n@ppo

na dann ist ja alles im lot. ein bis zwei sachen an deiner config würde ich noch ändern # ip inspect name myfw smtp timeout 3600 (kann raus, macht eh nur ärscher) ! interface Ethernet0 ip mtu 1456 (kann hier eigentlich auch raus, außer es gibt wirklich, wirklich einen grund dafür) ip tcp adjust-mss 1452 (kann hier raus, das adjustment wird im dialer erledigt) # btw: ich stehe nicht auf blonde frauen.... auf das andere schon :D

hi, sieht eigentlich gut aus. ergänze/verändere das ganze mal innerhalb der route-maps # route-map dial permit 10 match ip address 1 match interface dialer1 ! route-map bri permit 10 match ip address 1 match interface bri0 #

hi, auch wenns aufwendig ist. poste doch bitte mal die config die NICHT funktioniert (die mit der route-map).

hi, poste mal bitte die ausgabe von "sho ip nat trans" und "sho ip route c"

mit den o.g. zeilen definierst du zwei route-maps (dial und bri). innerhalb der route-maps wird auf die acl 1 verwiesen, bzw die route-map wird nur genutzt wenn die die acl 1 matched. die acl 1 ist in diesem fall dein inside netz (private) über die zeilen # ip nat inside source route-map dial interface Dialer1 overload ip nat inside source route-map bri interface Bri0 overload # werden die route-maps an den nat prozess und die outside interfaces gebunden.

hi, das funktioniert nur mit route-maps, da bei einem pat basierend auf source-lists mit zwei outside interfaces immer das interface genutzt wird über das, das erste paket drübergeht. sprich, wenn der dsl-dialer " up" ist und im nat-table einträge auf dieses interface zeigen, geht kein paket durch das zweite dialer-interface bzw. das zweite outside interface. die wahl über welches outside interface das paket läuft wird entweder durch eine weitere route-map inkl. policy-routing am ethernet (inside) interface erledigt oder bei vereinfachten anforderungen über den routingtable. # access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source route-map dial interface Dialer1 overload ip nat inside source route-map bri interface Bri0 overload ! route-map dial permit match ip address 1 ! route-map bri permit match ip address 1 ! ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 194.25.134.0 255.255.255.0 BRI0 #

hi, verbinde dich mal zum router via vpn-client. außerdem benötigst du noch eine console verbindung oder telnet. starte einen ping vom vpn-client zum sql-server. danach gib mal ein "deb ip policy" und poste den output davon. außerdem noch bitte den output von "sho access-list 111"

hi, die routen für splitt-tunneling konfigurierst du so. # crypto isakmp client configuration group groupauthor key superauskommentiert pool ippool acl 122 ! access-list 122 permit 192.168.1.0 0.0.0.255 any # auch wenn es nervig ist, schick danach noch mal die running-config. wenn sich dein client verbinden kann und du auf dem router mit "sho crypto ipsec sa" den client siehst sollte zumindest vom ipsec her alles ok sein. ich denke das problem sind die acl´s auf dem outside-interface und das policy-routing auf dem inside-interface. da policy-routing ist zwingend nötig für die funktion. hier der auszug aus der konfig um den es geht # ! interface Loopback0 description nonat-out-interface fuer ipsec ip address 1.1.1.1 255.255.255.0 ! interface FastEthernet0 description $FW_INSIDE$$ETH-LAN$ ......... ip route-cache policy (local policy routing) ip policy route-map nonat (route-map die, die bedingungen für policy routing definiert) ! route-map nonat permit 10 (name der route-map ink. sequence-nummer) match ip address 111 (acl die für die bedingung) set ip next-hop 1.1.1.2 (regel nachdem die bedingnng erfüllt wurde) ! access-list 111 remark *** for nonating the destination ipsec-clients-ip *** access-list 111 permit ip any 192.168.10.0 0.0.0.15 # den next-top in der route-map gibt es nicht auf dem router. es ist auch nicht zwingend nötig. es geht nur darum pakete die für das ziel 192.168.1.0 - 192.168.1.16 sind nicht durch den nat-process zu schicken, sondern auf ein interface des routers das sich nicht in der nat-konfiguration wiederfindet. dieses interface ist das loopback. wenn das paket dort angekommen ist hat der router denoch einen verwendung dafür, da er selbst den pool für dieses netz verwaltet und eine bindung dafür hat. also schickt er es durch den ipsec-tunnel.

