maho

Hallo,

 

in allen Regeln steht unter Register User "All Users".

 

Gruß, maho

Erst mal danke für Deine Antwort. Der Zugriff funktioniert komischerweise. Wenn ich probehalber die Rule auf deny stelle, funktioniert der Zugriff nicht und die Meldungen erscheinen unveränderlich.

Hallo,

 

im Monitoring erscheint ständig:

Denied Connection, source 10.206.1.30 (internatal), destination 10.5.206.1

(local host), protocol tcp_8080, destination port 8080.

 

Es gibt kein Grund, warum er das denied.

 

In der Firewall Policy gibt es unter Protocols eine manuell eingerichteten

Port 8080 von inter nach lokal host. Dieser ist in der Firewall Policy

ausgewählt und erlaubt.

 

Hat jemand eine Idee?

 

Gruss

maho

Hallo Marco,

 

wie hast du dich auf den BSCI vorbereitet, hast du Kurse besucht oder aus Büchern/Learning by doing drauf vorbeitet? Darf ich fragen wo Du den Kurs besuchen willst?

 

Bringt einem der anschließende Test etwas, wenn man nicht vorhat den CCNP zu machen? Für das CCNB benötigt man einige Kurse und Tests und auch CCNA, oder?

Ein Zertifikat bekommt man ja für als Nashweis.

 

Gruß, Maho

Mit dieser Konfiguration funktioniert das einwandfrei. Ich hau die Leitung voll, nicht mal mehr Pings gehen durch, aber mit der Citrix-Session kann weiterarbeiten. Man merkt zwar minimal die Last, aber das ist kein Problem.

 

ip access-list extended prio-citrix

permit tcp any eq 1494 any

 

class-map match-all citrix

match access-group name prio-citrix

 

policy-map policy2

class citrix

priority percent 95

 

policy-map policy1

class class-default

shape average 100000

service-policy policy2

 

interface Tunnel10

service-policy output policy1

 

Wenn ich das shaping auf class-default rausnehme, meckert der Router, dass CBWFQ nicht unterstützt wird auf dem Interface T10.

 

Ich muss aber zugeben, dass ich die Funktionsweise noch nicht verstanden habe. Kennst sich jemand besser aus mit QoS und kann mir das vielleicht erklären?

 

Noch was. Habe durch Recherchen folgende Tuning-Massnahmen für die Konfiguration gefunden. Hat jemand Erfahrung mit diesen Befehlen:

 

interface Ethernet0

description internes LAN

hold-queue 100 out

 

interface ATM0

hold-queue 224 in

pvc 1/32

tx-ring-limit 3

 

interface Dialer1

ppp multilink

ppp multilink fragment delay 10

ppp multilink interleave

dialer hold-queue 30

 

Gruss

Maho

Hallo,

 

wenn ich z.B. 4 Router in einem Segment habe, alle im AS 1. Wie kann sagen, Router1 soll nur von Router4 die Routen lernen. Ist das möglich, wenn alles in der gleichen AS sind? Ich habe das auf Router1 mit dem Befehl "neighbor x.x.x.x" versucht und die IP des 4. Router eingegeben. Dann hat er mit keinem mehr gesprochen. Im moment arbeite ich mit Incoming distribution List. Wenn ich aber eingeben kann, mit welchem nachbard er reden soll, wäre mir das lieber.

 

Danke schon mal im Voraus!

 

gruss

maho

@tom12

Ich glaube, das "PPP LFI" lässt sich nur Framerelay konfigurieren.

Ich werde leider erst wieder in 2 Wochen dazu kommen an diesem Thema weiterzuarbeiten. Werde berichten, sobald ich die Tips von euch getestet habe.

 

Tausend Dank schon mal für eure Hilfe !!!

 

maho

Leider kann ich die LLQ Konfiguration wie beschrieben nicht eingeben:

 

class-map match-all llq

match access-group 150

 

policy-map llq-policy

class citrix

bandwidth percent 95

class class-default

fair-queue

 

vpn-test-vti(config-if)#no service-policy output policy1

vpn-test-vti(config-if)#service-policy output llq-policy

Class Based Weighted Fair Queueing not supported on interface Tunnel10

 

Mein Versuch mit PPP LFI wird wohl länger dauern, wenn ich das überhaupt selber hinbekomme...

