onedread

HI Ich würde gerne alle meine Geräte auf SSH umstellen anstatt TELNET zu benutzen, folgende Geräte sind betroffen: 11x 3750er Switches c3750-ipbase-mz.122-25.SEE1/c3750-ipbase-mz.122-25.SEE1.bin 2x 2651XM c2600-ipvoice-mz.123-11.T.bin" 1x 2801 c2801-spservicesk9-mz.124-3f.bin Momentan laufen eben dieses IOS Version drauf. Sind für die Umstellung mit Kosten zu rechnen oder kann man die entsprechende Software einfach runterladen und drauf damit. Achja und welche Software Unterstützt den SSH zugriff? thx onedread

He Danke ja bei uns war es so das dort auf einem NT 2x das Kabel an den Router gint auf dem BRI0/0 und das ander auf das BRI0/1. Bringt das was? Hab jetzt mal das BRI0/1 auf shut gesetzt und jetzt ist die Meldung weg. Werde das weiterhin beobachten ob nun auch das Problem mit dem Telefon weg ist. So jetzt hab ich noch folgende Meldung aus dem Debug gezogen 005840: Sep 27 10:56:56.811: ISDN BR0/0/0 EVENT: process_rxstate: ces/callid 1/0x6F calltype 2 HOST_INCOMING_CALL 005841: Sep 27 10:56:56.811: ISDN BR0/0/0 EVENT: host_incoming_call: call_id 0x006F, Guid = 32E7D9BA8062 bchan -1 005842: Sep 27 10:56:56.811: ISDN BR0/0/0 **ERROR**: CC_CHAN_GetIdleChanbri: All channels busy 005843: Sep 27 10:56:56.811: ISDN BR0/0/0 **ERROR**: host_incoming_call: Remote Protocol Error: No B channel assigned by switch call id 0x6F 005844: Sep 27 10:56:56.811: ISDN BR0/0/0 EVENT: process_rxstate: ces/callid 1/0x6F calltype 2 HOST_DISCONNECT_ACK 005845: Sep 27 10:56:56.811: ISDN BR0/0/0 **ERROR**: host_disconnect_ack: Unfound B-channel on Disconnect_Ack call id 0x6F 005846: Sep 27 10:56:56.875: ISDN BR0/0/0 SERROR: L2_Go: at bailout DLCB is NULL L2: sapi 0 tei 85 ces 255 ev 0x63 MfG onedread

Hi Wir haben seit 1 - 2 Wochen ein Problem mit unserer Telefonanlage bzw. ISDN Anschluss in Ungarn. Folgendes Szenario das Telefon von der Vermittlung das alle Gespräche bekommt fällt von Zeit zu Zeit aus. Das heißt die Gespräche können nicht angenommen werden aber nicht alle sondern es ist immer sporadisch. Dann steht bei sh ephone bei den Lines Disconnected und aber sonst alles normal auf Registerd Weiters kommen beim debug isdn error und event folgende Meldungen Sep 27 09:52:45.126: ISDN BR0/0/0 SERROR: L2_Go: at bailout DLCB is NULL L2: sapi 0 tei 85 ces 255 ev 0x1 003459: Sep 27 09:52:45.126: ISDN BR0/0/1 SERROR: L2_Go: at bailout DLCB is NULL L2: sapi 0 tei 85 ces 255 ev 0x1 003460: Sep 27 09:52:45.142: ISDN BR0/0/0 SERROR: L2_Go: at bailout DLCB is NULL L2: sapi 0 tei 86 ces 255 ev 0x1 003461: Sep 27 09:52:45.146: ISDN BR0/0/1 SERROR: L2_Go: at bailout DLCB is NULL L2: sapi 0 tei 86 ces 255 ev 0x1 003462: Sep 27 09:52:45.274: ISDN BR0/0/0 SERROR: L2_Go: at bailout DLCB is NULL L2: sapi 0 tei 85 ces 255 ev 0x63 Hat jemand eine Ahnung was da los ist? thx onedread

HI Ja Anfangs wollt ichs ja auch mit den PrivateVlan machen aber dann hab ichs mir doch anders überlegt, weil weniger aufwand zum konfigurieren war. und es läuft so recht gut. thx onedread

he naja die gäste können ja nicht auf unser lan zugreifen. nur wir können auf das gäste vlan zugreifen.?????

he ja wir haben 4 Vlans im LAN, 1 PC, 2 Telefone, 3 Mobphone, 4 WLAN Notebooks. und jetzt 5 für das Gäste VLan. Hab das jetzt so gelöst. Router 2600er spielt DHCP Server, 192.168.10.x /24. GW ist die SSG520 wo dann auch das VLAN5 nur mehr auf das Outside Interface HTTP, HTTPS, und DNS machen darf. auf die anderen VLANS gibt es keine Zugriff. Frage: Ich hab derweilen noch das ich von unserem Vlan1 aufs VLAN5 zugreifen darf ist das auch ein Problem? Angenommen es hängt sich ein Notebook ins GästeVLAN und dort ist ein Trojaner/Virus drauf der sich automatisch verbreitet kann dann dieser Virus vom VLAN5 ins VLAN1 ohne das ich mich nun vom VLAN1 auf diesen Client connecte? thx 4 help onedread

