chmu

Hallo, ich denke der gefundene Link ist etwas für dich, ich überlege auch schon einige Zeit so etwas umzusetzen. solltest Du es evtl vor mir umsetzen, Teil mir mal deine Erfahrungen mit, muss das erst mir dem Kunden abstimmen. Intel® Modular Server Systems — Creating a multi-port trunk with an external switch

ich habe mal zum testen die anden Tunnel ausgemacht. hier ein logfile wo auch der peer drin auftaucht ISAKMP::Looking for a matching key for hostname.dyndns.org in default ISAKMP: no pre-shared key based on hostname hostname.dyndns.org! ISAKMP:: local preshared key found ISAKMP : Scanning profiles for xauth ... VPN-ike-profile-1 ISAKMP:: Authentication by xauth preshared ISAKMP::Checking ISAKMP transform 1 against priority 1 policy ISAKMP: life type in seconds life duration (basic) of 28800 encryption 3DES-CBC auth pre-share hash SHA default group 2 ISAKMP::atts are acceptable. Next payload is 0 ISAKMP:: processing KE payload. message ID = 0 ISAKMP:: processing NONCE payload. message ID = 0 ISAKMP:: processing vendor id payload ISAKMP:: vendor ID seems Unity/DPD but major 69 mismatch ISAKMP:(0): processing vendor id payload ISAKMP:(0): vendor ID seems Unity/DPD but major 164 mismatch ISAKMP:(0): processing vendor id payload ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch ISAKMP:(0): vendor ID is NAT-T v2 ISAKMP:(0): processing vendor id payload ISAKMP:(0): vendor ID seems Unity/DPD but major 221 mismatch ISAKMP:(0): processing vendor id payload ISAKMP:(0): vendor ID is DPD ISAKMP:(0): constructed NAT-T vendor-02 ID ISAKMP:(0):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR 2147379163 ISAKMP:(2001):deleting node 1691977690 error TRUE reason "QM rejected" ISAKMP:(2001):Node 1691977690, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH ISAKMP:(2001):Old State = IKE_QM_READY New State = IKE_QM_READY ISAKMP:(2007):purging node 1147102682 ISAKMP:(2007):purging node 1575228686 ISAKMP:(2007):purging node -1460719258 ISAKMP:(2007):purging node 1790089602 ISAKMP:(2007):purging node 3116416196.429: ISAKMP (0:0): incrementing error counter on sa, attempt 5 of 5: retransmit phase 1 ISAKMP:(0): retransmitting phase 1 AG_INIT_EXCH ISAKMP:(2001): sending packet to 217.92.194.155 my_port 4500 peer_port 4500 (I) QM_IDLE ISAKMP:(2001):purging node 1396674203 ISAKMP:(2001):deleting node 1179817812 error TRUE reason "QM rejected" ISAKMP:(2001):Node 1179817812, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH ISAKMP:(2001):Old State = IKE_QM_READY New State = IKE_QM_READY ISAKMP (0:0): received packet from 84.132.*.* dport 4500 sport 4500 Global (R) AG_INIT_EXCH _FROM_PEER, IKE_INFO_NOTIFY ISAKMP:(2029):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE PSEC(key_engine): got a queue event with 1 KMI message(s) ISAKMP (0:2029): received packet from 84.132.*.* dport 4500 sport 4500 Global (R) QM_IDLE ISAKMP: set new node -864084890 to QM_IDLE ISAKMP:(2029): processing HASH payload. message ID = -864084890 ISAKMP:(2029): processing SA payload. message ID = -864084890 ISAKMP:(2029):Checking IPSec proposal 1 ISAKMP: transform 1, ESP_3DES ISAKMP: attributes in transform: ISAKMP: SA life type in seconds ISAKMP: SA life duration (basic) of 3600 ISAKMP: encaps is 61443 (Tunnel-UDP) ISAKMP: authenticator is HMAC-SHA ISAKMP: group is 2 ISAKMP:(2029):atts are acceptable. IPSEC(validate_proposal_request): proposal part #1 IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= 172.16.11.2, remote= 84.132.*.*, local_proxy= 172.16.12.0/255.255.255.248/0/0 (type=4), remote_proxy= 192.168.22.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel-UDP), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0 Feb 3 00:01:56.630: Crypto mapdb : proxy_match src addr : 172.16.12.0 dst addr : 192.168.22.0 protocol : 0 src port : 0 dst port : 0 IPSEC(crypto_ipsec_process_proposal): peer address 84.132.*.* not found ISAKMP:(2029): IPSec policy invalidated proposal with error 64