Wenn ich auf beiden Seiten

 

policy-map policy1

class class-default

shape average 192000

 

eingebe, sieht's viel besser aus. Trotz massiver Last, kann ich mit meiner Citrix-Session arbeiten. Und wenn ich auf beiden Seiten 100000 eingebe, sieht es nochmal viel besser aus mit meiner Session. Gibt es eine Erklärung dafür, warum sich das so verhält?

 

Kann mir jemand mit der LLQ und PPP LFI Konfiguration weiterhelfen? Ich weiss nicht, wie ich das mit der bestehenden Konfiguration (vor allem der Prio-Konfig.) verheiraten soll.

Ich schau mir den Link gleich an.

 

Zum Drucken wird Port 9100 verwendet.

 

Hier schon mal die Konfiguration des Aussenstellenrouters (DSL):

 

version 12.4

no service pad

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

!

hostname aussenstelle1

!

boot-start-marker

boot-end-marker

!

logging buffered 40000

enable secret 5 <removed>

!

no aaa new-model

clock timezone MEZ 1

clock summer-time MESZ recurring last Sun Mar 1:00 last Sun Oct 2:00

no ip source-route

ip cef

!

!

!

!

ip tftp source-interface Vlan1

no ip domain lookup

ip host tftp 10.50.3.5

!

multilink bundle-name authenticated

vpdn enable

!

vpdn-group 1

l2tp tunnel password 7

!

!

!

!

!

!

!

class-map match-all citrix

match access-group name prio-citrix

!

!

policy-map policy2

class citrix

priority percent 95

policy-map policy1

class class-default

shape average 192000

service-policy policy2

!

!

!

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

lifetime 3600

crypto isakmp key xxxaddress x.x.x.x no-xauth

!

!

crypto ipsec transform-set 3dessha esp-3des esp-sha-hmac

!

crypto ipsec profile P-3dessha

set transform-set 3dessha

!

!

!

!

!

interface Tunnel10

bandwidth 2000

ip address 10.80.0.2 255.255.255.252

tunnel source Dialer1

tunnel destination x.x.x.x

tunnel mode ipsec ipv4

tunnel protection ipsec profile P-3dessha

service-policy output policy1

!

interface BRI0

no ip address

encapsulation hdlc

shutdown

!

interface ATM0

no ip address

no atm ilmi-keepalive

pvc 1/32

pppoe-client dial-pool-number 1

!

dsl operating-mode auto

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface Vlan1

ip address 10.94.1.1 255.255.255.0

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1420

!

interface Dialer1

ip address negotiated

ip mtu 1460

ip nat outside

ip virtual-reassembly

encapsulation ppp

dialer pool 1

dialer idle-timeout 0

dialer-group 1

compress stac

no cdp enable

ppp authentication chap pap callin

ppp chap hostname xxx%kamp-dsl

ppp chap password xxx

ppp pap sent-username xxx%kamp-dsl password xxx

!

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route 10.200.1.0 255.255.255.0 10.252.99.1

ip route 10.206.0.0 255.255.248.0 10.252.99.1

ip route 10.251.0.0 255.255.0.0 10.252.99.1

ip route 212.144.221.160 255.255.255.240 Dialer1

!

!

no ip http server

no ip http secure-server

ip nat inside source list 102 interface Dialer1 overload

!

ip access-list extended internet_in

permit icmp any any administratively-prohibited

permit icmp any any echo

permit icmp any any echo-reply

permit icmp any any packet-too-big

permit icmp any any time-exceeded

permit icmp any any traceroute

permit icmp any any unreachable

permit esp x.x.x.x 0.0.0.127 any

permit udp x.x.x.x 0.0.0.127 any eq isakmp

deny ip any any

ip access-list extended prio-citrix

permit tcp any any eq 1494

ip access-list extended routemap-clear-df

permit ip any 10.0.0.0 0.255.255.255

!

logging trap debugging

access-list 1 permit 10.94.1.0 0.0.0.255

access-list 102 deny ip host 10.94.1.10 10.0.0.0 0.255.255.255

access-list 102 permit ip host 10.94.1.10 any

no cdp run

!

!

!

route-map Clear-DF permit 10

match ip address routemap-clear-df

set ip df 0

!

!

control-plane

!

!

line con 0

password 7 <removed>

login

no modem enable

line aux 0

password 7 <removed>

login

line vty 0 4

exec-timeout 300 0

password 7 <removed>

login

!

scheduler max-task-time 5000

!

webvpn context Default_context

ssl authenticate verify all

!

no inservice

!

end

Das ist ein tolles Forum -mit tollen Usern!!!

