Klettermaxx

Es liegt am Sonderzeichen, einem Slash im Passwort. sofern jemand weiß, wie man dieses maskieren kann, immer her mit der Antwort. Mit einem anderen Passwort geht es. Bei XP ging es auch mit Sonderzeichen, nun ja.

Hallo zusammen,

 

ich versuche unter Windows 7 per Batch ein Netzlaufwerk mit Benutzername und Passwort ohne Domäne zu verbinden, allerdings scheint es ein Syntaxproblem zu geben. Bei Windows XP hat es meiner Meinung nach funktioniert. Die Kommandozeile habe ich als Administrator geöffnet.

 

Kann es sein, dass Windows 7 ein Problem damit hat, dass das Passwort ein Sonderzeichen enthält? Ohne das Passwort geht der Syntax denn ich bekomme als Fehlermeldung, ein falsches Kennwort.

 

 

net use n: \\Fritz-nas\fritz.nas\ <PASSWORD> /user:<USERNAME> /persistent:no

 

 

Nach Eingabe erhalte ich immer:

 

Die Syntax dieses Befehls lautet:

NET USE
[Gerätename | *] [\\Computername\Freigabename[\Volume] [Kennwort | *]]
        [/uSER:[Domänenname\]Benutzername]
        [/uSER:[Domänenname im Punktformat\]Benutzername]
        [/uSER:[benutzername@Domänenname im Punktformat]
        [/sMARTCARD]
        [/sAVECRED]
        [[/DELETE] | [/PERSISTENT:{YES | NO}]]

NET USE {Gerätename | *} [Kennwort | *] /HOME

NET USE [/PERSISTENT:{YES | NO}]

Ein allwissender Fritzbox Spezialist wird gesucht. Szenario wie folgt:

 

Fritzbox 7360 im Einsatz durch Provider VDSL. Auf der WAN-Seite drei VLANs. Eines für die PPPoE bezüglich Interneteinwahl, ein weiteres VLAN für PPPoE bzegüglich der SIP-Einwahl beim Provider und ein weiteres VLAN für die Provisionierung der Fritzbox.

 

Das erste VLAN, ID ist bekannt, möchte ich transparent vom WAN-Port der Fritzbox an einen der vier Ethernet Switchports weitergeben, damit ich dahinter einen CISCO881 betreiben kann, der dann den VLAN-Tag annimmt und dann die PPPoE terminiert. Das ist aus dem Grund nötig, da die Fritzbox weiterhin für die Telefonie benutzt werden soll. PPPoE-Passthrough macht hier keinen Sinn und wird eh seitens AVM meistens nicht mehr unterstützt, soweit ich weiß.

 

Vielleicht kennt sich hier jemand aus, ob dies überhaupt möglich ist? Die Fritzbox-Konfiguration kann man auslesen und editieren. Für den CISCO881 benötige ich keine Hilfe, dafür habe ich genügend Lehrgänge besucht und ich arbeite täglich damit. ;-)

Bei folgender Konfiguration Output Drops auf dem Interface. Hat jemand eine Idee. Alle anderen Router machen auch keine Probleme. Bandbreitentechnisch ist kein Problem zu erwarten. Ohne Policy gibt es keine Drops.

 

IOS:c1900-universalk9-mz.SPA.151-3.T

 

#show policy-map interface

GigabitEthernet0/0

 

Service-policy output: SHAPE-50M

 

Class-map: class-default (match-any)

1006004 packets, 206579626 bytes

5 minute offered rate 125000 bps, drop rate 0 bps

Match: any

Queueing

queue limit 64 packets

(queue depth/total drops/no-buffer drops) 0/17/0

(pkts output/bytes output) 1005988/206543467

shape (average) cir 47500000, bc 190000, be 190000

target shape rate 47500000

 

Service-policy : QOS

 

Class-map: VOICE (match-all)

86729 packets, 13168785 bytes

5 minute offered rate 3000 bps, drop rate 0 bps

Match: ip precedence 5

Queueing

queue limit 64 packets

(queue depth/total drops/no-buffer drops) 0/0/0

(pkts output/bytes output) 86729/13168785

bandwidth 33% (15675 kbps)

 

Class-map: class-default (match-any)

919275 packets, 193410841 bytes

5 minute offered rate 121000 bps, drop rate 0 bps

Match: any

 

queue limit 64 packets

(queue depth/total drops/no-buffer drops) 0/17/0

(pkts output/bytes output) 919259/193374682

QoS Set

precedence 0

Packets marked 918857

 

 

 