So ich habe noch einmal alles durchgetestet. wenn ich in der crypomap die dynamic ip eintrage steht das VPN sofort, wenn ich dann denn eintrag set peer von static auf dynamic tausche gehts vpn kurz offline aber dann wieder Online. Wenn ich dann die gegenseite neustarte und warte wird das VPN nicht mehr aufgebaut. Dazu mal etwas log info: vpngate-cy#show crypto isakmp peers Peer: 84.*.*.* Port: 4500 Local: 172.16.11.2 Phase1 id: hostname.dyndns.org Peer: 217.*.*.* Port: 4500 Local: 172.16.11.2 Phase1 id: 192.168.73.2 vpngate-cy#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 172.16.11.2 80.*.*.* QM_IDLE 2005 0 ACTIVE 217.*.*.* 172.16.11.2 QM_IDLE 2001 0 ACTIVE protected vrf: (none) local ident (addr/mask/prot/port): (172.16.12.0/255.255.255.248/0/0) remote ident (addr/mask/prot/port): (192.168.22.0/255.255.255.0/0/0) current_peer 84.132.190.184 port 4500 PERMIT, flags={origin_is_acl,} #pkts encaps: 408, #pkts encrypt: 408, #pkts digest: 408 #pkts decaps: 408, #pkts decrypt: 408, #pkts verify: 408 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 172.16.11.2, remote crypto endpt.: 84.*.*.* path mtu 1500, ip mtu 1500, ip mtu idb Vlan11 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: Und das sagt die Gegenseite, nachdem ich von main auf aggressive mode umgestellt habe. racoon: ERROR: HASH mismatched racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address. racoon: INFO: NAT detected: ME PEER racoon: INFO: NAT-D payload #0 doesn't match racoon: INFO: Hashing 87.*.*.*0[4500] with algo #2 racoon: INFO: NAT-D payload #-1 doesn't match racoon: INFO: Hashing 84.*.*.*[4500] with algo #2 racoon: INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02 racoon: WARNING: No ID match. WARNING: port 4500 expected, but 0 INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02 INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt INFO: received Vendor ID: DPD INFO: received Vendor ID: CISCO-UNITY WARNING: remote address mismatched. db=87.*.*.*[4500], act=87.*.*.*0[500] Hoffe das die logs zusammen mit der Konfig aussagekräftig sind, und ihr mir weitere Tips geben könnt.

Das stimmt die DNS Konfiguration, hatte ich nicht sauber scheint aber zu funktionieren, habe das nun angepasst. ! ip domain name kunde.local ip name-server 208.67.222.222 ! Aber so wirklich hat das nichts geändert, ich werde heute wohl noch mal die gegenseite anschauen, da ich da leider auch nichts im Log sehe... gegenseite ist im moment nen m0n0wall, werde das nachher auch mal mit mikrotik testen, da ich hier keinen cisco liegen habe. Sending 5, 100-byte ICMP Echos to 84.132.*.*, timeout is 2 seconds: ..... Success rate is 0 percent (0/5)

Hallo, da hatte ich diese Angaben echt noch vergessen, hatte igendwie nur drauf geachtet die cfg fürs Forum zu kürzen. Sorry: Ich setze folgenden Router ein. Cisco 876W (MPC8272) processor (revision 0x200) with 118784K/12288K bytes of memory. Processor board ID FCZ102623WR MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10 4 FastEthernet interfaces 1 ISDN Basic Rate interface 1 ATM interface 1 802.11 Radio 128K bytes of non-volatile configuration memory. 24576K bytes of processor board System flash (Intel Strataflash) Und folgendes IOS: Cisco IOS Software, C870 Software (C870-ADVENTERPRISEK9-M), Version 12.4(11)T1 Als Fehler würde ich erst einmal beschreiben das der Tunnel nicht aufgebaut wird und dieses noch vor der Phase 2 passiert Dazu mal eine paar log Ausgabe, leider ist das der einige Eintrag welchen ich zu diesem VPN finde. local ident (addr/mask/prot/port): (172.16.12.0/255.255.255.248/0/0) remote ident (addr/mask/prot/port): (192.168.22.0/255.255.255.0/0/0) current_peer (none) port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

