daking

Software Download Rules - Please Read Carefully

By clicking "Agree" below, you agree to each of the following:

1. That Cisco reserves the right to: (a) charge you for, and you agree to pay for, software /signature file downloads to which you are not entitled, and (b) immediately suspend or terminate your access to this web site if you download software to which you are not so entitled;

2. That you shall be bound by the Software End User License Agreement ("Agreement ") posted at the above URL regarding the use of any Cisco software you download from this web site (The Software End User License Agreement governs your use of the Cisco software listed at this web site. Click the highlighted link for the full text of the Agreement, which may be updated from time to time by Cisco at its sole discretion and without notice. Cisco will post a copy of the updated version of the Cisco Software End User License Agreement, and you agree to independently and regularly review the Agreement at this URL);

3. That you are only entitled to download Cisco software for the Cisco hardware chassis or device or the particular application software or signature file for which you have paid the applicable software license fees;

4. That you must purchase a Cisco Operating system Software feature set upgrade license if the feature set you intend to download is not included in your initial license;

5. That you have a current and valid service contract that covers either the specific Cisco hardware chassis or device for which you are downloading software and/or the software image or subscription file update (e.g., for Intrusion Detection System) that you are downloading.

Hola,

da solltest du eher deinen Distributor fragen.

IOS Software ist Lizentechnisch geschützt => jeder der dir umsonst eine SW gibt macht sich strafbar.

(;-( => Backups sind wichtig!

Ciao

Hola,

ist das dein Fehler: error 42: unable to create certificate enrollment request

Symptom:

windows vpn client version 4.0.3 fails to enroll with IOS CA server using scep.

other devices (pix, ios) enroll successfully.

vpn client does get the CA certificate installed but not user certificate.

it gives error:

error 42: unable to create certificate enrollment request

in client log it shows:

Could not find data portion of HTTP response from CEP server.

Contact your CA administrator for further instructions.

Workaround:

enroll via a pkcs10 requests.

STATUS: OPEN

BugID: CSCed90732

Ciao

Hola,

auf dem Router brauchst du nicht eintragen (ip domain...). Du musst im DNS Server einen externen DNS Server definieren.

Ciao

Hola,

ip access-group 111 in - wo ist die definiert,bzw. nutzt du das CBAC Feature nun (ip inspect).

was passiert wenn du auf deinem internen DNS Server ein nslookup auf z.B. http://www.google.de machst ?

Hat der DNS Server schon mal funktioniert ?

Wie und Wo fragt dein interner DNS Server Namen ab?

Ciao

Hola.

einfach rollover

1 auf 8

2 auf 7

3 auf 6

4 auf 5

..

..

..

..

Hola,

wenn du das Firewall Feature aktiviert hast scheint es nicht sinnvoll zu sein das ip dns server feature zu aktivieren.

Das einzige was mir dazu einfällt währe die 101 ACL zu erweitern (was nicht sicher ist!!)

permit udp any eq 53 any gt 1023 log (log zum Testen)

anstatt any kannst du auch den DNS Server eintragen.

Hmmmm.

Hola,

->SLA = Service Level Agreement => garantierte Jitter/Packet Loss/Delay/Bandwidth Werte im Providernetz.

->TOS vs. DSCP

http://www.cisco.com/warp/public/105/dscpvalues.html

46 = 184

Ciao

Hola,

dscp = ef = 46

tos = 184

Ciao

Hola,

ADSL ist für VoIP eher suboptimal!

Hier ein Vergleich zwischen den Codecs:

1. G.711 @ 20ms Coder Intervall (alle 20ms ein Paket = 50pps) mit pppoe

->voice payload = 160Bytes

->+RTP Header = 12 Bytes

->+UDP Header = 8 Bytes

->+IP Header = 20 Bytes

->+PPP protocol ID= 2Bytes

->+PPPoE header = 6Bytes

->+Ethernet Header = 28Bytes

=> Paketgrösse ist 236Byte * 50pps => 92 Kbit/s pro Gespräch

2. G.729 @ 20ms Coder Intervall (alle 20ms ein Paket = 50pps) mit pppoe

->voice payload = 20bytes

=>siehe oben

=>Paketgrösse ist 96Bytes * 50pps => 37,5 Kbit/s

Wichtig ist hier auch, dass du (denke ich) keine SLA mit dem Provider hast; prich Jitter Delay und Packet Loss sind im Provider Netz schwankend. Mit z.B. Arcor sind die Erfahrungen eher schlecht...

Da gehen die Pakete zwar "geordnet" raus. was damit im Provider Netz passiert ist dann nicht mehr zu beeinflussen..

Ciao

Hola,

LLQ oder Low Latency Queuing generiert auf dem Router eine Priority Queue, sprich wird ein Paket in diese Queue gelegt wird diese Paket direkt auf den TX Ring (wird direkt gesendet) gelegt. Dies verhindert Delay, Jitter, Paket Loss. Den selben Effeckt hat auch Priority Queueing (brutal Queueuing => da immer nur ****e die priority queue abgearbeitet wird und alle anderen leiden müssen). Mit LLQ kannst du bestimmte Bandbreite für VoIP sichern, also nur "ein Teil der Verbindung" für VoIP reservieren. Der Anteil der Leitung sollte erfahrungsgemäß nicht 33% (15% für VoIP, 15% für Video) überschreiten; denke da laufen auch noch andere Anwendungen die nicht völlig verbachlässigt werden sollten.

