MikeS

An was für einem Switch hängt die ASA?

Ich habe bei der 5505 ständig negotiation probleme auf den unterschiedlichsten switchen welche sich häufig auch in ähnlichen performanceproblemen äußern....

Guck mal bei einem:

sh interface

Stimmen die Angaben zu Speed und Duplex?:

Interface Ethernet0/2 "", is up, line protocol is up
 Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
       Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)

und gibt es ggf. CRC's oder errors?

Meine Empfehlung ist immer die Ports fest einzustellen, wenn die ASA an einem Non-Cisco Switch hängt (in meinem Beispiel hängt sie an einem 2960g daher habe ich es auf auto auto stehen :-) )

Beste Grüße,

MikeS

leider funktioniert die ASA nicht als DNS weiterleitung, nachfolgend sollte ergo ein interner oder externer DNS Server stehen:

dhcpd dns 192.168.12.254 interface inside

auf der ASA geht ohne inspect kein icmp durch mit dem nachfolgenden sollte es aber passen:

policy-map global_policy
class inspection_default
 inspect icmp

Hiermit solltest Du die ASA auch pingen können:

icmp permit 192.168.12.0 255.255.255.0 inside

Für NAT zum FTP sollte es so passen (ab Version 8.3)

Erst ein Object anlegen:

object network FTP-Server

Die IP Adresse definieren:

host 192.168.12.251

NAT für das Object:

nat (inside,outside) static interface service tcp ftp ftp

Hier die Accessliste für das Object:

access-list outside_in extended permit tcp any object FTP-Server eq ftp

Damit die ACL an das Interface binden:

access-group outside_in in interface outside

Beste Grüße,

MikeS

ein "show inventory | include PVDM" sollte da helfen.

Gruß MikeS

Auf meinem Prüfungszettel stand 804 Punkte benötigt man.

Gruß Mike

Hier mein kleines Lab,

Gruß Mike

Ja, ein PC würde die Frames verstehen welche untagged sind (sehr wahrscheinlich nicht sehr viele innerhalb eines Trunk), aber was machen die Switche mit den Frames!?

Das Beispiel ist ja auch nicht auf meinem Mist gewachsen, ich würde auch bestimmt nicht auf die Idee kommen ein HUB zwischen einen Trunk zu stecken, aber man findet das Beispiel immer wieder im Netz...

Gruß Mike

ich weiss dass es jetzt schon ein paar Tage her ist, aber ich hatte das irgendwann mal so verstanden:

Switch <---<<Trunk>>---> HUB <---<<<Trunk>>--->Switch

Wenn hier beispielsweise ein alter HUB zwischen meinem Trunk hängt und an dem HUB hängt ein PC, würde er automatisches in den native-vlan verschoben, weil er auf nem Trunk untagged packets sendet

Switch <---<<Trunk>>---> IP Phone <---> PC

Oder bspw. wenn ein PC an einem IP Phone hängt und dieser über die den Trunk vom Phone zum Switch sendet würde er auch dort hin verschoben...

Gruß Mike

wollte auch noch meinen Senf dazu geben :-)

hatte letzte Woche bei Microsoft angerufen, die nette Dame hat mir gesagt dass Zertifikate die vor dem 30.06.09 abgelegt wurde telefonisch über die Hotline nachbestellt werden können (dann kostenlos)

...alle anderen wie bereits geschrieben kostenpflichtig.

Gruß Mike

Du kannst eine Batch Datei erstellen

Deinen NTBackupjob in die Batchdatei kopieren

Mit print /D:\\pentium4\Laser e:\Backup\1\report.txt die Datei drucken lassen

Das ganze über den Taskplaner ausführen

Gruß Mike

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Habe im Forum schonmal einen Beitrag gefunden

http://www.mcseboard.de/windows-forum-ms-backoffice-31/eingeschraenkte-gruppen-lokaler-administrator-62660.html

Gruß Mike

habe ALLES ausprobiert, seit einer Woche bastel ich an der config rum, jetzt habe ich einen Factory Reset al letzten Versuch gemacht, und siehe da, es Funktioniert!