Guten Tag, ich habe ein kleines Problem mit einer Konfiguration eines Cisco´s :( Was habe ich vor: - Site2Site Statik Hosts - Site2Site Dynamic Hosts - Mobile User VPN Was geht schon: - Site2Site Statik Hosts - Mobile User VPN Was geht noch nicht: - Site2Site Dynamic Hosts Beim Site2Site Dynamic mit Hosts Dynamik Hosts sitze ich gerade voll aufm schlauch und komme einfach nicht weiter, evtl seht ihr meinen Fehler oder könnt mir weitere Tipps geben. Daher anbei mal meine Config in gekürzert form für forum und vollständig als txt. Danke schonmal ! version 12.4 hostname vpngate-cy aaa new-model ! aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authentication login local_authen local aaa authorization exec default local aaa authorization exec local_author local aaa authorization network sdm_vpn_group_ml_1 local ! username user1 privilege 15 secret 5 ******** username user2 privilege 0 secret 5 ****** ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp key ******** address 217.1.*.* crypto isakmp key ******** address 217.2.*.* crypto isakmp key ******** address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 10 periodic ! crypto isakmp client configuration group rem_ma key ******** pool VPN-Pool acl 195 ! crypto isakmp profile VPN-ike-profile-1 match identity group rem_ma client authentication list sdm_vpn_xauth_ml_1 isakmp authorization list sdm_vpn_group_ml_1 client configuration address respond virtual-template 1 ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA-s2s esp-3des esp-sha-hmac ! crypto ipsec profile VPN_Profile1 set transform-set ESP-3DES-SHA set isakmp-profile VPN-ike-profile-1 ! crypto map VPN_S2S_1 2 ipsec-isakmp description Tunnel to 217.1:*:* set peer 217.1.*.* set transform-set ESP-3DES-SHA-s2s match address 193 ! crypto map VPN_S2S_1 3 ipsec-isakmp description Tunnel to 217.2.*.* set peer 217.2.** set transform-set ESP-3DES-SHA-s2s match address 192 ! crypto map VPN_S2S_1 11 ipsec-isakmp set peer hostname.dyndns.org dynamic set transform-set ESP-3DES-SHA-s2s match address 196 ! interface FastEthernet0 switchport mode trunk ! interface Virtual-Template1 type tunnel ip unnumbered Vlan11 tunnel mode ipsec ipv4 tunnel protection ipsec profile VPN_Profile1 ! interface Vlan11 description TO-WAN-Router ip address 172.16.11.2 255.255.255.248 crypto map VPN_S2S_1 ! interface Vlan12 description TO-LAN-Router ip address 172.16.12.2 255.255.255.248 ! ip local pool VPN-Pool 192.168.150.1 192.168.150.200 ip route 0.0.0.0 0.0.0.0 172.16.11.1 ! ip nat inside source route-map VPN_RMAP_1 interface Vlan11 overload ! access-list 190 remark IPSec Rule, welche ip-adressen sollen verschluesselt und somit nicht ausgehend genattet access-list 190 deny ip 172.16.12.0 0.0.0.255 192.168.73.0 0.0.0.255 log access-list 190 deny ip 172.16.12.0 0.0.0.255 192.168.74.0 0.0.0.255 log access-list 192 remark IPSec Rule, welcher S2S-VPN-Pakete werden verschluesselt 217.1.*.* access-list 192 permit ip 172.16.12.0 0.0.0.7 192.168.1.0 0.0.0.255 access-list 193 remark IPSec Rule, welcher S2S-VPN-Pakete werden verschluesselt 217.2.*.* access-list 195 remark define split-tunnel access-list 195 permit ip 172.16.12.0 0.0.0.7 192.168.150.0 0.0.0.255 log access-list 195 permit ip 192.168.10.0 0.0.0.255 192.168.150.0 0.0.0.255 log access-list 196 remark IPSec Rule, welcher S2S-VPN-Pakete werden verschluesselt 0.0.0.0 access-list 196 permit ip 172.16.12.0 0.0.0.7 192.168.22.0 0.0.0.255 ! route-map VPN_RMAP_1 permit 1 match ip address 190 ! cfg_vpngate_01.txt

wenn du per TS verbunden hast gibt es in den TerminalserverDienstverwaltung eine Auflistung von verbundenen Usern und da wird auch das Feld ID angezeigt, das für mich die SitzungsID. Sollte ich das falsch interpretiert haben sorry ... aber die wollte ich mir zumindest ausgeben ...

Hi also das was du geschieben hast ist nicht die ID aber dabei habe ich dann festgestellt das die TMP variable des Users die ID enthält, zwar ändert der diese mit der 10 ID auf a die 11 auf b usw ... aber das konnte ich ja dann mittels if schleife lösen... Danke an alle die Mitgeholfen haben.... set ID=%TMP:~34% if "%ID%"=="1" goto standard if "%ID%"=="2" goto standard if "%ID%"=="3" goto standard if "%ID%"=="4" goto standard if "%ID%"=="5" goto standard if "%ID%"=="6" goto standard if "%ID%"=="7" goto standard if "%ID%"=="8" goto standard if "%ID%"=="9" goto standard if "%ID%"=="a" goto tauschea if "%ID%"=="b" goto tauscheb if "%ID%"=="c" goto tauschec if "%ID%"=="d" goto tausched if "%ID%"=="e" goto tauschee usw... für denn Fall das mal jemand das braucht ...

