mr._oiso

Hi grizzly999 Thx für Deine seelische Unterstützung. Schließlich läst sich bei Netgear so gut wie nie der Telefon-Support erreichen. Aber egal, die haben da auch keine Lösung für das Problem. Die reden da alle was von einem UPnP Protokoll, mit welchem man so eine Art Multicast Steuerung für diverse Dienste im Lan anbieten kann. (Wäre auf dem Netgear Router einzuschalten) Das funktioniert auf jeden Fall mit PPTP jetzt bei mir da Heim ! Die Sache mit der Watchguard hab ich kurzerhand mit eine IP-Cop Firewall gelöst. Auf dieser brauchte ich nur UDP 500 und TCP 4500 forwarden und schon lief es ! Die IP-Cop erkennt automatisch beim forwarden von UDP 500, dass es sich um ISAKMP handelt und mach Protokoll 50 mit frei. Bei PPTP jedoch muss man Protokoll 47 (GRE) zusätzlich forwarden. Zum Glück rief eben Watchguard dann nochmal an. Die erzählten davon, dass sie von diese Variante schon öfter gehört haben, wobei jedoch jedesmal der Netgear-Router für einen anderen dyndns-fähigen Router weichen mußte. Ergo : Es läuft einfach nicht mit einem Netgear der Baureihe 614 ! Zumindest gibt es Probleme damit ! Problem resolved ! Danke grizzly Gruß Mr. Oiso

Hi grizzly999 thx for your answer ! Jedoch das Protokoll 50 kann man nicht forwarden. Protokolle können scheinbar generell nicht auf Netgear-Router geforwarded werden. Das Problem ist eher, das ich nicht weiß was in der Policy auf dem Router "Named IPSEC ESP" schon alles an Ports oder Protokollen enthält. IPSEC ESP ist eine vorgefertigte Policy, welche man direkt auf dem Router aktivieren kann. Zusätzlich habe ich noch Port 500 ESP-IPSEC und NAT-T 4500 geforwarded, aber nichts geht. Gleiches habe ich auch auf einem anderen Netgear, auf dem ich PPTP versucht hatte. Auf die gleiche weise mit einer PPTP-Policy zum forwarden. Aber auch hier läuft es nicht. Im Lan ist es kein Problem den PPTP-Server anzusprechen, aber via WAN ist kein drankommen. Bei PPTP z.B. wäre es dann das GRE Protokoll 47, welches eventuell nicht läuft. Auf der Watguard kann man nicht mal auch nur annähernd was von IPSEC im Log sehen ! Vielleicht hat ja jemand schon mal Erfahrungen mit den Netgear Routern gemacht. Danke Gruß Mr. Oiso

Hallo Forum, ich habe ein Problem mit meinem Netgear RP614v.2 Firmeware 5.2RC1 deutsch. Ich möchte gerne einen VPN IPSEC-ESP von extern über das Internet auf eine Watchguard Firebox über ein Portforwarding auf den Router herstellen. Konfiguration: Watchguard VPN Client 6.1.3 Phase 1: Pre Schared Key, DES, SH1 Phase 2: IPSEC-ESP, 3DES, SH1 Router: Portforwarding: ESP-IPSEC Port500 auf die Firewall NAT-T Port4500 auf die Firerwall DYNDNS aktiviert Watchguard: Watchguard VPN Mobile User eingrichtet. Mein Problem ist der Router leitet die IPSEC Packete nicht weiter, in meinem Firerwall Log sehe ich keine incoming Protokolle. Ohne Router kann ich die Vpn Verbindung aufbauen. Da die Watchguard kein dyndns unterstützt brauch ich den Router. Gruß Olaf

Hallo Dieter Erstmal ein nützlicher Link http://www.cisco.com/en/US/products/hw/routers/ps380/products_configuration_guide_chapter09186a00801dcb1c.html Damit solltest Du in der Lage sein einen DSL connect zum Provider aufzubauen. Wenn Du diesen dann erstmal stehen hast, dann kommenwir natürlich zum VPN Programm. Damit meine ich, dass VPN prinzipiel möglich ist. Hierfür wäre es aber von Vorteil, wenn wir wüßten, welches IP-Feature-Pack sich auf dem Router befindet. Dazu solltest Du via telnet mal auf den Router gehen und "show version" eingeben. Wenn dort etwas wie c800-k9nosy6-mw.122-13.T8.bin steht, dann sieht es schon mal gut aus ! Gruß Mr. Oiso