vielen Dank für die Hilfe

Mike

Hallo, vielleicht habe den Titel nicht so elegant gewählt, habe das problem, dass wenn ich ins Festnetz rufe, das Telefon klingelt, der andere kann mich hören, aber ich höre nichts....

hat jemand eine Idee, hier meine Hardware und meine running config:

Cisco 2811

VIC2-2BRI NT/TE

PVDM2 - 8

no aaa new-model
clock timezone MEZ 1
clock summer-time Berlin date Aug 27 2008 22:55 Oct 26 2008 3:00
clock calendar-valid
network-clock-participate wic 2 
network-clock-select 1 BRI0/2/0
!
dot11 syslog
ip source-route
no ip routing
!
!
no ip cef
no ip dhcp use vrf connected
!
ip dhcp pool pool1
  import all
  network 192.168.16.0 255.255.255.0
  domain-name domain.local
  dns-server 192.168.16.222 194.8.194.60 
  default-router 192.168.16.253 
  option 150 ip 192.168.16.252 
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
isdn switch-type basic-net3
!
!
!
!
!
voice register global
mode cme
max-dn 144
max-pool 42
!
voice statistics time-range since-reset
!
voice translation-rule 10
rule 1 /\(^.*\)/ /00\1/ plan isdn national
!
voice translation-rule 11
rule 1 /^27696333$/ /11/
rule 2 /^2769540$/ /12/
!
!
voice translation-profile AZ-IN
translate calling 10
translate called 11
!
!
voice-card 0
no dspfarm
!
!
interface FastEthernet0/0
ip address 192.168.16.252 255.255.255.0
no ip route-cache
duplex half
speed auto
no mop enabled
!
interface FastEthernet0/1
no ip address
no ip route-cache
shutdown
duplex auto
speed auto
!
interface BRI0/2/0
no ip address
no ip route-cache
isdn switch-type basic-net3
isdn overlap-receiving
isdn point-to-point-setup
isdn incoming-voice voice
isdn skipsend-idverify
!
interface BRI0/2/1
no ip address
no ip route-cache
isdn switch-type basic-net3
isdn point-to-point-setup
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
!
!
!
no cdp run

!
!
!
!
!
!
tftp-server flash:CP7912080003SCCP070409A.sbin
tftp-server flash:CP7902080002SCCP060817A.sbin
tftp-server flash:ATA030203SCCP051201A.zup
!
control-plane
!
!
!
voice-port 0/2/0
translation-profile incoming AZ-IN
translate calling 10
echo-cancel coverage 32
compand-type a-law
cptone DE
connection plar 1001
description Netcologne
!
voice-port 0/2/1
!
!
!
!
!
dial-peer voice 6400 pots
preference 6
destination-pattern 0T
progress_ind setup enable 3
progress_ind progress enable 8
direct-inward-dial
port 0/2/0
!
!
no dial-peer outbound status-check pots
!
!
gatekeeper
shutdown
!
!
telephony-service
load 7902 CP7902080002SCCP060817A
load 7912 CP7912080003SCCP070409A
load ata ATA030203SCCP051201A
max-ephones 35
max-dn 20
ip source-address 192.168.16.252 port 2000
auto assign 1 to 6
timeouts interdigit 3
system message Cisco
user-locale DE
time-zone 23
time-format 24
date-format dd-mm-yy
max-conferences 8 gain -6
moh flash:music-on-hold.au
transfer-system full-consult
secondary-dialtone 0
create cnf-files version-stamp 7960 Aug 31 2008 21:33:00
!
!
ephone-template  1
!
!
ephone-dn  1
number 11
name xyz
!
!
ephone-dn  2
number 12
name zyx
!
!
ephone  1
device-security-mode none
mac-address 0013.6090.9D8A
type 7912
button  1:1
!
!
!
ephone  2
device-security-mode none
mac-address 0013.808D.A87E
max-calls-per-button 2
type 7902
button  1:2

Wäre super wenn jemand ne Idee hätte

mfg

Mike

Ich denke das Modul ist kaputt, ....der Router ist brandneu, hatte auch schonmal daran gedacht dass es vielleicht an ihm liegt, habe nur kein anderes Modul zur Hand.