#show interfaces GigabitEthernet 0/0

GigabitEthernet0/0 is up, line protocol is up

Hardware is CN Gigabit Ethernet, address is 588d.09a1.a080 (bia 588d.09a1.a080)

Internet address is xxx.xxx.xxx.xxx/30

MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation ARPA, loopback not set

Keepalive set (10 sec)

Full Duplex, 100Mbps, media type is RJ45

output flow-control is unsupported, input flow-control is unsupported

ARP type: ARPA, ARP Timeout 04:00:00

Last input 00:00:00, output 00:00:00, output hang never

Last clearing of "show interface" counters 02:01:46

Input queue: 1/75/0/0 (size/max/drops/flushes); Total output drops: 17

Queueing strategy: Class-based queueing

Output queue: 0/1000/0 (size/max total/drops)

5 minute input rate 165000 bits/sec, 139 packets/sec

5 minute output rate 127000 bits/sec, 144 packets/sec

3125285 packets input, 2300316026 bytes, 0 no buffer

Received 0 broadcasts (0 IP multicasts)

0 runts, 0 giants, 0 throttles

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored

0 watchdog, 0 multicast, 0 pause input

2790158 packets output, 716665254 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 unknown protocol drops

0 babbles, 0 late collision, 0 deferred

0 lost carrier, 0 no carrier, 0 pause output

0 output buffer failures, 0 output buffers swapped out

 

 

 

class-map match-all VOICE

match ip precedence 5

!

policy-map QOS

class VOICE

bandwidth percent 33

class class-default

set precedence 0

policy-map SHAPE-50M

class class-default

shape average 47500000

service-policy QOS

!

interface GigabitEthernet0/0

ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

no ip proxy-arp

duplex full

speed 100

service-policy output SHAPE-50M

Die Route Maps sind auch eine schöne Lösung, bei diesem niedlichen Konstrukt kann man es ganz einfach lösen:

 

interface Serial0/0/0:1

description MPLS

ip address a.b.c.d1 255.255.255.252

ip flow ingress

encapsulation ppp

no peer neighbor-route

!

router bgp 64515

no synchronization

bgp log-neighbor-changes

neighbor a.b.c.d2 remote-as 65000

network a.b.c.d mask 255.255.255.252

network 192.168.24.0 mask <SUBNET MASK>

network 192.168.27.0 mask <SUBNET MASK>

no auto-summary

!

ip route 192.168.27.0 <SUBNET MASK> <OUTGOING INTERFACE> <NEXT HOP>

 

 

 

Das Network Statement gibt die angegebenen Subnetze in die BGP. Man kann auch "redsistribute static" machen, ist aber sicherheitstechnisch nicht empfehlenswert, da dann jedes Subnetz einfach per BGP weitergegeben wird, wofür eine statische Route existiert, sofern man keine Route-Map oder ähnliches verwendet um dies einzuschränken.

 

Vorraussetzung für eine erfolgreiche Redistributierung ist immer, dass der Next-Hop für das zu erreichende Subnetz aktiv ist, dies wird durch BGP geprüft.

 

Deine zuletzt gepostete Lösung dürfte auch funktionieren.

Die User bekommen auf der PIX per Radiusauthentifizierung und Authorisierung keinen Priv 15 zugewiesen.

 

Freeradius + LDAP, per Huntgroup gebe ich das AV-Pair mit.

 

Bei den Routern und Switches funktioniert es einwandfrei. Ich habe bei Cisco gelesen, dass die PIX/ ASA AV-Pair verarbeitet, wenn es um die Authorisation geht. Man soll hier mit dem Radius Service-Type arbeiten. Allerdings komme ich hier nicht wirklich weiter.

 

Die Authentifizierung selber funktioniert schon, allerdings habe ich keine Lust ewig nochmals in den priviligierten Modus zu wechseln.

 

Vielleicht hat diese Thematik ja schon jemand bearbeitet?

Hi,

 

schau mal bitte nach, ob es sich wirklich um einen PMXer handelt. Ich vermute eher, dass Du 2x2 Anschlussleitungen von Arcor bekommst, die schon in der Ü-Technik mit ULAF+ oder so gebündelt werden. Hat den Vorteil, dass man als Provider gar kein LoadBalancing benötigt, da es vom Aufwand viel zu hoch ist.

 

Unsere bzw. meine Projekte werden so zumindest abgwickelt.

Hallo zusammen,

 

Folgendes Szenario:

 

Diverses Cisco Router und Switches werden derzeitig über unseren FreeRADIUS aus dem Active Directory authentifiziert. Die Huntgroups etc, habe ich auf einer SQL-Datenbank hinterlegt.