Hi Forum hi@all Wer hat schon mal VMPS auf Cisco Kompunenten konfiguriert ? Habe das Problem, dass ein Cat2950 oder auch 3500xl die vmps_configuration.db nicht richtig lesen kann. Wie muss dies Database genau aussehen, wenn eben nicht nur ein Cat6509diese lesen soll ! Speziell das Mac-Adr. Format würde mich interessieren. "xxxx.yyyy.zzzz oder doch aa-bb-cc-dd-ee-ff" Der Catalyst ließt nur 5 lines von meiner Database welche wie folgt aussieht (Ohne Port/Vlan Groups) vmps domain Meyer vmps moed open vmps fallback Unassigned vmps no-domain-req allow vmps-mac-addrs address xxxx.yyyy.zzzz vlan-name IT Mein Prob.: Das mapping läuft nicht ! Der Host welcher connected wird kommt immer nur in das Vlan Unassigned, nicht aber nach IT ! Außerdem ließt der 6509 nur die ersten 5 lines fehlerfrei. Nicht aber line 6 ! Was tun ? Gruß Mr. Oiso

Hallo Bieradler Sorry dass ich mich so lange nicht gemeldet ! Hatte nen "Gelben" und war krank ! port security : http://www.cisco.com/en/US/partner/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84c2.html BPDU Guard / Root Guard : http://www.cisco.com/en/US/partner/tech/tk389/tk621/technologies_tech_note09186a00800ae96b.shtml Configure ACL´s : http://www.cisco.com/en/US/partner/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84c8.html Catalyst Sercurity : http://www.cisco.com/application/pdf/en/us/guest/netsol/ns294/c643/ccmigration_09186a008014956e.pdf Schon mal vor ab ! Gruß Mr. Oiso

hi fwn Sorry ! Aber das ?, gibt es nicht in der Prüfung. In der Regel auch nur Aufbau und Konfiguration. Fehlersuche macht man im Troubleshooting Kurs (CIT). Meistens wird der Fehler erklärt oder beschrieben, wonach Du dann die entsprechenden Konfigurationsänderungen vornehmen sollst. Ich hoffe hilft Dir weiter ! Gruß Mr. Oiso

Hallo Scholle Frank 04 hat da schon teilweise Recht. Zumindest vom Ansatz her pflichte ich ihm bei. Intervlan-Routing ist da wohl das Beste. Natürlich kannst Du aber auch so arbeiten, wie Du es vorhast. Jedoch würde ich es auch lieber routen. Die Frage ist aber nun ob Du überhaupt die Mittel und Hardware dazu hast ! Am besten wäre es wenn Du mal eine Skizze machst, damit hier jeder weiß, was mit wem und wohin connect hat. Ich denke, dass wir hier genug "Cisco Power" auf die Reihe bekommen, um Dir irgendwie zu helfen. Gruß Mr. Oiso

Hallo RobD_76 Ich gratuliere ! Sowas liebe ich ! Gruß Mr. Oiso

Hallo Bieradler Die meisten Features hast Du ja bereits schon angesprochen. Jedoch machen passive Möglichkeiten zur Absicherung des Netzwerkes auf Layer 2 einen hohen administrativen Aufwand. Das Pflegen von Access-Listen als Beispiel. Man kann natürlich Mac-Adr. auf port/port-gruppen und Vlan`s (inbound/outbound) beschränken, oder bei nicht eingetragenen Mac`s ports direkt abschalten um unerwünschte Host`s zu sperren, was eine hohe Sicherheit schon darstellt. Jedoch ist diese Sache sehr starr und vor allem statisch. Zum Beispiel ebenfals (Mac-Freeze) was wohl eher bedeuten soll, die Mac-Tables zu begrenzen, damit sie z.B. nicht mit einer DOS-Attack geflutet werden können. Oder als Folge davon port security zu konfigurieren, welche den port schließt wenn ein Max Count erreicht wurde. Hierzu gehören auch Methoden wie port protect und oder storm control, um unicast/multicast/broadcast Schwellwerte zu setzen, wo nach erreichen dieser portaction (filter/shutdown/trap) als mögliche features zur security zu konfigurieren wären. Port protection eher zum isolieren von unicast/multicast/broadcast z.B. Der BPDU Guard ist in jedem Fall eine gute Sache. Hierzu ist natürlich die Notwendigkeit von STP zu berücksichtigen. Zumindest hätte man damit eine große Sicheheitslücke geschlossen. Zum Thema Viren/Würmer möchte ich nur auf die neue Kooperation von Cisco mit TrendMicro hinweisen NAC = Network-Admission-Control welches ein Feature zur Überprüfung von Virenupdates als Zugangs- vorraussetzung für Netzwerk-Connect bietet. Host welche nicht die zu erfüllenden Anforderungen mitbringen, werden somit erst garnicht zugelassen, sondern als alternative in eine Art Dummy Vlan für Updates und Upgrade geschickt, um sich per Policy eine Zugangsvorraussetzung zu schaffen. Zum Thema Vlan. Mit Vlantechniken, lässt sich ebenfals eine Security-strategie entwickeln. Jedoch erfordert das wieder Routinginstanzen welche das dann anfallende Intervlan-Routing auch bewältigen können. Hierfür wäre auch VMPS eine sehr hilfreiche Sache um von der starren/statischen Konfiguration wegzukommen. "Vlan Membership Policy Server" Ein Zentrales Verwaltungsorgan, welches das Mac-to-Valn Mapping erledigt. Hierbei ist es dan egal wann, und wo sich ein Host im Netz Connect verschaft, er wird immer in das richtige Vlan gelegt. Allerdings lauert auch hier dann das Problem bei wechselnden Usern am gleichen Host, da nur der Host gemappt wird, nicht aber der User. Letztendlich erreiche ich die maximale Sicherheit nur mit 802.1x. Ich werde aber die Tage mal eine Liste zusammenstellen, welche Dir so machne Möglichkeit beschreibt. Gruß Mr. Oiso