hi, ich geh mal davon aus das die nötigen angaben für die branch-router existieren (ip-adressen, hostnames, etc) und in irgeneiner art in einem dokument niedergebracht sind (excel ?) die router stehen bei dir bzw. du hast console-zugriff ? wie ist das netz ausgelegt (hub-and-spoke, fully-meshed, partial meshed) ? bei einem hub-and-spoke ist das ganze recht einfach. es sollte auch bei den anderen genannten arten funktionieren. dann kannst du das ganze recht einfach mit einem serienbrief erledigen. eine default-config erstellen (rufnummer der zentrale, username, passwörter, etc) mit dem serienbrief jeweils nur die nötigen felder für die änderungen einfügen und aus der excel-tabelle importieren bzw. die tabelle als basis für die nötigen änderungen nehmen. alternativ, wenn du solche projekte öfters stemmen mußt würde ich mal über die erstellung einer datenbank in verbindung mit einem konfigurationsserver nachdenken. das rentiert sich aber erst bei mehrern projekten oder router ab der grösenordnung >1000

hi, die konfig sieht der alten von dir irgendwie sehr ähnlich. irgendwie kommen so nicht weiter. in der konfig die ich dir gepostet hatte waren änderungen drinnen (policy-routing, loopback interface, etc) die gemacht werden müssen, sonst geht da nicht viel. welche ist denn zurzeit in dem router aktiv, deine, die umgebaute, oder.....

hi, einen neuen community-string kannst du im configuration-mode konfigurieren. # snmp-server community schnipp RO snmp-server community schnapp RW # optional kannst du noch acl´s daran binden. dazu benötigst du allerdings einen zugriff via console. den zurzeit konfigurierten kannst du im enable-mode auslesen. der cummunity-string ist im klartext abgelegt.

hi, poste doch bitte noch mal die laufende konfig.

nein muß sie nicht

hi, ich habe das ganze ein wenig umgebaut und ergänzt. # no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug uptime service timestamps log uptime no service password-encryption service sequence-numbers ! hostname mosespa04 ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 51200 debugging logging console critical enable secret ************************* ! username *********** privilege 15 password 7 ********** username ********* password 0 ********* memory-size iomem 15 clock summer-time Europe/Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00 aaa new-model ! ! aaa authentication login vtyline enable aaa authentication login userauthen local aaa authentication enable default none aaa authorization network groupauthor local aaa session-id common ip subnet-zero no ip source-route ! ! ip tcp synwait-time 10 ip domain name *********** ip name-server 192.168.1.198 ip name-server 192.168.1.199 ! no ip bootp server ip cef ip inspect name DEFAULT100 cuseeme ip inspect name DEFAULT100 ftp ip inspect name DEFAULT100 h323 ip inspect name DEFAULT100 netshow ip inspect name DEFAULT100 rcmd ip inspect name DEFAULT100 realaudio ip inspect name DEFAULT100 rtsp ip inspect name DEFAULT100 sqlnet ip inspect name DEFAULT100 streamworks ip inspect name DEFAULT100 tftp ip inspect name DEFAULT100 tcp ip inspect name DEFAULT100 udp ip inspect name DEFAULT100 vdolive ip inspect name DEFAULT100 icmp ip audit po max-events 100 ip ssh time-out 60 ip ssh authentication-retries 2 no ftp-server write-enable ! crypto isakmp policy 1 hash md5 authentication pre-share group 2 crypto isakmp keepalive 10 ! crypto isakmp client configuration group groupauthor key superauskommentiert pool ippool ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto ipsec df-bit clear ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list groupauthor crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface Loopback0 description nonat-out-interface fuer ipsec ip address 1.1.1.1 255.255.255.0 ! interface Ethernet0 description $FW_OUTSIDE$$ETH-WAN$ ip address "feste inet ip" ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect DEFAULT100 out half-duplex no cdp enable crypto map clientmap ! interface FastEthernet0 description $FW_INSIDE$$ETH-LAN$ ip address 192.168.1.253 255.255.255.0 ip access-group 100 in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip route-cache policy ip policy route-map nonat speed auto no cdp enable ! ip local pool ippool 192.168.10.1 192.168.10.16 ip nat inside source route-map nat interface Ethernet0 overload ip classless no ip http server ip http authentication local ip http secure-server ! logging trap debugging access-list 100 remark *** for nat translation and inbound on inside interface *** access-list 100 permit ip 192.168.1.0 0.0.0.255 any access-list 101 remark *** inbound inet-list only few services allowed *** access-list 101 permit icmp any host "feste inet ip" echo-reply access-list 101 permit icmp any host "feste inet ip" time-exceeded access-list 101 permit icmp any host "feste inet ip"unreachable access-list 101 permit udp any eq isakmp any access-list 101 permit udp any any eq isakmp access-list 101 permit udp any any eq non500-isakmp access-list 101 permit esp any any access-list 101 permit ip 192.168.10.0 0.0.0.15 any access-list 111 remark *** for nonating the destination ipsec-clients-ip *** access-list 111 permit ip any 192.168.10.0 0.0.0.15 no cdp run ! route-map nonat permit 10 match ip address 111 set ip next-hop 1.1.1.2 ! route-map nat permit 10 match ip address 100 ! banner login ^CAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! transport output telnet line aux 0 transport output telnet line vty 0 4 exec-timeout 120 0 privilege level 15 login authentication vtyline transport input telnet ssh line vty 5 15 privilege level 15 transport input telnet ssh ! scheduler allocate 4000 1000 scheduler interval 500 ! end #

hi, eine priorisierung/reservierung aufgrund von angeforderten bandbreiten ist abhängig von der switchhardware/software möglich. was hast du denn damit vor ????

