tom12
-
Gesamte Inhalte
294 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von tom12
-
-
Hi,
für GRE brauchst du kein NAT machen. Dies wird autom. gemacht, wenn du TCP Port 1723 weiterleitest.
Falls du am Interface eine ACL gebunden hast, musst du hier aber GRE erlauben:
access-list 100 permit ip any any eq gre
access-list 100 permit tcp any any eq 1723
Grüsse
Thomas
-
Hallo,
physisch kannst du 10 oder 100 Mbit einstellen.
Auf der 3550er Serie kannst du Policing und MArking machen.
Klappt ganz gut, in input und output am Interface.
Ev. musst du an der Burst Size rumspielen (z.B. verdoppeln, verdreifachen) bis du die optimale QoS findest. Dies vor allem, wenn du mehre Klassen für den traffic hast...
http://www.cisco.com/en/US/products/hw/switches/ps646/products_tech_note09186a00800feff5.shtml
Am 2950er kannst du auch sowas ähnliches machen
wegen dem IOS weiss ich nicht so genau, versuchs mit dem Feature Navigator auf der website.
Grüsse
Thomas
-
hi rob,
weil ich es bei einem Kunden anwenden muss!..
-
Hi,
du benötigst eine default Route.
Wenn du NAT machst (Source-NAT) wird die Source -IP ja nicht verändert.
Wohin werden die Antwortpakete versendet??
Bsp: Telnet von einer öffentlichen IP (80.12.12.12) kommt auf deinem Router an. Der Router hat KEINE Route zu 80.12.12.12, also kann er nicht antworten...
Grüsse
-
Hi an alle!
Meine Frage:
Was passiert wenn ich ein Multilink PPP mit zwei unterschiedlichen Interfaces mache, also sprich eienn Seriellen 2 Mbit Link und ein 512Mbit Link?
Wie werden die Pakete gesendet, werden z.B. 4 Pakete auf den 2 Mbit Link geworfen und 1 PAket auf den 512 Mbit Link usw... ??
Gibt es hierfür best. Commandos?
Hab auf Cisco.com dazu noch leider nichts gefunden, wäre dankbar für einen Link..
Grüsse
Thomas
-
Hi,
ich sehe bei deiner Config kein aktives WAN Interface...
Verstehe dein Prob nicht ganz.
Stimmen die Routen?
Ist der Router vom WAN aus pingbar?
Grüsse
-
Hi,
hier die Beschreibung lt. cisco:
%PIX-4-402101: decaps: rec'd IPSEC packet has invalid spi for destaddr=ip-addr, prot=protocol, spi=spi
Explanation
Received IPSec packet specifies SPI that does not exist in SADB. This may be a temporary condition due to slight differences in aging of SAs between the IPSec peers, or it may be because the local SAs have been cleared. It may also be because of incorrect packets sent by the IPSec peer. This may also be an attack.
Action
The peer may not acknowledge that the local SAs have been cleared. If a new connection is established from the local router, the two peers may then reestablish successfully. Otherwise, if the problem occurs for more than a brief period, either attempt to establish a new connection or contact the peer's administrator.
Ist die lifetime der IPsec SA´s auf beiden peers gleich ? Setz diese ev. mal auf 24h oder so.
...oder vielleicht will jemand, dass dein Tunnel zusammenbricht..
Grüsse
Thomas
-
..jaja, irgendwie weiss man nie wie man vor einer Prüfung dran ist.
Trotzdem danke
-
Hi an alle,
ich werde demnächst die BCMSN Prüfung ablegen.
Also beim CCNA benötigt man ja 849/1000 Punkten.
Beim BCMSN 755/1000 (nur!).
Meine Frage:
Ist die BCMSN Prüfung verhältnismässig viel schwerer/einfacher als der CCNA?
Was ist der Schwerpunkt, kommen Sachen von IP-Multicast, QoS dran?
Sind in etwa wieder 2-3 LAB´s?
Danke und Grüsse
Thomas
-
Hi,
andere folgendes:
dialer-list 1 protocol ip list 1 ---> dialer-list 1 protocol ip permit
..diesen Eintrag kannst du später immer noch ändern...
diese beiden Routen kannst du im Prinzip auch weglassen (auf einem Fateethernet interface kannst du nicht die default Route angeben, nur auf Point-to-Point Links):
no ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
diese Route wird sowieso als "directly connected" gesehen:
no ip route 192.168.2.0 255.255.254.0 FastEthernet0/0 permanent
Dein Problem dürfte damit zusammenhängen, dass der PC keine IP zugewiesen bekommt..
Mach mal folgendes, sobald EINER der beiden clients verbunden ist:
show user
show ip route
Hast du am PC unter der Netzwerkverbindung die IP Adresse manuell eingetragen??
Grüsse
Thomas
-
..HerosII...sorry, aber weisst du überhaupt von was du redest oder was du willst??
Irgendwie kommt mir vor du kennst dich mit deinem Netz nicht aus.
Wenn du Hilfe benötigst, musst du auch erklären was dein Problem ist!
Gruss
Thomas
-
ich würd den VPN Client deinstallieren und eine neuere Version installieren (oder denselben nochmals)
Windows update...
-
Hi,
wir haben einen 2621er welcher z.Z. 10 Mbit durchroutet.
2 x 2 Mbit/s serial Interface -> 1 logischer 4Mbit/s PPP Multilink Kanal
2 X fastethernet
auf allen drein Interfacen wird QoS gemacht (CB-WFQ).
Bei voller Auslastung liegt die CPU-Last bei ca. 30%.
...ich würde sagen du hast für die nächsten Jahre noch auskommen..
