Hr_Rossi

hi in tunesien wprd ich mal schaun wegen den isdn switch-type ******* möglich das die eine andere signalisierung haben mfg rossi

hi ich würde sagen du brauchst auch auf alle fälle diesen eintrag bri0 isdn calling-number ****** mfg rossi

hi hast du auch den vpn-clients eine lokale ip-address zugewiesen ;) lg rossi

huhu foren gemeinde ;) also ich bekomme nächste woche 2 pix 501 die ich mit site to site auf den wan ports mittels ipsec und pre-shared key verbinden soll da ich mit den ablauf von ipsec der 2 phasen und des IKE schon vertraut bin glaube ich das es keine schwierigkeit sein sollte dies zu implementieren. wenn es aber jemanden hier gibt der dies schon mal gemacht hat bitte ich diesen einen mir zu sagen auf was man achten sollte, damit der zeitaufwand der konf. gering bleibt !! also ich hoffe auf erfahrungsberichte :p greets rossi :cool:

hiho so router tipp von mir zyxel 2w ist vpn server mit 2 gleichz. verb. und ünterstützt ipsec in den versch. variationen und verfügt auch über wlan greets rossi

komischer callback mit telnet wenn ich aufn server zugreif macht er mir den callback anstandslos der mag nur keinen dauerhaften ping vielleicht kannst das mit den hold-queue genauer beschreiben wo am server am client im welchen verhältnis muss der seinn usw... mit welchen werten ..... thx rossi

hi was möglich ist bei solchen situationen is folgendes wenn der router immer routing-updates über isdn macht !! abhilfe dursch statische routen und passive interface !! mfg rossui

jo hi oiso dialer map gut und schön aber wenn man mit logischen dialer arbeitet funkt keine dialer-map oder lieg ich da verkehrt !?? gruss rossi

über rs232 natürlich noch flusskontrole auf AUS oder KEINE !! mfg rossi

achso so meinst du das auf die schnelle fällt mir nichts ein aber werde mir das mal anschaun könnt ich ja auch gebrauchen meld mich wenn ich was hab :cool: mfg rossi

hi also hast du di eip 192.168.1.255 mit der subnetmask 255.255.255.0 ??? und hast du diese ip einen host gegeben also standardmässig sind die 1. addresse im subnet sprich 192.168.1.0 die netzwerkaddresse und die 192.168.1.255 die broadcastaddresse und die willst du pingen ?? definiere mal ?? mfg rossi

so mein config hab i jetzt gepostet aber keiner ne antwort auf mein problem dann erklär ichs nochmal ping mit 4 intervallen vom client zum server zeitüberschreitung nachdem ping 5sek siehe enable-timeout 5 findet der callback statt (callback funkt) was aber nicht funkt wenn ich einen dauerhaften ping mache vom client zum server checkt der irgendwie nicht das er einen callback machen soll gibts da irgendwas ?? was macht der hold-queue befehl brauch ich den ?? mfg rossi

hi also den vpn-client den ich gesehn und gesaugt habe der ist anscheinend kostenlos (konnte es selber ned glauben) aber das manko ist das er bei ipsec keine pre-shared keys unterstützt sondern nur zertifikate und ich ihn deshalb nicht brauchen konnte vielleicht is ja deiner ein anderer gruss rossi :)

1. patch nr.818043 ipse/lstp eingespielt auf workstation 2. ip-richtlinie erstellt sieh zywall.ipsec wo hat es gescheitert !! Das grundlegende Problem war das es für ipsec 2 versch. encapsulations gibt 1. tunnel-mode 2. transport-mode der SSH Sentinel ipsec client läuft mit dem tunnel modus !! standard ipsec nur über vpn-connection und dann pre-shared key funkt nicht weil durch diese konfig windows im transport modus versucht zu connecten laut aussage von hr. reckler Fa. upgrade braucht die zywall encapsulation tunnel !! so dadurch habe ich eine richtlinie erstellen müssen (zywall.ipsec) dort kann man die tunnelendpunkte definieren und somit mit encapsulation "tunnel"auf die zywall connecten !! die anleitung der zyxel homepage sind fehlerhaft da dort die ip´s der tunnelendpunkte der quell und zieladdresse falsch konfiguriert sind !! und man braucht keine spiegelung der paket !! man braucht mit dieser richtlinie keine vpn-connection mehr herstellen sondern einfach zuweisen und los initierung mit ping !!