hi, die frage nach der priority ist bezogen auf was (beispiel)? mit einem protected port wird vermieden das alle protected ports auf dem switch miteinander kommunizieren können aber die kommunikation zu "nicht protected ports" und/oder anderen switches nach wie vor gegeben ist. um eine kommunikation zwischen protected ports auf einem switch zu realisieren benötigst du eine layer 3 engine.

hi, das mit der nat kann ich dir so nicht beantworten. die nat läuft unabhängig vom ipsec. wenn du mit lokalen dhcp-pools arbeitest für ipsec mußt du diese ip-adressen von der nat auschliesen sonst wird das ganze zwei mal durch den nat prozess gejagt. am besten mal die konfig posten dann sehen wir weiter.

hi, die zertifizierung bringt mal abgesehen von der qualifikation des mitarbeiters nur vorteile bei einer angestrebten partnerschaft gegenüber cisco (gold, premium, usw) da es aber bei einer solchen partnerschaft noch einiges mehr brauch wie ein oder zwei ccna´s hat es im endeffekt nur einen vorteil für den ccna wenn er sich nach einem neuen arbeitsplatz umschaut. es gibt keine richtlinie von cisco die es untersagt einen nicht zertifizierten techniker an die geräte zu lassen, sei es im servicefall oder zur administration. wenn dem so wäre hätten diverse partner auch probleme ihre sla´s einzuhalten und deren zertifizierte würden nur noch aus dem koffer leben alldieweil sie rund um die uhr on tour wären.

hi, ich meine das ein "squeeze" erst mit einem geladenen ios möglich ist. im boot-modus erledigt dir das der befehl "erase" welche befehle hast du abgesetzt um den file zu kopieren und in den flash zu schreiben ? # 1: set file-name = filename 2: set serv-ip = ip vom tftp-server 3: set unit-ip = ip des routers 4: set netmask = netzmaske 5: set gate-ip = ip des default-gateway wenn sich der tftp-server in einem anderen subnet befinden sollte 6: set ios-conf = 0x2102 (nur wenn es verstellt wurde) 7: save (das ios wird vom ram in den flash geschrieben) 8: upload tftp 9: save file = filename 10: boot #

jepp so ist es. mit der tei 0 weist du dem router eine tei statisch zu. die tei-werte sind unterteilt: tei 0-63 ist statische zuweisung vom endgerät bzw. durch den admin tei 64-126 wird durch die tk-anlage bzw. der vst dynamisch vergeben. tei 127 ist eine art broadcast tei bei der alle endgeräte angesprochen werden. er deint zur verwaltung der dynamische tei-werte. der wert hat nichts mit der rufnummer zu tun die das engerät (router) wählt. folglich mußt du eine zusätzliche null in der rufnummer weiterhin angeben. ansonsten hat scooby alles gesagt. ohne debug output kommen wir so nicht weiter. meine glaskugel ist zwar bestellt aber noch nicht geliefert .

hi, ich gehe jetzt mal von einer ansonnsten funktionierenden konfig aus (authentifizierung und dergleichen passen), weil du ja wahrscheinlich das ganze schon mal ohne anlage getestet hast ? ;) um genaueres sagen zu können poste die ausgabe von "sho isdn st". dort sollte etwas in der art stehen # ISDN BRI0/0 interface dsl 0, interface ISDN Switchtype = basic-net3 Layer 1 Status: ACTIVE Layer 2 Status: TEI = 109, Ces = 1, SAPI = 0, State = MULTIPLE_FRAME_ESTABLISHED Layer 3 Status: 0 Active Layer 3 Call(s) Active dsl 0 CCBs = 0 # sollte dort "TEI_ASSIGNED" im layer 2 stehen ist irgendetwas nicht ok mit dem anschluss. ebentuell ist es ja doch kein "echter" s0. sollte dies so sein gib mal folgenden befehl innerhalb des bri-interfaces ein und mach danach ein "clear int brix" # int brix isdn static-tei 0 # die kommunikation zwischen router und anlage und siehst du wenn du "deb isdn q921" in der console eingibst. den verbindungsaufbau kannst du mit "deb isdn q931"mit verfolgen. fehler bei der authentifizierung siehst du mit "deb ppp auth" fehler im ppp (negotiation) kannst du dir mit "deb ppp nego" anzeigen lassen bzw. herausfinden.

