tom12

Das ist prinzipiell kein Problem... Folgendes ist zu sagen: Falls das ADSL Interface (ATM 0) am Router down geht bemerkt das der Router...aber was passiert wenn in den ATM cross-connections oder sonst wo im Providernetz etwas ausfällt? Der Router sieht das INterface immer UP, da er mit dem DSLAM verbunden ist! Deshalb musst du ein Routingprotokoll fahren (EIGRP, OSPF). Aber konfiguriert dein Provider an der anderen Seiter dies? eher nicht... Lösung: "connection tracking" ab IOS 12.3 Dabei wir andauernd eine IP angepingt. Sobald diese nicht antwortet wird das BAckup aktiv. Zur VPN: jede der Aussenstellen spricht mit der Hauptstelle ein Routingprotokoll. Dazu musst du einen GRE Tunnel aufbauen über welchem z.B. EIGRP oder OSPF gemacht wird. Dann fehlt nur noch der IPSec Tunnel. Habs selbst nie mit GRE konfiguriert, sollte aber klappen. Auf der Website von Cisco findest du genug... Hoffe ich konnte helfen Thomas

Hi, für GRE brauchst du kein NAT machen. Dies wird autom. gemacht, wenn du TCP Port 1723 weiterleitest. Falls du am Interface eine ACL gebunden hast, musst du hier aber GRE erlauben: access-list 100 permit ip any any eq gre access-list 100 permit tcp any any eq 1723 Grüsse Thomas

Hallo, physisch kannst du 10 oder 100 Mbit einstellen. Auf der 3550er Serie kannst du Policing und MArking machen. Klappt ganz gut, in input und output am Interface. Ev. musst du an der Burst Size rumspielen (z.B. verdoppeln, verdreifachen) bis du die optimale QoS findest. Dies vor allem, wenn du mehre Klassen für den traffic hast... http://www.cisco.com/en/US/products/hw/switches/ps646/products_tech_note09186a00800feff5.shtml Am 2950er kannst du auch sowas ähnliches machen http://www.cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84c9.html#13133 wegen dem IOS weiss ich nicht so genau, versuchs mit dem Feature Navigator auf der website. Grüsse Thomas

hi rob, weil ich es bei einem Kunden anwenden muss!..

Hi, du benötigst eine default Route. Wenn du NAT machst (Source-NAT) wird die Source -IP ja nicht verändert. Wohin werden die Antwortpakete versendet?? Bsp: Telnet von einer öffentlichen IP (80.12.12.12) kommt auf deinem Router an. Der Router hat KEINE Route zu 80.12.12.12, also kann er nicht antworten... Grüsse

Hi an alle! Meine Frage: Was passiert wenn ich ein Multilink PPP mit zwei unterschiedlichen Interfaces mache, also sprich eienn Seriellen 2 Mbit Link und ein 512Mbit Link? Wie werden die Pakete gesendet, werden z.B. 4 Pakete auf den 2 Mbit Link geworfen und 1 PAket auf den 512 Mbit Link usw... ?? Gibt es hierfür best. Commandos? Hab auf Cisco.com dazu noch leider nichts gefunden, wäre dankbar für einen Link.. Grüsse Thomas

Hi, ich sehe bei deiner Config kein aktives WAN Interface... Verstehe dein Prob nicht ganz. Stimmen die Routen? Ist der Router vom WAN aus pingbar? Grüsse

Hi, hier die Beschreibung lt. cisco: %PIX-4-402101: decaps: rec'd IPSEC packet has invalid spi for destaddr=ip-addr, prot=protocol, spi=spi Explanation Received IPSec packet specifies SPI that does not exist in SADB. This may be a temporary condition due to slight differences in aging of SAs between the IPSec peers, or it may be because the local SAs have been cleared. It may also be because of incorrect packets sent by the IPSec peer. This may also be an attack. Action The peer may not acknowledge that the local SAs have been cleared. If a new connection is established from the local router, the two peers may then reestablish successfully. Otherwise, if the problem occurs for more than a brief period, either attempt to establish a new connection or contact the peer's administrator. Ist die lifetime der IPsec SA´s auf beiden peers gleich ? Setz diese ev. mal auf 24h oder so. ...oder vielleicht will jemand, dass dein Tunnel zusammenbricht.. Grüsse Thomas

..jaja, irgendwie weiss man nie wie man vor einer Prüfung dran ist. Trotzdem danke

Hi an alle, ich werde demnächst die BCMSN Prüfung ablegen. Also beim CCNA benötigt man ja 849/1000 Punkten. Beim BCMSN 755/1000 (nur!). Meine Frage: Ist die BCMSN Prüfung verhältnismässig viel schwerer/einfacher als der CCNA? Was ist der Schwerpunkt, kommen Sachen von IP-Multicast, QoS dran? Sind in etwa wieder 2-3 LAB´s? Danke und Grüsse Thomas

Hi, andere folgendes: dialer-list 1 protocol ip list 1 ---> dialer-list 1 protocol ip permit ..diesen Eintrag kannst du später immer noch ändern... diese beiden Routen kannst du im Prinzip auch weglassen (auf einem Fateethernet interface kannst du nicht die default Route angeben, nur auf Point-to-Point Links): no ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 diese Route wird sowieso als "directly connected" gesehen: no ip route 192.168.2.0 255.255.254.0 FastEthernet0/0 permanent Dein Problem dürfte damit zusammenhängen, dass der PC keine IP zugewiesen bekommt.. Mach mal folgendes, sobald EINER der beiden clients verbunden ist: show user show ip route Hast du am PC unter der Netzwerkverbindung die IP Adresse manuell eingetragen?? Grüsse Thomas

..HerosII...sorry, aber weisst du überhaupt von was du redest oder was du willst?? Irgendwie kommt mir vor du kennst dich mit deinem Netz nicht aus. Wenn du Hilfe benötigst, musst du auch erklären was dein Problem ist! Gruss Thomas

ich würd den VPN Client deinstallieren und eine neuere Version installieren (oder denselben nochmals) Windows update...