Hallo Bieradler Deine Frage ist sehr allgemein gehalten. Allerdings gehe ich mal davon aus, dass es sich bei deinen Fragen um die Security im LAN handelt. Deswegen gleich eine Gegenfrage: Was ist mit passive gemeint ? Soll das heißen, dass Protokolle wie 802.1x hierbei nicht zum Einsatz kommen sollen ? (Radius). Vor wen und was möchte das LAN geschützt werden ? Braodcast ? Nicht autorisierte Hosts ? Sniffing ? DoS attacks ? usw. ? Gruß Mr. Oiso

Hi Switch Ich weiß zwar nicht genau mit welcher Hardware und mit welcher Software Du das betreiben willst, aber in der Regel ist das eine mögliche Lösung für Dein Problem. http://www.cisco.com/en/US/partner/products/sw/iosswrel/ps1828/products_command_reference_chapter09186a00800ca527.html Example The following example sets the traffic load threshold to 60 percent of the primary line serial 0. When that load is exceeded, the secondary line is activated, and will not be deactivated until the combined load is less than 5 percent of the primary bandwidth. interface serial 0 backup load 60 5 backup interface serial 1 Für mehr Info`s müßten wir näher ins Detail gehen ! Gruß Mr. Oiso

hi michael Eine mögliche Ursache für Runts könnte ein defekter Netzwerkadapter sein ! Oder die an ihm eingestellten media-typs 100/10 oder full/half ! Eventuell auch ein Treiberproblem ! In der Regel wurden bei Runts IP-Packete nicht richtig oder falsch Fragmentiert was mehrere Ursachen haben kann. Runts sind mir bisher nur einmal untergekommen, da handelte es sich aber um eine Linux Machine, mit welcher auch kein Autonegotiation möglich war. Hier habe ich dann an der Netzwerkkarte die Buffer hochgedreht und sie fest konfiguriert. 100/full z.B. Dabei dann aber denn Cisco Switch auf auto stehen lassen, da sonst immernoch Runts auftraten. Good luck Gruß Mr._Oiso

Hallo Blacky_24, hallo Switch Wie wäre es, wenn Du durch mehrere Patchkabel die Dämpfungsreserve reduzierst, womit Du eine große Distanz an Leitung simulierst. Was für eine Faser verwendest Du ? 50 oder 62,5 ym ? Gruß Mr. Oiso

Hallo Milla, Hallo Blacky_24 Kiwi CatTool 2.0.8 ist Freeware und funkt astrein ! http://www.kiwisyslog.com/software_downloads.htm MfG Mr. Oiso

Hallo ING Zur Hilfe : Ich denke dass Du bei der Hyper Terminal Einstellung mal alle Baud-Raten testen solltest. Es sieht so aus als sei alles o.k., nur eben die speed nicht ! Am besten von 1200 - 115200 mal alle nacheinander testen. Die Emulation lass mal auf Automatische Erkennung. Bei der Flussteuerung Hardware oder keine ! Für das Unterbrechen des Bootvorgangs unter NT schaltest Du den Switch aus und wieder ein. Lass den Terminal laufen und tippe in den ersten 60sec Steuerung und Pause/Untbr. Danach sollte der Switch im Boot Menü anhalten. Nur wirst Du ebenso nichts sehen, Du den ersten Teil nicht zum Erfolg bringst. MfG Mr. Oiso

Hi sepp Ist das nicht eine sinnlose Frage ? CCNA`s etc. und CCIE`s müssen sich eh alle 2 Jahre rezertifizieren. Deshalb ändert sich die Zahl täglich ! Ausserdem glaube ich, dass es genügend Techniker im EDV-Bereich gibt, welche alle das Zeug zum CCNA haben und es trotzdem nicht sind. Der CCNA ist mehr oder weniger nur für`s Papier. Ein Titel, den man bei bestandenen Prüfungen tragen und angeben darf. Die Zahl der CCIE`s so habe ich mir bei meinem letzten Cisco Training sagen lassen, beläuft sich bestimmt schon auf 15000 ! Tendenz allerdings fallend. Ein Ciscomotto- Klasse statt Masse ! MfG Mr. Oiso