 

Ich möchte für die Cisco Logins den Privilege Level mit geben, was vermutlich nur über av-pairs geht. Ich bräuchte jedoch Hilfe, wo ich diese hinterlegen muss.

Habe selber getüfftelt, zur Info für den Rest folgende Konfiguration funktioniert Beispielsweise bei einem Cisco 1803. Der VPI und VCI sind identisch wie beim ADSL.

 

controller DSL 0

mode atm

line-term cpe

line-mode auto enhanced

dsl-mode shdsl symmetric annex B

!

interface ATM0

no ip address

atm vc-per-vp 128

no atm ilmi-keepalive

!

interface ATM0.1 point-to-point

pvc 1/32

pppoe-client dial-pool-number 1

Guten Morgen zusammen,

 

wer von Euch kann mir ggf. den zu nutzenden VPI und VCI für einen SDSL-Anschluss der T-Com nennen. Wir möchten gerne das NT der T-Com durch einen Controller ersetzen.

Hallo zusammen,

 

vielleicht hat hier schon jemand Erfahrung. Ich würde gerne einen IP SLA mit TCP-Connect aufsetzen, da mir der ICMP-Echo zu ungenau ist, logischer Weise.

 

Leider klappt der Connect in keinster Weise, egal ob es ein Connect auf einen Telnet, FTP, gar sonst einen Port ist.

 

ip sla monitor 10

type tcpConnect dest-ipaddr xxx dest-port 21

timeout 2000

threshold 200

ip sla monitor schedule 10 life forever start-time now

 

Am IOS bzw. Routertyp wird es denke ich nicht liegen. Sofern jemand einen Tip hat, bitte dringend posten. Danke!

Und bitte beachten, der Router macht natürlich NAT.

Servus zusammen,

 

vielleicht hat ja mal wieder jemand anders eine Idee, wo es hakt. Ich will von einem Windows PC eine VPN-Verbindung zu einem Cisco 871 aufbauen. Es hat zuvor funktioniert und ich bin mir sehr sicher, das ich ander Konfiguration nichts geändert habe, aber es funzt einfach nicht mehr.

 

Der Debug des ISAKMP gibt mir folgenden Fehler:

 

Mar 9 21:48:17.242: ISAKMP:(0):Diffie-Hellman group offered does not match policy!

Mar 9 21:48:52.572: ISAKMP:(0):Can't decrement IKE Call Admission Control stat incoming_active since it's already 0.

 

 

vpdn-group 2

! Default L2TP VPDN group

description "L2TP for VPN-Clients"

accept-dialin

protocol l2tp

virtual-template 1

no l2tp tunnel authentication

!

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

lifetime 3600

crypto isakmp key xxx address 0.0.0.0 0.0.0.0 no-xauth

crypto isakmp aggressive-mode disable

!

crypto ipsec transform-set 3DES esp-3des esp-sha-hmac

mode transport

!

crypto dynamic-map VPN-Client 10

set nat demux

set transform-set 3DES

!

crypto map VPN 10 ipsec-isakmp dynamic VPN-Client

!

interface Virtual-Template1

description "L2TP for VPN-Clients"

ip unnumbered Loopback100

peer default ip address dhcp-pool VPN-Client

ppp mtu adaptive

ppp authentication chap ms-chap callin

Zum einen gebe ich Dir auf jeden Fall recht vernünftiges QoS ist das auf jeden Fall nicht. Nur Du kannst mitlerweile kaum noch Kunden vom DSL abhalten. Sie wollen alles genauso über DSL bzw. SDSL machen, wie auch über Ihre alten Carrier Festverbindungen, nur muss alles günstig sein.

 

Komplett getestet haben wir es zur Zeit noch nicht, aber wir werden es garantiert in einem Labortest aufbauen. Trotzdem erstmal danke!

Servus zusammen,

 

vielleicht ist ja doch ein Kenner unter uns. Für die Terminierung von PPP-Sessions benötige ich einen als LNS konfigurierten Cisco Router. Der LNS selber steht und funktioniert top.

 

Ich benötige allerdings einen Denkanstoß zur Konfiguration von Load Balancing mit QoS. Die Cisco Website ist schon tagelang von mir durchforstet worden, genauso die Seiten von Juniper Networks.