Hi, wir haben einen 2621er welcher z.Z. 10 Mbit durchroutet. 2 x 2 Mbit/s serial Interface -> 1 logischer 4Mbit/s PPP Multilink Kanal 2 X fastethernet auf allen drein Interfacen wird QoS gemacht (CB-WFQ). Bei voller Auslastung liegt die CPU-Last bei ca. 30%. ...ich würde sagen du hast für die nächsten Jahre noch auskommen.. Grüsse Thomas

Hi, ich denk mal dass du eine Ipsec verwendest.. wie lange ist die Lifetime der IPsec SA ? Vielleicht kann es irgendwie damit zusammenhängen...oder mit dem "Rekeying" von IKE (isakmp).. Aktivier auf alle Fälle das logging. Grüsse

klar, acl 133 ist für PAT, wo du den verschlüsselten traffic verbietest. Acl 108 definiert für was für traffic verschlüsselt/entschlüsselt wird Nun für die neue config: Welches LAN hast du hinter dem anderen 2600er ? Wie sieht dessen config aus ?

also die IPsec SA´s stehen. Der tunnel ist oben. Dem Router ist ein IPsec Paket korrekt angekommen. #pkts decaps: 1, #pkts decrypt: 1, #pkts verify 1 ...kommt mir irgendwie wenig vor...hast du vom VPN-Client aus einen Dauerping gemacht ?? ich vermute irgendetwas mit NAT. und ACL 108 muss so aussehen: access-list 108 permit ip 192.168.13.0 0.0.0.255 172.16.1.0 0.0.0.255 dann noch: crypto dynamic-map dynmap 10 match address 108 crypto isakmp client configuration group 3000client acl 108 crypto isakmp nat keepalive 20 .. da NAT-Traversal gemacht wird (UDP 4500 anstatt 500) current_peer: 84.167.28.37:4500 Der link sollte helfen: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080235197.shtml#intro viel glück

Hi, mach ein show crypto ipsec sa werden Pakete ver-/ bzw. entschlüsselt? In welche Richtung? welchen output gibt ein ein show ip nat translation ? und show ip route natürlich wenn der Client verbunden ist, un lass einen ping laufen..

Warum aktiviert du nicht die FW ? int fast 0/0 ip inspect Inspect100 in access-list 120 deny ip any any log int d0 ip access-group 120 in Wenn du Telnet, ping auf den Router von aussen öffnen wills, musst du access-list 120 anpassen.. mit "show access-list 120" siehst du wie die ACL dynamisch verändert wird

@pitt72: Hi, versuch mal folgendes: access-list 133 deny ip 192.168.13.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 133 permit ip 192.168.13.0 0.0.0.255 any und ip nat inside source list 133 interface Dialer1 overload Vermutlich wird ein PAT auf die PAkete Richtung VPN-Client gemacht. Das Nat wird vor dem crypto check gemacht. http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml Grüsse Thomas

Hi, mein Rat: Mache die VPNs von aussen mit IPsec clients oder mit dem PPTP client von Windows (http://www.cisco.com/en/US/tech/tk827/tk369/technologies_configuration_example09186a00801e51e2.shtml). IPsec wäre natürlich besser ! Ich weiss nicht genau wie das mit den Domönenebrechtigungen geht.MS verwendet das Kerberos Protokoll.. Das hier hilft vielleicht: http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_configuration_guide_chapter09186a00800ca6dc.html#23616 grüsse Thomas

Hi, ich hatte auch erst kürzlich mit einem 12.3 (irgendwas) T IOS Probleme. Das NAT und CBAC haben irgendwie nicht zusammengespielt. Die NAT Tabelle hat sich selbst gefüllt, CBAC wollte mit der VPN nicht, etc.. Wahrscheinlich hast du auch so ein "Buggy"-IOS. Versuchs mit einem anderen! ...irgendwie kann ich das nicht verstehen, dass RELEASE IOS solche Lücken aufweisen....... naja... Cisco arbeitet nun z.T. mit Microsoft zusammen.... Viel Glück Thomas

Hi, am besten machst du CB-LLQ (Class Based - Low Latency Queuing). Mit den Befehlen "priority" und "bandwidth" kannst du Bandbreite garantieren. Falls mehr Bandbreite zur Verfügung steht, wird die gesamte hergenommen (z.B. bei einem ftp) Dies kannst du nur in OUTPUT an einem Interface machen (sonst wären die Pakete ja schon akzeptiert...). grüsse Thomas

Hi, dein Problem klingt sehr komisch.... sobald der Router nicht mehr routet, wie sieht da die Routingtabele aus?? Vergleich die Routingtabelle vorher und nachher. aktivier das logging: logging buffered <bytes> debugging Vielleicht hilf das ... Gruss Thomas

Hi, am LAN interface hast du NAT aktiviert... interface Ethernet0/1 no ip nat inside Grüsse Thomas