Rein Optisch, abgesehen davon das auf dem Modul klar zu lesen ist VIC2-2BRI sieht es auch aus wie ein ISDN Modul mit 2 Ports.... (habe sogar schon die Bilder im Internet verglichen :-D )

Ärgerlich nur das ich es von eBay habe, und mich jetzt mit dem verkäufer streiten darf....

Gruß Mike

Ja, habe einen Account, ABER auch hier: Voice Hardware Compatibility Matrix (Cisco 17/26/28/36/37/38xx, VG200, Catalyst 4500/4000, Catalyst 6xxx) - Cisco Systems

ist nachzulesen, dass der Router und das Modul sich mögen... :-(

aktuellste Version ist 12.4.20T (habe ich getestet) und 12.4.15XC habe ich auch getestet...

noch jemand ne Idee?

Ja, habe diese beiden ausprobiert:

c2800nm-adventerprisek9_ivs-mz.124-20.T

und

c2800nm-advipservicesk9-mz.124-4.XC5

aber mit beiden wird das Modul nicht erkannt.....

Gruß Mike

Hallo, ich habe einen Cisco 2811 und ein VIC2-2BRI- NT/TE. Es ist egal, in welchen slot ich das Modul stecke, es wird nicht korrekt erkannt, ist es vielleicht defekt?

Hier mal ein sh diag

router>sh diag
Slot 0:
       C2811 Motherboard with 2FE and integrated VPN Port adapte
       Port adapter is analyzed
       Port adapter insertion time unknown
       Onboard VPN             : v2.2.0
       EEPROM contents at hardware discovery:
       PCB Serial Number        : FOC11465FV5
       Hardware Revision        : 1.0
       Top Assy. Part Number    : 800-26920-04
       Board Revision           : A0
       Deviation Number         : 0
       Fab Version              : 04
       RMA Test History         : 00
       RMA Number               : 0-0-0-0
       RMA History              : 00
       Processor type           : 87
       Hardware date code       : 20071120
       Chassis Serial Number    : FCZ1148741K
       Chassis MAC Address      : 001e.7a61.5588
       MAC Address block size   : 24
       CLEI Code                : COM7R00ARA
       Product (FRU) Number     : CISCO2811
       Part Number              : 73-10258-05
       Version Identifier       : V05
       EEPROM format version 4
       EEPROM contents (hex):
         0x00: 04 FF C1 8B 46 4F 43 31 31 34 36 35 46 56 35 40
         0x10: 03 E7 41 01 00 C0 46 03 20 00 69 28 04 42 41 30
         0x20: 88 00 00 00 00 02 04 03 00 81 00 00 00 00 04 00
         0x30: 09 87 83 01 32 42 D0 C2 8B 46 43 5A 31 31 34 38
         0x40: 37 34 31 4B C3 06 00 1E 7A 61 55 88 43 00 18 C6
         0x50: 8A 43 4F 4D 37 52 30 30 41 52 41 CB 8F 43 49 53
         0x60: 43 4F 32 38 31 31 20 20 20 20 20 20 82 49 28 12
         0x70: 05 89 56 30 35 20 D9 02 40 C1 FF FF FF FF FF FF

       WIC Slot 3:
       T1 (1 port) Multi-Flex Trunk WAN daughter card
       Unknown EEPROM ver 255
       EEPROM format version 255
       EEPROM contents (hex):
         0x20: FF 20 FF FF 0C 0C FF FF 42 42 FF FF 6A 91 FF FF
         0x30: 62 03 FF FF 81 00 FF FF 80 40 FF FF FF FF FF FF 

Was ich schon versucht habe ist:

Anderes IOS, verschiedene slots....

Eigentlich sollte ja jeder das VIC aufnehmen können, habe nur kein PVDM2 hier, aber er sollte es doch trotzdem richtig anzeigen!?

hat noch jemand ne idee ?