biddeschön du kannst die konfiguration in einem editor öffnen und ändern. wenn du die konfiguration einspielen möchtest mußt du im configuration-mode sein. welcher mode für was gut ist siehst steht hier. http://www.mcseboard.de/showthread.php?s=&postid=182524#post182524 die laufende konfiguration des routers kannst abspeichern indem du einen log-file innerhalb des terminals mitlaufen lässt und sho running-config im enable-mode eingibst oder aber du speicherst die konfiguration auf einen tftp-server. ein passendes tool gibt es hier. http://support.3com.com/software/utilities_for_windows_32_bit.htm nachdem du die konfiguration auf dem tftp-server abgelegt hast kannst du diese wiederum mit jedem editor öffnen und bearbeiten. so ein tool gibt es meines wissens nach nicht zumindest nicht für alle ios-versionen. es macht auch wenig sinn so etwas zu programmieren, weil der entwickler der software permanent damit beschäftigt wäre neue features aus den releasständen einzupflegen. mal ganz abgesehen davon das cisco es nicht wirklich gerne sehen würde. wenn du wissen möchtest was ein befehl bewirkt empfehle ich dir die release-notes der ios-versionen bzw. das command-summary. ein reset des routers ist durchaus einfach. solltest du einmal einen befehl eingespielt haben der eine fehlfunktion hevorruft oder nicht das was du dir so darunter erhoft hast kannst du ihn mit einem vorangestellten "no" wieder löschen. oder du schaltest alternativ den router aus. wenn die konfiguration nicht in den nvram geschrieben wurde mit "write mem" bzw "copy running-config startup-config" kommt der router mit den alten einstellungen wieder nach einem reload.

hi, das tiny rom ist u.a verantwortlich für den post (power-on self-test), und das laden des ios. ein update ist ohne weiteres möglich, da die neueren tiny-rom´s abwärtskomatibel zu den älteren ios versionen sind. hier eine liste der tiny-roms und der features: tiny rom 1.3(1)/ios version 12.1(2.2) and later: * TinyROM can handle multiple boot system commands in the order they were issued and will attempt to boot the valid images specified. * If none of the specified images boots, TinyROM boots any of the unspecified IOS images stored in Flash memory. * IOS will fail to boot only if there are no valid images, or if the router was configured to boot only from TinyROM. tiny rom 1.2(3) and earlier ios/version 12.1(2.2) and later: * TinyROM cannot boot from more than one image. If the single image specified fails to boot, TinyROM boots from any valid image stored in Flash memory. TinyROM attempts to boot first from undeleted images, then to those marked for deletion. * IOS checks the validity of the single boot filename. If the filename is not valid, IOS will display warning messages to that effect. tiny rom 1.2(1) and earlier/ios version Any: * TinyROM does not boot from an unspecified image in Flash memory. If the single IOS image that you specify fails to boot, the router remains at the boot# prompt without booting the IOS tiny rom Any/ios version 12.1(2.1) and earlier: * IOS will modify the single boot image only if you use the IOS boot system command. Changes to the boot system by any other means (such as copying from TFTP or from Flash memory backup) are ignored. * Output from the show startup command does not show the correct boot filename unless you edit the boot system list to match the ROM boot filename.

das ios versucht nicht den befehl aufzulösen, sondern den interpretiert den nicht existierenden befehl als host-adresse und macht daraufhin einen name-lookup ob es diesen host gibt. das ganze funktioniert im übrigen auch nur im exec-mode bzw. im user-mode. im configuration-mode macht er das nicht. es gibt aber die möglichkeit der hilfe funktion. das ist ein "?" nach einem befehl. da bekommst du angezeigt welche weiteren befehle danach noch möglich sind. außerdem vervollständigt das ios seit version 10.x die befehle nach drücken der tabulator-taste. z.b. aus "sh" + "tabulator" wird dann "show" ja das geht. du kannst die konfiguration in einem editor bearbeiten und danach via copy-and-paste über eine terminalsession einspielen. bei einer session via telnet oder ssh ist zu bedenken dass die änderungen in der konfiguration umgehend aktiv sind (zumindest der größte teil davon). somit kann es je nach änderung sein das du dir den ast absägst auf dem du sitzt.

Hi, lass den router mal laufen und beobachte es. sollte das ganze wieder nicht funktionieren, dann poste doch mal den output von. sho int atm0, sho int d1, deb pppoe ev, deb pppoe pa. dann machst du mal ein clear int atm0 und clear int d1 und postest noch mal den output. es kann viele mögliche fehlerquellen geben. die ereichbarkeit deines providers, die anschlußleitung der tcom, defekter splitter, der router und, und, und. wobei ich laut deinen schilderungen die letzte möglichkeit als unwahrscheinlichste ansehe. da hilft nur abwarten und beobachten.