 

Das QoS an sich ist weniger das Problem, denn ich kann per AVPair sowie direkt auf dem Virtual Template, wo die L2TP Tunnel terminieren, die QoS-Config mitgeben. Arge Magengeschwüre bereitet jedoch das Load Balancing. Die CPEs sprechen BGP mit dem LNS, allerdings, muss für Load Sharing auf jedem Outgoing Interface das IP Load Sharing aktiviert werden, was bei Virtuellen Interfacen nicht konfigurierbar ist. Die Loopback kann man dazu auch net nutzen. Ich tippe mal das ich um MLPPP nicht drum rum komme. Sofern jemand auf gleichem Niveau wie ich arbeitet und Erfahrung hat, würde mir ein Denkanstoß aus dessen Erfahrung sehr viel weiter helfen. Vielen Dank erstmal vorraus.

Na gut, dann schreib aber auch Teledat 300 LAN, denn das andere gibt es nicht! ;-)

Hm,

 

denkst Du also, ja? Schau mal in deine Eumex 300 IP welche Firmware Du benutzt und teil mir mal mit, wann Du sie gekauft hast. ;-)

 

Die DTAG hat Dir schon mal einen ADSL2+ geschaltet, somit kann es sein, dass Du immer noch einen solchen Port besitzt, der nur downgegraded ist. Alles andere wäre nämlich wieder mit einem Technikereinsatz verbunden, da im Hauptverteiler der Vermittlungsstelle manuell umgepatcht werden muss.

 

Also an Deiner Stelle würde ich das doch mal prüfen lassen, sofern der Router nach einen Firmwareupgrade immer noch nicht geht.

 

P.S. War ja nur gut gemeint, da, ich schon weiß, wovon ich spreche! ;-)

 

Gruß Florian

Na ja, von einem geklauten Syntax würde ich hier mal nicht reden. Juniper benutzt eine eigenes OS und eine ganz andere Struktur als Cisco.

 

Wenn Du etwas geklautes sehen willst, solltest Du mal bei den Chinesen schauen. Huawei ist im mobbsen bei Cisco viel besser.

 

Gruß Florian

Da kann ich nur zustimmen, denn eine T1 ist eine sogenannte Carrier Festverbindung mit einer garantierten Bandbreite von 1,5 MBit/s. Es handelt sich dabei um einen amerikanischen Standard.

 

In Europa wird in der Regel E1 verwendet. Die Bandbreite entspricht 2 MBit/s. Der SDSLer kommt hier auf selbes. Syncrone 2 MBit/s in beide Richtungen, sprich Full-Duplex.

 

Gruß Florian

Servus zusammen,

 

wir sprechen hier von einem Cisco 836. das interne Alcatel Modem arbeitet in der Regel nur mit einem ADSL Anschluss der die Richtlinien nach ITU G.992.1 Annex B erfüllt.

 

Sofern Du einen ADSL2+ Anschluss hast, der vermutlich nur gedrosselt ist, wird sich das Modem nie mit dem DSLAM in der Vermittlungstelle syncronisieren. Es muss immer zwischen Übertragungstechnik unterschieden werden. Die Geschwindigkeit ist in diesem Fall irrelevant.

 

Die DTAG muss entweder auf einen alten DSLAM zurückschalten oder ich empfehle Dir den Nachfolger Cisco 876, dieser funktioniert auch an einem ADSL2+ Anschluss.

 

 

 

Gruß Florian

Die Units sind immer logische Unterordnungen, wie beispielsweise beim Cisco die Subinterfaces.

 

Man kann jedoch je nach Interfacetyp verschiedene Unittypen konfigurieren. So kannst Du einen VLAN Tag oder bei E1 oder E3 Interfaces auch einen DLCI konfigurieren.

 

Die family inet gibt dann das verwendete Protokoll an, in diesem Fall IP.

 

Wir verwenden Juniper im kompletten Backbone, wie viele andere Provider auch und ich muss sagen, dass mir der Syntax noch besser gefällt, als der von Cisco. Nur ganz ohne Cisco geht es nicht und das ist auch gut so.

 

 

 

Gruß Florian

So und hier der Debug.