juhu es funktioniert ich glaubs ned so folgende fehler: die angaben auf der zyxel page waren fehlerhaft !! tunnel und local ip fehlerhaft man muss das spiegeln der packete ausschalten und keine lokalen single address am router vergeben sondern ein lokales subnet warum auch immer es funkt jetzt !! mfg rossi

moin tja da hast schon recht mit der zywall HP bzw den papers mit den richtlinien aber anscheinend ich als MCSE bin echt zu b***d diesen lösungsweg zu implementieren :( naja was solls ich danke auf alle fälle für deine hilfe grizzly und werd noch weiter daran rumbasteln werd mich melden wenn ich eine lösung hab und dir dann mitteilen mfg rossi

so hab mit ein paar MCT´s gesprochen die sagen das sie ztw dasselbe problem haben auch mit anderen routern das ab der phase 2 der erstellte key durch IKE nicht mehr gegenseitig der gleiche ist (siehe oakley-log) und so die phase 2 in den ***** geht sorry aber anscheinend is das echt ein MS BUG echt ******** mfg rossi

hehehe keine sorge dies ist eine labor config und eine config von der praxis würd ich nieeeeee so reinstellen hehe aber danke mfg rossi :cool:

huh so hier meine interface-konfig am client interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 isdn answer1 30 isdn answer2 30 isdn calling-number 30 ! interface Dialer1 ip address 10.10.10.1 255.255.255.0 encapsulation ppp dialer pool 1 dialer enable-timeout 5 dialer string 31 dialer-group 1 ppp callback request ppp authentication chap ppp chap hostname client ppp chap password 7 XXXXXXXXXX und am server ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 isdn answer1 31 isdn answer2 31 isdn calling-number 31 ! interface Dialer10 ip address 10.10.10.2 255.255.255.0 encapsulation ppp dialer pool 1 dialer enable-timeout 5 dialer string 30 dialer caller 30 callback dialer-group 1 no cdp enable ppp callback accept ppp authentication chap ppp chap hostname server ppp chap password 7 XXXXXXXXXX !

so neueste firmware drauf von zyxel über seriell eingespielt 3.62 default config.rom drauf auf den clients der patch drauf und es finkr nicht in den router logs immer die ser fehler zu beginn der phase 2 12 07/30/2004 05:50:25 vs. My Remote [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE 13 07/30/2004 05:50:25 Recv ID: SINGLE, [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE 14 07/30/2004 05:50:25 Rule [1] Verifying Remote ID failed: 192.168.100.102 212.24.115.82 IKE laut der techn. referenz von der zywal bedeutet das "During IKE Phase 2negotiation, both parties exchange policy details, including local and remote IP address ranges. If these ranges differ, then the connection fails." hab aber die Ip sicher richtig !! mit SSH Sentinel funkt es bis auf das das der einenandere encapsulation fährt nämlich " tunnel" sonst komplett intente einstellunge hast du noch eine idee grizzly schön langsam bin ich mit meinem latein am ende gruss rossi

so also wenn ich dich richtig verstanden hab willst auf einem router-interface mehre vlans routen oder ?? also bei cisco funkt das so das zauberwort heisst "hot stick on the router" mehrere log. interface am routerport def. dann sollte es klappen

jo keine sorge der client ist am letzten stabd der möglichen updates *man das dauert über die serielle verbindung* (firmware update) mfg rossi

hi der client käuft hinter einen unix-router aber hab mit den zyxel techniker gesprochen die sagen das man die firmware nochmal über eine serielle verb. flashen soll und die default config bin ja mal gespannt mfg rossi