Bei einem Cisco Router läuft der Einsatz von QOS Tools so ein:

1. interessanten Traffic erkennen (Classify)

2. den interessanten Traffic markieren (Marking)

3. markierten Traffic unterschiedlich behandeln (Queueing)

..

Denke mal du hast einen IAX2 Trunk konfiguriert. Im IAX Konfigfile kannst du DSCP Werte (oder TOS Werte) für die Kommunikation setzen. Hier ist 46 (oder 184) sinnvoll. Die Cisco Konfig würde dann so aussehen:

class-map VoIP

match ip dscp 46

policy-map siteQOS

class VoIP

priority percent 33

class class-default

fair-queue

interface <zum internet>

service-policy out siteQOS

Validation:

sh policy-map int <zum Internet>

Ciao

Hola,

der Fehler liegt nach deiner Beschreibung am DNS. Welchen DNS Server hast du auf den Clients eingerichtet? Wie schaut deine ACL aus?

Ciao

Hola,

da bietet sich das CBWFG + LLQ an.

mit was telefonierst du (Asterisk..)?

Ciao

Hola,

nun zu den certs die auf dem Router konfiguriert wurden (entweder durch den SDM oder durch das 12.4 auto sec feature). Die selbsgenerierten Certs werden dir hier recht wenig helfen, da ja auch kein VPN konfiguriert ist. Sinnvoller ist falls certs verwendet werden sollen ein zentrale CA aufzusetzen. kannst also den crypto part löschen.

Das CBAC (ip inspect) Feature hängt auch in der Luft, da es auf kein Interface gebunden ist.

...

Ciao

Hola,

denke das NAT funktioniert nicht. Wo ist die 171 ACL für NAT?

access-list 171 permit ip 10.0.0.0 0.255.255.255 any

damit sind die internen Adressen definiert, die auf die externe IP Adresse des Dialer Interfaces abgebildet werden sollten.

Falls du vor hast ein site-to-site VPN zu machen musst die VPN Kommunikation entweder in der 171 ACL oder via policybased routing aus dem NAT Prozess ausgrenzen.

P.S. /8 Maske => grosses Netz => warum?

Ciao

Hola,

Welches IOS verwendest du?

ciao

Hola,

denke, dass für den Router keine Regel für den Rückweg in der 101er ACl generiert wird, somit geht die anfrage theoretisch raus. Die Antwort wird dann geblockt.

Na ja entweder du stellt auf deinen statischen Clients den externen DNS Server ein oder du versuchst es mal mit DHCP.

kannst testweise auch mal die 101 ACL mit deny ip any any log den verworfenen Traffic checken.

Ciao

Hola,

gibst du den gelernten DNS Server an die/den Client/s weiter? wenn du auf dem router einen dhcp server laufen hast sollte import all unter der scope helfen..

ciao

Hola,

scheint so wie, dass DNS nicht läuft. Denke die angezeigten Adressen werden direkt beim starten des Browsers angezeigt => Ads (ad1.adsolution.de [62.26.220.2], img.web.de [217.72.200.153], m12s01db.ispgateway.de [80.67.19.44]).

mal mit nslookup testen, ob das durch die FW geht sont hinzufügen.

Ciao

hola,

ip inspect name myfw http extistiert?

Ciao

Hola,

kannst du nicht mal eine externe IP pingen?

Einfach mal das logging mit :

ip inspect audit-trail

logging on

und optional

no ip inspect alert-off.

Funktioniert das nat ?

sh ip nat trans

debug ip nat?

Ciao

Hola,

incoming auf dem Dialer ist die fw sicherlich nicht sinnvoll, ausser du willst Requests auf Server in z.B. der DMZ überprüfen ! In deinem Fall wirst du die Verbindung aufbauen und nicht ein entfernter Client im Internet.

Hier ein Beispiel über die Funktion:

LAN--->fa0/0----router---fa0/1--->Internet

Sinnvoll ist hier das CBAC Feature entweder incoming auf dem fa0/0 interface oder outgoing auf dem fa0/1 zu aktivieren. Die zusätzliche ACL mit minimal deny ip any any benötigst du , da wenn auf der LAN Seite eine Verbindung aufgebaut wird, automatisch der Rückweg in dieser ACL durch das CBAC Feature definiert wird (solltest du auch mit sh access-list xx sehen, ausser bei aktuellen IOS). Existiert keine ACL in der Gegenrichtung funktioniert dieses Feature nicht.

Ein Standard set von Protokollen deren Inhalt (Befehle...Grösse...Anzahl SYN..) gescheckt werden soll gibt es nicht. Musst du selber entscheiden. Wenn du z.B. SMTP überprüft kannst du keine erweiterten Befehle benutzen, die für manche Server benötigt werden, FTP.. H323... usw.

Ciao

Hab den Fehler gefunden. Standardmäßig ist Public Secure Packet Forwarding (PSPF) aktiviert. Dies verhindert die interne Kommunikation.

=> bridge x protected = PSPF

Ciao

Hallo,

warum filters du nicht am Trap Receiver?

Ciao

Hola,

hast du unter dem interface Dotradio 0 bridge 1 protected gesetzt?

Dies verhindert die kommunikation zwischen den Clients..

Ciao