Also Sinn macht das ganze schon :) Ok kurzer Input: Eine von der Firma benötigte Software erstellt eine INI in der der Drucker fest angegeben werden muss. Die User sind eigendlich immer auf den TS Verbunden. Solange Sie das sind ist das ganze gar kein Problem, aber wenn der User getrennt wird bekommt er vom TS eine neue ID die zu 90 % immer eine andere ist wir die ID die ich in der Software INI habe. Jetzt wollte mittels batch Datei die Software INI bei jeder Anmeldung neu schreiben lassen, da komme ich aber leider nicht weiter weil ich die Variable der Session ID nicht herrausfinde.

Danke das geht in die Richtige richtung aber ich hätte gerne die ID als Ausgabe.. Und irgendwie muss es die ID als Variable geben, denn beim benutzen des Druckers sagt er Drucker blabla ID 1

Guten abend ich habe mal ne frage wenn eine Terminalserver sitzung augebaut wird, bekommt diese ja eine so genannte Session ID. Besteht da die Möglichkeit diese Session Id zb per echo %variable% per batch auszulesen? Ich habe mich da schon dumm und dämlich gegoogelt, aber leider habe ich bis jetzt nur Infos über den Sessionnamen gefungen. Weiß evt. jemand wie ich die gerade von mir aufgebaute Terminal Session ID herrausbekommen kann ? MFG

Das ist auch fast mein Anliegen nur will ich das damit zwei verschiedenen Netzwerke verbinden, zu anfang wollte ich mich mal damit auseinandersetzen wie das mit Netzwlaufwerken so geht. Aber alle weiteren Informationen dazu intressieren mich auch. Denn ssh tunnel sind ne feine Sache, wenn da noch wer Infos zum Tunneln von netzlaufwerken hat, wurde ich mich sehr bedanken. Kann ich so eigendlich auch ermögliochen das sich usr aus dem Netzwerk 1 über SSH Tunnel an dem DC des netzwerkes 2 An der Domäne anmelden ? Das ist aber nur mal ne frage am rande.

Hallo ich habe mal ne frage kann man die Kontingenteinträge auch irgendwie anders anlegen ausser mit der Windows Konsole ? Da ich recht viele einträge mache, wollte ich mal fragen ob man das nicht Automatisieren kann? ZB die Import Funktion, kann man die nicht dazu nutzen ? Man musste ja nur ein tool haben das so ein File erstellt ? oder ?

na ja das kann wohl sein aber in meiner TXT stehts etwas anders userID,Anmeldename ,PW, Klasse Dasscript von der vorseite übernimmt auch die zuordnung zu einer Gruppe. allerdings standartmässig deaktiviert, was ja nicht so schlimm ist. Viel schlimmer finde ich das kein PW vergeben ist.

Hi @ all erst mal hier ein dank an Linuxx klasse hast mir super geholfen. Aber da ich gerade noch nen fehler habe, das -Benutzer ohne PW eingetragen werden -Benutzer ist deaktivert Wollte ich mal fragen ob hier jemand nen Vorschlag hat wie man das beseitigen kann. Dim fso, f, Zeile, Feld, WshShell, b Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.OpenTextFile ("user.txt",1,0) Do while not f.AtEndOfLine Zeile = f.readLine Feld = split(Zeile,",") Vorname = Feld(0) Nachname = Feld(1) pw = Feld(2) Gruppe = Feld(3) Set b = nothing Set WshShell = nothing Set WshShell = WScript.CreateObject("WScript.Shell") Set ouo = GetObject(""&"LDAP://OU=students,DC=home,DC=local"&"") Set b = ouo.Create("user", "CN=" & Vorname) With b .sn = Vorname .givenName = Nachname .displayName = Vorname &" "& Nachname .samaccountname = Vorname .userPrincipalName = Vorname& ""&"@home.local"&"" .profilePath = "\\127.0.0.1\daten\profile\"& Vorname .homeDirectory = "\\127.0.0.1\daten\home\"& Vorname .homeDrive = "z:" .pwdLastSet = 0 .SetInfo Set GroupObj = GetObject("" &"WinNT://home/"& Gruppe &"") GroupObj.Add (""&"WinNT://home/"& Vorname &"") WScript.Sleep(1000) ret = WshShell.Run ("verz.cmd " & Vorname,0,1) End With loop f.close Wscript.Quit