Grüsse
Thomas
-
Hi,
ich denk mal dass du eine Ipsec verwendest..
wie lange ist die Lifetime der IPsec SA ? Vielleicht kann es irgendwie damit zusammenhängen...oder mit dem "Rekeying" von IKE (isakmp)..
Aktivier auf alle Fälle das logging.
Grüsse
-
klar, acl 133 ist für PAT, wo du den verschlüsselten traffic verbietest.
Acl 108 definiert für was für traffic verschlüsselt/entschlüsselt wird
Nun für die neue config:
Welches LAN hast du hinter dem anderen 2600er ?
Wie sieht dessen config aus ?
-
also die IPsec SA´s stehen. Der tunnel ist oben.
Dem Router ist ein IPsec Paket korrekt angekommen.
#pkts decaps: 1, #pkts decrypt: 1, #pkts verify 1
...kommt mir irgendwie wenig vor...hast du vom VPN-Client aus einen Dauerping gemacht ??
ich vermute irgendetwas mit NAT.
und ACL 108
muss so aussehen:
access-list 108 permit ip 192.168.13.0 0.0.0.255 172.16.1.0 0.0.0.255
dann noch:
crypto dynamic-map dynmap 10
match address 108
crypto isakmp client configuration group 3000client
acl 108
crypto isakmp nat keepalive 20
.. da NAT-Traversal gemacht wird (UDP 4500 anstatt 500)
current_peer: 84.167.28.37:4500
Der link sollte helfen:
viel glück
-
Hi,
mach ein
show crypto ipsec sa
werden Pakete ver-/ bzw. entschlüsselt?
In welche Richtung?
welchen output gibt ein ein
show ip nat translation ?
und
show ip route
natürlich wenn der Client verbunden ist, un lass einen ping laufen..
-
Warum aktiviert du nicht die FW ?
int fast 0/0
ip inspect Inspect100 in
access-list 120 deny ip any any log
int d0
ip access-group 120 in
Wenn du Telnet, ping auf den Router von aussen öffnen wills, musst du access-list 120 anpassen..
mit "show access-list 120" siehst du wie die ACL dynamisch verändert wird
-
@pitt72:
Hi,
versuch mal folgendes:
access-list 133 deny ip 192.168.13.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 133 permit ip 192.168.13.0 0.0.0.255 any
und
ip nat inside source list 133 interface Dialer1 overload
Vermutlich wird ein PAT auf die PAkete Richtung VPN-Client gemacht. Das Nat wird vor dem crypto check gemacht.
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml
Grüsse
Thomas
-
Hi,
mein Rat:
Mache die VPNs von aussen mit IPsec clients oder mit dem PPTP client von Windows (http://www.cisco.com/en/US/tech/tk827/tk369/technologies_configuration_example09186a00801e51e2.shtml).
IPsec wäre natürlich besser !
Ich weiss nicht genau wie das mit den Domönenebrechtigungen geht.MS verwendet das Kerberos Protokoll..
Das hier hilft vielleicht:
grüsse
Thomas
-
Hi,
ich hatte auch erst kürzlich mit einem 12.3 (irgendwas) T IOS Probleme.
Das NAT und CBAC haben irgendwie nicht zusammengespielt. Die NAT Tabelle hat sich selbst gefüllt, CBAC wollte mit der VPN nicht, etc..
Wahrscheinlich hast du auch so ein "Buggy"-IOS. Versuchs mit einem anderen!
...irgendwie kann ich das nicht verstehen, dass RELEASE IOS solche Lücken aufweisen.......
naja... Cisco arbeitet nun z.T. mit Microsoft zusammen....
Viel Glück
Thomas
-
Hi,
am besten machst du CB-LLQ (Class Based - Low Latency Queuing).
Mit den Befehlen "priority" und "bandwidth" kannst du Bandbreite garantieren. Falls mehr Bandbreite zur Verfügung steht, wird die gesamte hergenommen (z.B. bei einem ftp)
Dies kannst du nur in OUTPUT an einem Interface machen (sonst wären die Pakete ja schon akzeptiert...).
grüsse
Thomas
-
Hi,
dein Problem klingt sehr komisch....
sobald der Router nicht mehr routet, wie sieht da die Routingtabele aus??
Vergleich die Routingtabelle vorher und nachher.
aktivier das logging:
logging buffered <bytes> debugging
Vielleicht hilf das ...
Gruss
Thomas
-
Hi,
am LAN interface hast du NAT aktiviert...
interface Ethernet0/1
no ip nat inside
Grüsse
Thomas
CISCO 836 mit ADSL u. ISDN Fallback - VPN konfigurieren
in Cisco Forum — Allgemein
Geschrieben
Das ist prinzipiell kein Problem...
Folgendes ist zu sagen:
Falls das ADSL Interface (ATM 0) am Router down geht bemerkt das der Router...aber was passiert wenn in den ATM cross-connections oder sonst wo im Providernetz etwas ausfällt? Der Router sieht das INterface immer UP, da er mit dem DSLAM verbunden ist!
Deshalb musst du ein Routingprotokoll fahren (EIGRP, OSPF). Aber konfiguriert dein Provider an der anderen Seiter dies? eher nicht...
Lösung:
"connection tracking" ab IOS 12.3
Dabei wir andauernd eine IP angepingt. Sobald diese nicht antwortet wird das BAckup aktiv.
Zur VPN:
jede der Aussenstellen spricht mit der Hauptstelle ein Routingprotokoll. Dazu musst du einen GRE Tunnel aufbauen über welchem z.B. EIGRP oder OSPF gemacht wird.
Dann fehlt nur noch der IPSec Tunnel.
Habs selbst nie mit GRE konfiguriert, sollte aber klappen.
Auf der Website von Cisco findest du genug...
Hoffe ich konnte helfen
Thomas