und hier das router log !!! 1 07/29/2004 13:29:35 Send:[sA][VID] 212.24.115.82 192.168.100.102 IKE 2 07/29/2004 13:29:34 Recv:[sA][VID] 192.168.100.102 212.24.115.82 IKE 3 07/29/2004 13:29:34 Recv Main Mode request from [192.168.100.102] 192.168.100.102 212.24.115.82 IKE 4 07/29/2004 13:29:34 Rule [2] Receiving IKE request 192.168.100.102 212.24.115.82 IKE 5 07/29/2004 13:29:34 Send:[HASH][DEL] 212.24.115.82 192.168.100.102 IKE 6 07/29/2004 13:29:34 Send:[HASH][NOTFY:ERR_ID_INFO] 212.24.115.82 192.168.100.102 IKE 7 07/29/2004 13:29:34 vs. My Remote [0.0.0.0]-[0.0.0.0] 192.168.100.102 212.24.115.82 IKE 8 07/29/2004 13:29:34 Recv ID: SINGLE, [192.168.100.102]-[192.168.100.102] 192.168.100.102 212.24.115.82 IKE 9 07/29/2004 13:29:34 Rule [2] Verifying Remote ID failed: 192.168.100.102 212.24.115.82 IKE 10 07/29/2004 13:29:34 Start Phase 2: Quick Mode 192.168.100.102 212.24.115.82 IKE 11 07/29/2004 13:29:34 Recv:[HASH][sA][NONCE][iD][iD] 192.168.100.102 212.24.115.82 IKE 12 07/29/2004 13:29:34 Phase 1 IKE SA process done 212.24.115.82 192.168.100.102 IKE 13 07/29/2004 13:29:34 Send:[iD][HASH][NOTFY:INIT_CONTACT] 212.24.115.82 192.168.100.102 IKE 14 07/29/2004 13:29:34 Recv:[iD][HASH] 192.168.100.102 212.24.115.82 IKE 15 07/29/2004 13:29:34 Send:[KE][NONCE] 212.24.115.82 192.168.100.102 IKE 16 07/29/2004 13:29:34 Recv:[KE][NONCE] 192.168.100.102 212.24.115.82 IKE 17 07/29/2004 13:29:33 Send:[sA][VID] 212.24.115.82 192.168.100.102 IKE 18 07/29/2004 13:29:33 Recv:[sA][VID] 192.168.100.102 212.24.115.82 IKE 19 07/29/2004 13:29:33 Recv Main Mode request from [192.168.100.102] 192.168.100.102 212.24.115.82 IKE 20 07/29/2004 13:29:33 Rule [2] Receiving IKE request 192.168.100.102 212.24.115.82 IKE --------------------------------------------------------------------------------

huhu ein kurzer auszug aus dem oakley-logging ******* peer hat si-zuordnung gelöscht waah wieso hier sieh selbst was meinst du dazu beginnt ab phase2 !! 7-29: 13:20:39:897:2768 Datenschutzmodus (Schnellmodus) 7-29: 13:20:39:897:2768 Quell-IP-Adresse 192.168.100.102 Quell-IP-Adressmaske 255.255.255.255 Ziel-IP-Adresse 212.24.115.82 Ziel-IP-Adressmaske 255.255.255.255 Protokoll 17 Quellport 1701 Zielport 0 Lokale IKE-Adresse 192.168.100.102 Peer-IKE-Adresse 212.24.115.82 7-29: 13:20:39:897:2768 Kennung des vorinstallierten Schlüssels. Peer-IP-Adresse: 212.24.115.82 7-29: 13:20:39:897:2768 Benutzer 7-29: 13:20:39:897:2768 IKE-Sicherheitszuordnung wurde von Peer gelöscht, bevor Herstellung abgeschossen war. 7-29: 13:20:39:917:2768 Quell-IP-Adresse 192.168.100.102 Quell-IP-Adressmaske 255.255.255.255 Ziel-IP-Adresse 212.24.115.82 Ziel-IP-Adressmaske 255.255.255.255 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse Peer-IKE-Adresse 7-29: 13:20:39:917:2768 7-29: 13:20:39:917:2768 Benutzer 7-29: 13:20:39:917:2768 Neue Richtinie hat Sicherheitszuordnungen ungültig gemacht, die mit der alten Richtlinie erstellt wurden.