 

@Thomas

Ich habe die Priorisierung auf beiden Seiten angepasst (priority percent 95). Leider habe ich immer noch schlechte Performance mit meiner Citrix-Session, wenn Dateien hin- und herkopiere und große Pingpakete laufen lasse. PPP LFI sieht ja Mega kompliziert aus. Auf die schnelle konnte ich das nicht in die vorhandene Konfiguration rein arbeiten. Werde mir das nochmals genauer anschauen.

 

Wenn ich das mit der Priorisierung hinkriegen würde, wäre ich schon ein ganzes Stück weiter.

 

Hier mal die Ausgaben vom "sh policy-map interface":

 

Router Zentrale

Tunnel99

 

Service-policy output: policy1

 

Class-map: class-default (match-any)

53118 packets, 61337392 bytes

5 minute offered rate 232000 bps, drop rate 0 bps

Match: any

Traffic Shaping

Target/Average Byte Sustain Excess Interval Increment

Rate Limit bits/int bits/int (ms) (bytes)

2000000/2000000 12500 50000 50000 25 6250

 

Adapt Queue Packets Bytes Packets Bytes Shaping

Active Depth Delayed Delayed Active

- 0 53118 61137628 21253 26931348 no

 

Service-policy : policy2

 

Class-map: citrix (match-all)

3471 packets, 262259 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: access-group name prio-citrix

Queueing

Strict Priority

Output Queue: Conversation 72

Bandwidth 95 (%)

Bandwidth 1900 (kbps) Burst 47500 (Bytes)

(pkts matched/bytes matched) 365/36635

(total drops/bytes drops) 0/0

 

Class-map: class-default (match-any)

49647 packets, 61075133 bytes

5 minute offered rate 232000 bps, drop rate 0 bps

Match: any

 

Router Aussenstelle DSL 2000/192

Tunnel10

 

Service-policy output: policy1

 

Class-map: class-default (match-any)

36577 packets, 25983213 bytes

5 minute offered rate 177000 bps, drop rate 0 bps

Match: any

Traffic Shaping

Target/Average Byte Sustain Excess Interval Increment

Rate Limit bits/int bits/int (ms) (bytes)

192000/192000 1968 7872 7872 41 984

 

Adapt Queue Packets Bytes Packets Bytes Shaping

Active Depth Delayed Delayed Active

- 0 51794 25781257 40848 20593031 yes

 

Service-policy : policy2

 

Class-map: citrix (match-all)

3239 packets, 153836 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: access-group name prio-citrix

Queueing

Strict Priority

Output Queue: Conversation 40

Bandwidth 95 (%)

Bandwidth 182 (kbps) Burst 4550 (Bytes)

(pkts matched/bytes matched) 2342/111125

(total drops/bytes drops) 0/0

 

Class-map: class-default (match-any)

33338 packets, 25534827 bytes

5 minute offered rate 177000 bps, drop rate 0 bps

Match: any

 

 

Gruß, maho

Ich kenne micht mit QoS nicht aus. Die Bandbreite ist für die kleine Anzahl User (2) an diesem Standort völlig ausreichend. Ab und zu hängt sich die Citrix-Session auf bzw. haben die User Tastaturverzögerungen. Verantwortlich könnten möglicherweise kurzzeitige Spitzen sein, wofür z.B. das Drucken verantwortlich sein könnte. Deswegen möchte ich grundsätzlich die Bandbreite "kontrollieren". Citrix soll immer vorrang vor allem anderen Traffic haben. Wenn parallel gedruckt wird, soll eben das Drucken langsamer gehen und dafür hat der User immer mit seiner Citrix-Session keine Performanceprobleme (klar, solange die Antwortzeiten im Internet mitmachen).

 

Ich dachte wenn ich 95% eintrage, wird dieser Wert für die Citrix reserviert. Die Grundkonfiguration habe ich aus einem anderen Forum.

 

@#9370

Danke für die Links. In dem 2. Link (VTI) steht leider nicht, wie man auf Port-Basis QoS konfiguriert.

Hallo,

 

auf einer VPN-Verbindung würde ich gerne den Traffic priorisieren. Citrix soll höchste Prio haben vor jeglichem Traffic haben.