Erst mal fettes danke das sich jemand dieser Sache mit annimmt, da ich ja nicht wirklich der Script profi bin bin ich sehr dankbar für die Hilfe. :jau: Da ich denn Server gerade nicht an der Hand habe spiele ich das mal so durch : edit 1 "VMware sei dank ich kanns doch testen" aber was soll ich sagen es klappt so nicht, wenn ich das richtig sehe dann muss ich die Gruppe ja aus der TXT lesen dazu sollte sie deffiniert sein. was ich in zeile 13 ja mache GroupObj = Feld(3) aber genau da habe ich schon denn Fehler das das Script stopt Fehlermeldung : Index außerhalb des gültigen bereichs. User Datei Name1,Vorname1, Password1,Gruppe1 Name2,Vorname2, Password2,Gruppe2 Script Dim fso, f, Zeile, Feld Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.OpenTextFile ("user.txt",1,0) Do while not f.AtEndOfLine Zeile = f.readLine Feld = split(Zeile,",") Benutzer = Feld(1) Vorname = Feld(1) Nachname = Feld(0) Passwort = Feld(2) GroupObj = Feld(3) Call BenuntzerAnlegen(Benutzer,Vorname,Nachname,Passwort,GroupOb) Loop f.Close Wscript.Quit(0) Sub BenuntzerAnlegen (Benutzer,Vorname,Nachname,Passwort) Dim ouo, b Set ouo = GetObject("LDAP://OU=user,DC=domaene,DC=de") Set b = ouo.Create("user", "CN=" & Vorname & " " & Nachname) Dim WshShell, ret Set WshShell = WScript.CreateObject("WScript.Shell") b.Put "sAMAccountName", Benutzer b.Put "userPrincipalName", Benutzer & "@domaene.de" b.Put "profilePath", "\\server\daten\profile\" & Benutzer b.Put "homeDirectory", "\\server\daten\home\" & Benutzer b.Put "homeDrive", "U:" b.SetInfo b.SetPassword Passwort b.AccountDisabled = False b.SetInfo WScript.Sleep(1000) ret = WshShell.Run ("verz.cmd " & Benutzer,0,1) ' Die Gruppe wird gesucht und als Ziel definiert. Set GroupObj = GetObject("" &"WinNT://" & _ DomainString &"/"& GroupString &"") ' Der User wird in die entsprechende Gruppe integriert. GroupObj.Add (""&"WinNT://"& _ DomainString &"/"& UserString &"") Set DomainObj = Nothing ' Variable wird frei gegeben ' Set GroupObj = Nothing ' Variable wird frei gegeben ' End Sub Ich werde das morgen mal testen, und dann mal einen Staus geben wie das so ausieht und ob ich noch ein Problem habe, bzw wie ich es beseitigt habe, sollte jemandem was auffallen kann er mich ja schon mal drauf aufmerksam machen :) Spart immer wieder Stundenlanges sitzen weil man den Fehler mal wieder selber nicht sieht.

also die umformung der Benutzer eigenschaften klappt ja ganz einfach , aber das man die möglichkeit hier den USer ein gruppe zuzufügen macht mir echt schwierigkeiten.... Kennt wer denn Befehl der bewirkt ---wenn--- Gruppe vorhanden --dann-- Trage benuter zu der Gruppe --wenn -- gruppe nicht vorhanden --dann-- lege gruppe an --dann-- Trage benuter zu der Gruppe Die bezeichnung der Gruppe findet man in der user.txt. Bis jetzt bin ich da noch nicht vorran gekommen, aber ich will auch noch nicht aufgeben, wenn ihr mir helfen könntet wäre das sehr nice.

Hallo ich habe das Script nun am laufen erst mal nen fetten dank an deine Arbeit das ist echt klasse. Jetzt aber mal zu nem andern Problem wenn ich ein TXT file habe was erst neUser nummer vorsieht dann nen Usernamen dann ein PW und zuletzt eine bezeichnzng einer OU hat txt sähe dann so aus (43443,user1,pass1,orga) Ware es hier Möglich das script so umzubauen dass das script hier einen User anlegt der in etwas so ist 43443=vorname user1=Nachname Pass1= Passwort und nun der wirkliche knackpunkt wenn da Orga steht und diese organisationseinheit vorhanden ist soll der User da angelegt werden, wenn die organisationseinheit nicht vorhanden ist, muss das Script erst die OU anlegen und dann die User eintragen. Wäre nice wenn ich ein paar Entwicklungshilfen/Anregungen bekommen kann.