Vielen dank im vorraus Mike

Nachtrag:

Ein "show inventory" zeigt mir ein:

NAME: "One port T1 voice interface daughtercard on Slot 0 SubSlot 2", DESCR: "One port T1 voice interface daughtercard"

PID: VWIC-1MFT-T1= , VID: 255.255, SN: 202178559

Hallo, bin auch Kölner, habe aber noch gar nicht angefangen mit meinem MCSE, wenn interesse da ist, einfach ne PN an mich

Gruß

Mike

ja, ich habe schon mal die ganze VPN config gelöscht, und neu erstellt am passwort liegt es leider nicht

noch jemandeine idee?

Hallo, habe folgendes Problem, ein Kunde hat eine ASA 5505 und möchte jetzt das VPN nutzen, dazu habe ich den Wizard im ASDM ausgeführt, jedoch kommt keine Verbindung zu stande.

Hier die Fehlermeldung des VPN Client, habe die Config mal in einer TXT drangehängt

wäre super dankbar wenn jemand mir helfen könnte

mfg

MikeS

16:38:18.880 01/16/08 Sev=Info/4 IKE/0x63000014

RECEIVING <<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID(Unity), VID(Xauth), VID(Frag), VID(?)) from 87.79.68.226

52 16:38:18.884 01/16/08 Sev=Warning/3 IKE/0xE3000057

The received HASH payload cannot be verified

53 16:38:18.884 01/16/08 Sev=Warning/2 IKE/0xE300007E

Hash verification failed... may be configured with invalid group password.

54 16:38:18.884 01/16/08 Sev=Warning/2 IKE/0xE300009B

Failed to authenticate peer (Navigator:904)

55 16:38:18.884 01/16/08 Sev=Info/4 IKE/0x63000013

SENDING >>> ISAKMP OAK INFO (NOTIFY:INVALID_HASH_INFO) to 87.79.68.226

56 16:38:18.884 01/16/08 Sev=Info/4 IKE/0x63000013

SENDING >>> ISAKMP OAK INFO (NOTIFY:AUTH_FAILED) to 87.79.68.226

57 16:38:18.884 01/16/08 Sev=Warning/2 IKE/0xE30000A7

Unexpected SW error occurred while processing Aggressive Mode negotiator:(Navigator:2237)

58 16:38:18.884 01/16/08 Sev=Info/4 IKE/0x63000017

Marking IKE SA for deletion (I_Cookie=B23FBE098E7259A6 R_Cookie=4878929D2D40714A) reason = DEL_REASON_IKE_NEG_FAILED

59 16:38:19.705 01/16/08 Sev=Info/4 IKE/0x6300004B

Discarding IKE SA negotiation (I_Cookie=B23FBE098E7259A6 R_Cookie=4878929D2D40714A) reason = DEL_REASON_IKE_NEG_FAILED

60 16:38:19.705 01/16/08 Sev=Info/4 CM/0x63100014

Unable to establish Phase 1 SA with server "87.79.68.226" because of "DEL_REASON_IKE_NEG_FAILED"

61 16:38:19.720 01/16/08 Sev=Info/4 IKE/0x63000001

IKE received signal to terminate VPN connection

vpnconfig.txt

Das problem hat sich fast von alleine gelöst!

Der Provider war so nett, und hat den Server mal durchgestartet....

....und siehe da, es geht wieder von jedem PC....

...ich kann zwar nicht nachvollziehen, warum es von manchen PCs ging, und von anderen nicht, aber naja....

vielen dank für eure hilfe

Hier ist der entprechende teile aus meiner config, http inspect ist aus, das andere schau ich mir mal an, danke schonmal für deine hilfe :-)

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h323 h225

inspect h323 ras

inspect rsh

inspect rtsp

inspect esmtp

inspect sqlnet

inspect skinny

inspect sunrpc

inspect xdmcp

inspect sip

inspect netbios

inspect tftp

inspect icmp

inspect ipsec-pass-thru

!

service-policy global_policy global

prompt hostname context

Hallo ich habe bei einem Kunden von mir folgendes Problem: Ich habe eine ASA 5505 seit einigen Wochen dort laufen, und soweit so gut funktioniert auch alles.