 

Habe dafür mal folgendes ausprobiert:

Auf Aussenstellenrouter mit DSL2000/192

ip access-list extended prio-citrix

permit tcp any any eq 1494

permit tcp any eq 1494 any

 

class-map match-all citrix

match access-group name prio-citrix

 

policy-map policy2

class citrix

bandwidth percent 95

 

policy-map policy1

class class-default

shape average 192000

service-policy policy2

 

interface Tunnel10

service-policy output policy1

----------------------------------------------------------------

 

In der Zentrale mit Internet 2Mbit Standleitung:

ip access-list extended prio-citrix

permit tcp any any eq 1494

permit tcp any eq 1494 any

 

 

class-map match-all citrix

match access-group name prio-citrix

 

policy-map policy2

class citrix

bandwidth percent 95

 

policy-map policy1

class class-default

shape average 2000000

service-policy policy2

 

interface Tunnel10

service-policy output policy1

 

Ich kopiere große Dateien hin und her und habe eine schlechte Perfomance in meiner Citrix-Session, egal ob mit der QoS Konfiguration oder ohne.

 

Überjeden Hinweis wäre ich sehr dankbar!

 

Danke schon mal im Voraus.

 

Gruß, maho

Tip: Käme vielleicht ISDN-FLAT in Frage? Es gibt von der DTAG ISDN-Flat von 2 Anschlüssen zueinander.

Danke für den Tip. Aber ich muss glaube ich zuvor die conduits in ACL umwandeln. Oder hat schon mal jemand conduit und ACL gemischt? Dachte irgendwo gelesen zu haben, dass man das nicht tun sollte. Hat jemand Erfahrung?

 

Oder gebe es auch eine Möglichkeit das mit conduits abzubilden?

Ich hätte eine Frage:

 

Das Netz 10.33.3.0 im Inside wird "gepattet" nach draussen zur ip 10.80.0.1.

global (out-1) 2 10.80.0.1

nat (inside) 2 10.33.3.0 255.255.255.0 0 0

 

Ist es möglich, dass das interne Netz 10.33.3.0 beim Zugriff auf eine bestimmte Zieladresse im Outside nicht umgesetzt wird?

 

Gruß, Maho

Hallo,

 

folgende Anforderung ist gestellt:

- auf einem C4500 sind 30 VLAN's konfiguriert

- diese sind in gleichgroße Subnetze im Netz 10.150.0.0/16 aufgeteilt

- ein Subnetz ist Transfernetz zur Firewall

- Zugriff zwischen den VLAN's soll verhindert werden, jedoch soll es Ausnahmen geben

- Zugriff von Outside durch die Firewall vom Transfernetz aus soll nur die Firewall kontrollieren, auf den ACL's des C4500 nicht

 

Zum einen würde ich gerne wissen, was zu beachten ist, wenn man auf den Catalyst 4500 filtern möchte. Eine Überlegung ist, einen Filter für alle VLAN's zu erstellen. Das hätte aber den Nachteil, dass ein Fehler in der "zentralen ACL" sich auf alle VLAN's auswirken würde.

Ideal wäre es, eine Default-ACL für alle VLAN's zu haben, diese wird niemals berührt. Und zusätzlich kann man eine Individuelle ACL konfigurieren, also 2 ACL's pro VLAN???

 

Bin für jeden Tip sehr dankbar!

 

Danke und Gruß

maho

Leute, ich habe das Problem mit dem Programm BOOTVIS gelöst !!!

 

Habe das auf meinem Privatrechner schon mal eingesetzt. Im Geschäft habe ich mich nicht getraut, aber das war jetzt meine letzte Hoffnung.

 

Andere Frage: Wenn man Windows XP Prof. installiert, gibt es da sowas wie "Best Practices", mit Einstellungen usw. wenn das nicht privat, sondern in einem Netzwerk eingesetzt werden soll?

Nein, die IP-Netze haben Vollzugriff zueinander.

Bitteschön:

 

H:\>ipconfig/all

 

Windows-IP-Konfiguration

 

Hostname. . . . . . . . . . . . . : xxx

Primäres DNS-Suffix . . . . . . . : xxx.de.xxx.com

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : xxx.de.xxx.com

de.xxx.com

xxx.com

 

Ethernetadapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix: xxx.de.xxx.com

Beschreibung. . . . . . . . . . . : Intel® PRO/100 VE Network Connection

Physikalische Adresse . . . . . . : 00-0D-56-E2-4D-F2

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 10.88.20.142

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 10.88.20.1

DHCP-Server . . . . . . . . . . . : 10.88.22.42

DNS-Server. . . . . . . . . . . . : 10.88.22.42

10.88.22.41

Primärer WINS-Server. . . . . . . : 10.88.22.42

Sekundärer WINS-Server. . . . . . : 10.88.22.41

Lease erhalten. . . . . . . . . . : Dienstag, 17. Oktober 2006 06:13:13

Lease läuft ab. . . . . . . . . . : Donnerstag, 19. Oktober 2006 06:13:13

 