 

 

 

Nov 10 2007 03:48:21.491 CET: %ISDN-6-LAYER2DOWN: Layer 2 for Interface BR0, TEI 78 changed to down

Nov 10 2007 03:48:21.499 CET: ISDN BR0 Q931: Ux_DLRelInd: DL_REL_IND received from L2

Nov 10 2007 03:48:41.674 CET: ISDN BR0 Q931: RX <- SETUP pd = 8 callref = 0x39

Sending Complete

Bearer Capability i = 0x8890

Standard = CCITT

Transfer Capability = Unrestricted Digital

Transfer Mode = Circuit

Transfer Rate = 64 kbit/s

Channel ID i = 0x89

Calling Party Number i = 0x2181, 'xxx'

Plan:ISDN, Type:National

Called Party Number i = 0xC1, 'xxx'

Plan:ISDN, Type:Subscriber(local)

Nov 10 2007 03:48:41.682 CET: ISDN BR0 EVENT: process_rxstate: ces/callid 1/0xEA calltype 1 HOST_INCOMING_CALL

Nov 10 2007 03:48:41.682 CET: ISDN BR0 EVENT: host_incoming_call: call_id 0x00EA, Guid = 0000023D81CB bchan 0

Nov 10 2007 03:48:41.690 CET: ISDN BR0 **ERROR**: host_incoming_call: Rejecting call. isdn screening failed

Nov 10 2007 03:48:41.694 CET: ISDN BR0 EVENT: process_rxstate: ces/callid 1/0xEA calltype 1 HOST_DISCONNECT_ACK

Nov 10 2007 03:48:41.706 CET: ISDN BR0 Q931: RX <- SETUP pd = 8 callref = 0x26

Sending Complete

Bearer Capability i = 0x8890

Standard = CCITT

Transfer Capability = Unrestricted Digital

Transfer Mode = Circuit

Transfer Rate = 64 kbit/s

Channel ID i = 0x8A

Calling Party Number i = 0x2181, 'xxx'

Plan:ISDN, Type:National

Called Party Number i = 0xC1, 'xxx'

Plan:ISDN, Type:Subscriber(local)

Nov 10 2007 03:48:41.718 CET: ISDN BR0 EVENT: process_rxstate: ces/callid 1/0xEB calltype 1 HOST_INCOMING_CALL

Nov 10 2007 03:48:41.718 CET: ISDN BR0 EVENT: host_incoming_call: call_id 0x00EB, Guid = 0000023D81CB bchan 1

Nov 10 2007 03:48:41.726 CET: ISDN BR0 **ERROR**: host_incoming_call: Rejecting call. isdn screening failed

Nov 10 2007 03:48:41.730 CET: ISDN BR0 EVENT: process_rxstate: ces/callid 1/0xEB calltype 1 HOST_DISCONNECT_ACK

Nov 10 2007 03:48:42.726 CET: %ISDN-6-LAYER2UP: Layer 2 for Interface BR0, TEI 78 changed to up

Nov 10 2007 03:48:42.730 CET: ISDN BR0 **ERROR**: L3_Go: Multi nlcb DL_EST, cid 0xEB cr 0xA6 ev 0x300 ces 1

Nov 10 2007 03:48:42.734 CET: ISDN BR0 Q931: TX -> RELEASE_COMP pd = 8 callref = 0xB9

Cause i = 0x8095 - Call rejected

Nov 10 2007 03:48:42.762 CET: ISDN BR0 Q931: TX -> RELEASE_COMP pd = 8 callref = 0xA6

Cause i = 0x8095 - Call rejected

Servus zusammen,

 

ich habe seit etlicher Zeit keine ISDN Remote Einwahl mehr konfiguriert und kann mich mit der folgenden Config nicht einwählen. Ggf. hat einer von Euch eine Idee.

 

 

 

interface BRI0

no ip address

encapsulation ppp

isdn switch-type basic-net3

isdn point-to-point-setup

isdn caller xxx

isdn answer1 xxx

isdn calling-number xxx

 

interface Dialer2

description "ISDN-Remoteeinwahl"

ip address 192.168.10.1 255.255.255.0

ip nat inside

ip virtual-reassembly

encapsulation ppp

dialer pool 2

dialer remote-name xxx

dialer idle-timeout 180

dialer-group 1

peer default ip address dhcp-pool ISDN-Remoteeinwahl

no cdp enable

ppp authentication chap callin

ppp multilink

 

dialer-list 1 protocol ip permit

Servus,

 

Beispielkonfiguration habe ich unter folgenden Link abgelegt: figula.de/konfiguration.txt

 

 

Gruß Florian

ISDN Flat ist ja nur ein billiger Ausweg, wenn man sich drücken will, die Problematik herauszufinden.

 

Außerdem kann ich meinem Kunden keine Antwort geben, wie tut mir leid, aber das ist so und ich unser Vertrieb möchte Ihnen nun eine ISDN Flat verkaufen.

 

Vielleicht muss ich doch nochmal ein Testlab aufsetzten. Trotzdem danke.

 

 

Gruß Florian