Jetzt ist ihm jedoch aufgefallen, dass er auf seiner Website sein Content Management zwar aufrufen kann, jedoch kann er nichts neues mehr abspeichern. Sobald er auf den Button "Eintrag ändern" klickt, läuft im Internet Explorer sowohl als auch im Firefox unten nur der Ladebalken, und nach einigen Minuten nur noch ein Timeout. Zuerst habe ich auf ein Problem mit dem Internet Explorer getippt, dann habe ich auf einen Fehler in einer Gruppenrichtlinie getippt, dann musste ich jedoch herausfinden, dass es an der Firewall liegt. Klemme ich sie ab, kann ich dinge auf der Website ändern, mit der Firewall nicht. Dann habe ich mal bei der Firma angerufen, die das CMS programmiert hat, und die sagen mir, dass es ein simples "http post" sein soll.... (keine Ahnung was es mir sagen soll).

Dann habe ich versucht die mit der gleichen Firewall zu hause das problem zu testen, hier hatte ich zuerst keine Probleme, dann ging ich davon aus, dass es evtl. daran liegt, dass ich die 8er Version zu hause nutze und habe es mit der 7.2er probiert, jedoch auch hier kein problem. Dann habe ich mal den Rechner gewechselt, und habe festgestellt, dass es hier bei 2 von 5 Rechnern geht, und beim rest halt nicht.

Jetzt bin ich total ratlos, habe auch mal alle Ports nach aussen freigegeben, was jedoch effektiv auch keinen erfolg hatte...

Hat jemand vielleicht eine Idee, woran es liegen könnte?

Ich würde mich total freuen, wenn jemand noch ne Idee hätte:-)

hier mal meine Konfig:

asaconfig.txt

Ich habe das Problem unter Vista und unter XP jeweils IExplorer 7, merkwürdigerweise tritt es auch nicht immer auf, ich klicke auch immer brav auf "logout"

Habe die ASA mal neu gestartet und seitdem ist mir das problem auch nicht mehr aufgefallen.

Hallo, ich habe beim 8.02 festgestellt, dass sich bei mir die WebVPN Verbindungen nicht zurück setzen. wenn ich mich 2 mal einlogge und auslogge, kann ich mich nicht ein drittes mal einloggen. Weil dann schon 2 WebVPN connections benutzt werden... und ich nur eine Lizenz für 2 connections habe, dann kommt immer nur Login failed..

Merkwürdigerweise tritt dieses problem nicht immer auf!

Hallo, habe mich seit kurzem dazu entschlossen mich mehr mit Cisco Hardware zu beschäftigen. Und da ich am besten lerne, wenn ich etwas wirklich brauche spiele ich mit dem gedanken mir einen 2801 zu kaufen, weil ich das Gefühl habe das er ein richtiges multitalent zu sein scheint....

Dazu kommt noch das ich mir eigentlich einen schnelleren Internetzugang (T-Home VDSL 50) beantragen wollte, da mein jetziger Internet tarif bald ausläuft!

Jetzt kommen meine eigentlichen Fragen:

1. Glaubt ihr das die performance des 2801 für CME und Internet (50Mbit) reicht?

denn wenn ich nach dieser Tabelle gehe, dann reicht es nichtmal für das Internet alleine, und ich kann mir nicht vorstellen, dann CME wenig Ressourcen auf dem Router frisst....

http://www.cisco.com/warp/public/765/tools/quickreference/routerperformance.pdf

2. T-Home benötigt einen VLAN Tag auf dem PPPoE Interface, hierbei bin ich mir auch nicht sicher, ob der Cisco das kann, habe jedoch einen Artikel gefunden, nach dem er es vielleicht kann!?

PPPoE over VLAN Enhancements: Configuration Limit Removal and ATM Support  [Cisco IOS Software Releases 12.3 T] - Cisco Systems

3. Hat jemand es schonmal versucht sich mit Cisco Hardware zu T-Home zu verbinden? Bzw. hat jemand schonmal von jemandem gehört, der das hinbekommen hat?

Vielen Dank

MikeS