. dann kannst du das ganze recht einfach mit einem serienbrief erledigen. eine default-config erstellen (rufnummer der zentrale, username, passwörter, etc) mit dem serienbrief jeweils nur die nötigen felder für die änderungen einfügen und aus der excel-tabelle importieren bzw. die tabelle als basis für die nötigen änderungen nehmen. alternativ, wenn du solche projekte öfters stemmen mußt würde ich mal über die erstellung einer datenbank in verbindung mit einem konfigurationsserver nachdenken. das rentiert sich aber erst bei mehrern projekten oder router ab der grösenordnung >1000

hi, die konfig sieht der alten von dir irgendwie sehr ähnlich. irgendwie kommen so nicht weiter. in der konfig die ich dir gepostet hatte waren änderungen drinnen (policy-routing, loopback interface, etc) die gemacht werden müssen, sonst geht da nicht viel. welche ist denn zurzeit in dem router aktiv, deine, die umgebaute, oder.....

hi, einen neuen community-string kannst du im configuration-mode konfigurieren. # snmp-server community schnipp RO snmp-server community schnapp RW # optional kannst du noch acl´s daran binden. dazu benötigst du allerdings einen zugriff via console. den zurzeit konfigurierten kannst du im enable-mode auslesen. der cummunity-string ist im klartext abgelegt.

hi, poste doch bitte noch mal die laufende konfig.

nein muß sie nicht

hi, ich habe das ganze ein wenig umgebaut und ergänzt. # no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug uptime service timestamps log uptime no service password-encryption service sequence-numbers ! hostname mosespa04 ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 51200 debugging logging console critical enable secret ************************* ! username *********** privilege 15 password 7 ********** username ********* password 0 ********* memory-size iomem 15 clock summer-time Europe/Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00 aaa new-model ! ! aaa authentication login vtyline enable aaa authentication login userauthen local aaa authentication enable default none aaa authorization network groupauthor local aaa session-id common ip subnet-zero no ip source-route ! ! ip tcp synwait-time 10 ip domain name *********** ip name-server 192.168.1.198 ip name-server 192.168.1.199 ! no ip bootp server ip cef ip inspect name DEFAULT100 cuseeme ip inspect name DEFAULT100 ftp ip inspect name DEFAULT100 h323 ip inspect name DEFAULT100 netshow ip inspect name DEFAULT100 rcmd ip inspect name DEFAULT100 realaudio ip inspect name DEFAULT100 rtsp ip inspect name DEFAULT100 sqlnet ip inspect name DEFAULT100 streamworks ip inspect name DEFAULT100 tftp ip inspect name DEFAULT100 tcp ip inspect name DEFAULT100 udp ip inspect name DEFAULT100 vdolive ip inspect name DEFAULT100 icmp ip audit po max-events 100 ip ssh time-out 60 ip ssh authentication-retries 2 no ftp-server write-enable ! crypto isakmp policy 1 hash md5 authentication pre-share group 2 crypto isakmp keepalive 10 ! crypto isakmp client configuration group groupauthor key superauskommentiert pool ippool ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto ipsec df-bit clear ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list groupauthor crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface Loopback0 description nonat-out-interface fuer ipsec ip address 1.1.1.1 255.255.255.0 ! interface Ethernet0 description $FW_OUTSIDE$$ETH-WAN$ ip address "feste inet ip" ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect DEFAULT100 out half-duplex no cdp enable crypto map clientmap ! interface FastEthernet0 description $FW_INSIDE$$ETH-LAN$ ip address 192.168.1.253 255.255.255.0 ip access-group 100 in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip route-cache policy ip policy route-map nonat speed auto no cdp enable ! ip local pool ippool 192.168.10.1 192.168.10.16 ip nat inside source route-map nat interface Ethernet0 overload ip classless no ip http server ip http authentication local ip http secure-server ! logging trap debugging access-list 100 remark *** for nat translation and inbound on inside interface *** access-list 100 permit ip 192.168.1.0 0.0.0.255 any access-list 101 remark *** inbound inet-list only few services allowed *** access-list 101 permit icmp any host "feste inet ip" echo-reply access-list 101 permit icmp any host "feste inet ip" time-exceeded access-list 101 permit icmp any host "feste inet ip"unreachable access-list 101 permit udp any eq isakmp any access-list 101 permit udp any any eq isakmp access-list 101 permit udp any any eq non500-isakmp access-list 101 permit esp any any access-list 101 permit ip 192.168.10.0 0.0.0.15 any access-list 111 remark *** for nonating the destination ipsec-clients-ip *** access-list 111 permit ip any 192.168.10.0 0.0.0.15 no cdp run ! route-map nonat permit 10 match ip address 111 set ip next-hop 1.1.1.2 ! route-map nat permit 10 match ip address 100 ! banner login ^CAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! transport output telnet line aux 0 transport output telnet line vty 0 4 exec-timeout 120 0 privilege level 15 login authentication vtyline transport input telnet ssh line vty 5 15 privilege level 15 transport input telnet ssh ! scheduler allocate 4000 1000 scheduler interval 500 ! end #

hi, eine priorisierung/reservierung aufgrund von angeforderten bandbreiten ist abhängig von der switchhardware/software möglich. was hast du denn damit vor ????