Ethernetadapter Drahtlose Netzwerkverbindung 9:

 

Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung

Beschreibung. . . . . . . . . . . : Dell TrueMobile 1300 WLAN Mini-PCI Karte

Physikalische Adresse . . . . . . : 00-90-4B-74-E5-0A

 

Ethernetadapter Bluetooth Network:

 

Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung

Beschreibung. . . . . . . . . . . : Bluetooth LAN Access Server Driver

Physikalische Adresse . . . . . . : 00-10-C6-2A-E6-6E

Das habe ich nocht nicht probiert. Mein Profil liegt nicht lokal. Werde mich an einem anderen Rechner anmelden und berichten, ob ich dann das gleiche Problem habe.

 

Edit:

Habe mich gerade an einem anderen PC angemeldet. Da habe ich das Problem nicht, dass ich 2 Minuten warten muss, nachdem ich mein Passwort eingegeben und auf OK geklickt habe.

 

Das muss doch dann irgendwas lokales sein. Was kann ich noch prüfen?

 

Meldungen im Eventviewer:

Anwendung:

ID 1525 Es wurde festgestellt, das die Offlinezwischenspeicherung auf der Freigabe des servergespeicherten Profils aktiviert ist. Die Offlinezwischenspeicherung muss auf Freigaben, auf denen servergespeicherte Profile gespeichert werden, deaktiviert werden, um eine potentielle Beschädigung des Profils zu vermeiden.

 

System:

ID 7034 Dienst "IrBridge User-Level Interface" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

 

ID 7000 Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden Fehlers nicht gestartet:

Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

 

ID 4000 Quelle fwrdv Die Beschreibung der Ereigniskennung ( 4000 ) in ( fwdrv ) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Möglicherweise müssen Sie das Flag /AUXSOURCE= zum Ermitteln der Beschreibung verwenden. Weitere Informationen stehen in Hilfe und Support. Ereignisinformationen: \Device\FWDRV; BufferAllocate: BufferSize (8064) > FWDRV_BUFFER_M.

 

ID 59 Quelle SideBySide Generate Activation Context ist für C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_dec6ddd2\MFC80U.DLL fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet.

Danke für die schnellen Antworten!

 

Nur ein Client ist betroffen, nämlich meins :-(

 

@lefg

Das Problem ist "plötzlich" aufgetaucht. Solange habe ich nicht gebraucht.

 

@Kohn

Nach was soll ich im "rsop.msc" schauen?

 

@Necron

Soll ich ipconfig/all posten?

 

Im Eventlog stehen Meldungen, die aber vom Datum her auch schon vorher auftauchten.

 

Im Windows-Breich kenne ich mich nicht sehr aus, komme aus dem Cisco-Breich. Meine Admin haben keine Zeit Fehleranalyse zu betreiben und wollen mein Profil löschen und Standard-Image draufklatschen. Deswegen habe selbst den Versuch gestartet, das Problem zu lösen.

 

Gruß, Maho

Hallo,

 

nachdem Anmelden wartet der Rechner 2 Minuten und macht danach weiter. Der Rest dauert dann auch noch mal 2 Minuten. Auf dem Rechner ist Win XP SP2 drauf. Anmeldung erfolgt in einer W2K3-Domäne.

 

Folgendes wurde schon unternommen:

- per msconfig alles unnötige ausgeschalten

- mit cc-cleaner Registry aufgeräumt

- Windowsupdate

- Profil auf Größe überprüft, sind ca. 50MByte

- Profil wird auf Server übertragen

- Zugriff auf "Profile-Server" netzwerktechnisch ok

 

Auch wenn ich mich mit dem Username local anmelde (Die Meldung "Servergespeicherte Profile können nicht geladen werden..." kommt) dauert das genau so lange.

 

Hat jemand eine Idee, wie ich das Problem gelöst bekomme?

 

Danke schon mal im Voraus!

 

Maho

Hallo,

 

im Verzeichnis "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Terminal Server Client\Cache" liegt eine ca. 20MB große Datei namens "bcache22.bmc".

Ist es möglich zu steuern, das der Terminal Server Client diese Datei woanders ablegt?

 

Danke und Gruß

Maho