Hallo ntnetdog So wie ich das sehe wird das mit der Config nix ! Dialer pool Konfiguration 1 ist o.k., aber das dialer interface 2 ist member von pool 2 welches Dir am BRI aber nicht zur Verfügung steht. Pack das dialer Interface 2 mal in den pool 1 ! +++++++++++++++++++++++++++++++++++++++++ Fehler 619 Starten Sie Ihren Computer neu, um sicherzustellen, dass sämtliche zuletzt in der Konfiguration vorgenommenen Änderungen wirksam sind. +++++++++++++++++++++++++++++++++++++++++ Ich bin mir aber nicht sicher ob es so funzt. Dialer pool Konfigurationen gehören nicht zumeinem Stammrepertoire. Ich arbeite lieber mit Dialer-Gruppen. Wenn`s nicht läuft......ich schau mal nach ob ich noch was brauchbares an Konfigurationen habe ! Es sei denn Scooby ist schneller ! Lasse von mir hören MfG Mr. Oiso

Hallo BlueIce Frank04 hat wahrscheinlich recht ! Hast Du die "isdn switch-type basic-net3" global oder nur am Interface konfiguriert ? In der Regel sollte es global getan werden. Danach übernimmt er sie auch am BRI ! Hier als Unterstützung die Message des Output Interpreters von Cisco : Bei beiden loggings die gleiche Aussage ! ERROR MESSAGE NOTIFICATIONS (if any) %LINK-3-UPDOWN (x2): Interface [chars], changed state to [chars] Explanation: The interface hardware has gone either up or down. Recommended Action: If the state change was unexpected, confirm the configuration settings for the interface. -------------------------------------------------------------------------------- No information on error code ISDN-6-CONNECT No information on error code DIALER-6-UNBIND No information on error code DIALER-6-BIND MfG Mr. Oiso

Hallo Milla Hast Du schon mal "copy run tftp" probiert ? Die running-config ist die momentan laufende Konfiguration eines Router / Switches ! Gruß Mr. Oiso

Hi Chris18 Ist die Kiste neu ? Ist auf dem AP eventuell schon eine Config aktiv ? Wenn Du diese Fehlermeldung lesen kannst hast Du doch schon Connect via Console ! Versuch mal ein "enable" Fordert er dann das Passwort an ? Tip: Die Kiste schon mal Resetet ? Auf der Rückseite ist nen Mode Button, diesen beim neu Start mal 10 sec festhalten ! MfG Mr. Oiso

Hallo jpzueri Sorry ! Ist mir nicht aufgefallen ! Utix !!! Please do so ! Gruß Mr. Oiso

Hallo Chris18 "Und heute läd er erst gar nicht mehr (über) die Console, er bringt nur noch den Fehler: Interface Dot11Radio0, Deauthenticating Station ... Reason: Previous authentication no longer valid" Was meinst Du damit ? Hast Du denn Consolen-Zugriff ? Welche Version hast Du ? z.B. Air-AP1220B oder Air-AP1231G ? Versuchs mal mit nem Web-Zugriff via 10.0.0.1 (default) Passwort sollte default user=Cisco password=Cisco sein ! MfG Mr. Oiso

Hallo utix Da hilft wohl nur suchen ! Was für ein Cisco Catalyst ist es den ? Welches IOS/CatOS ? Vieleicht kann er ja schon nen l2trace ! Damit könntest Du schnell dahinterkommen, welche Mac hinter welcher IP steckt und wo sich der Rechner befindet ! Ansonsten hilft Dir wohl nur Windows "cmd" erst alle pingen und sofort nen arp -a IP hinterher, damit Du die Mac zur IP findest. Danach kannst Du auf jeden Fall auf dem Switch nen "sh mac-address-table" absetzen, worauf er Dir alle gelernten Adressen anzeigt. Damit erhälst Du eine Tabelle, in der rechts neben den Mac-Adr. die Ports aufgelistet werden, an denen der Switch sie gelernt hat. Steht dann rechts nur ein Eth-Int, dann kannst Du davon ausgehen, dass sich die Mac als Host an diesem Port befinden. Bei einem Gigabit Int wird es in der Regel schwer (Backbone). Hier hält ein Switch in der Regel viele Mac-Adr. ! Mfg Mr. Oiso

Hi kryble Ich mache mir in der Regel auch das Leben leicht ! SUS hilft dabei ungemein ! Bis ich den Kram aber erstmal richtig am laufen hatte dauerte es schon etwas ! Mein Tip : Schau mal ob die Dienste gestartet sind. Automatische Updates Intelligenter hintergrundübertragungsdienst Gruß Mr._Oiso