He Danke 1. mal. Naja diese Funktion wär ja ganz OK das sich die Gäste untereinander nicht sehen. Weiters zu der Konfig muss man da die bestehende VLAN Konfig angreifen. Weil unsere Portconfig sieht so aus switchport mode access switchport voice vlan 2 spanning-tree portfast das wärs im groben was muss mann dann noch beim PrivateVLan konfigurieren? thx onedread

Hi Ich will bei uns der Firma ein Gäste VLan einrichten. Aus diesem VLan sollen die Gäste nur ins Internet kommen und gegebenfalls ihre mails abrufen dürfen doch kein Zugriff auf unsere Ressourcen im LAN. Ist hierfür dieses PrivateVLan Feature geeignet? Bzw. hat jemand eine verständliche Erklärung für PrivateVlans? Ich würd es mir so vorstellen ich mach einfach ein normal VLAN das in irgendeinem IP Bereich liegt dann setz ich als Default Router unsere Juniper SSg520 Firewall dort leg ich auch das Interface an das in diesem VLAN liegt und sag ihm dann auf der SSG was wer wohin darf. Hilft mir da dieses PrivateVLan Feature irgendwie weiter? Thx 4 help onedread

Hi Also die beiden Router sind 1. physikalisch getrennt und der eine hängt an der herkömmlichen Postleitung und der 2. an der Tele2/Uta Leitung. Standby Ip bei beiden ist 10.10.10.1 konfiguriert und einer von den beiden hat eine niedrigere Priorität. Isdn Interfaces werden nicht getrackt, wäre das sinnvoll, lass mich das verstehen wenn man deses tracking aktiviert und der Router verliert den ISDN Kontakt dann fällt die Standby Ip auf den Router oder wie? Zu der Arbeit der Router die 10.10.10.1 fungiert als Standardgateway weiters, spielen die beiden eine wichtige Rolle bei unserem CCM als Fallback, DHCP Server der einzelnen VLans für Standtelefone, Schnurlostelefone und NotebooksWLan. Heute war es so als die ISDN Leitung ausgefallen ist reagierte der Router nicht mehr Richtig und man konnte den 2. Router bzw. die 10.10.10.1 auch nicht mehr bzw. sehr schwer zu erreichen. Aber mit sh proc cpu sorted habe ich mit den Prozentzusammenzählung max. 15% Auslastung bekommen. Steckte man dann die Lanschnittstelle aus konnte man via Console am Router ohne Probleme arbeiten aber der Standbyrouter wurde dann eben nicht mehr erreicht was ja eigentlich das HSRP zu machen hätte. Jetzt funktioniert es wieder als wir unsere SSG520 von Juniper neugestartet hatten, wo die VLans terminiert bzw. die Regeln laufen welches VLan wohin darf. Was ich aber nicht verstehe was macht die Firewall wenn man im gleichen Subnetz auf ein Netzwerkdevice zugreift? thx 4 help onedread

HI Wir haben 2 Router der 2600er Serie mit der Standby Adresse 10.10.10.1 die auch unser Standardgateway im Netz ist. Heute war es so das bei uns die ISDN Leitung ausgefallen ist die auf den Router hängt, und seitdem funktionieren die Router nur sporadisch, d.h Hoche CPU Auslastung auf einen der beiden Router, habe Pingantwortzeiten von über 2000ms. Das arbeiten auf der Console ist fast unmöglich. Weiters wenn ich den einen Router vom Netz nehme funktioniert die Console einwandfrei und die CPU Auslastung ist wieder normal. Interfacestatus sieht auch Ok aus. Kann mir einer weiterhelfen ich check das nicht. Erklärung ist mangelhaft für Fragen die ich beantworten kann bin ich auch glücklich. Folgendes kommt immer auf einem der beiden Router 000332: Sep 13 16:39:23.213: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Active -> Speak 000333: Sep 13 16:39:37.922: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Standby -> Active 000334: Sep 13 16:39:37.998: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Active -> Speak 000335: Sep 13 16:40:21.508: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Standby -> Active 000336: Sep 13 16:40:21.597: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Active -> Speak 000337: Sep 13 16:40:48.322: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Standby -> Active 000338: Sep 13 16:40:48.358: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Active -> Speak 000339: Sep 13 16:41:20.572: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Standby -> Active 000340: Sep 13 16:41:20.613: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Active -> Speak 000341: Sep 13 16:41:54.642: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Standby -> Active 000342: Sep 13 16:41:54.682: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Active -> Speak 000343: Sep 13 16:42:17.224: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Standby -> Active 000344: Sep 13 16:42:17.260: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Active -> Speak 000345: Sep 13 16:42:48.913: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Standby -> Active 000346: Sep 13 16:42:48.989: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Active -> Speak 000347: Sep 13 16:43:13.523: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Standby -> Active 000348: Sep 13 16:43:13.583: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Active -> Speak 000349: Sep 13 16:43:23.588: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Standby -> Active 000350: Sep 13 16:43:23.628: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Active -> Speak 000351: Sep 13 16:43:41.522: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Standby -> Active 000352: Sep 13 16:43:41.578: %HSRP-6-STATECHANGE: FastEthernet0/0.1 Grp 0 state Active -> Speak mfg onedread

he Sorry vergesst es wieder unsere Softwareleute haben die Lankabeln falsch angeschlossen. Trotzdem Danke für die Mühe. ciao onedread

HI komisches Phänomen haben einen IBM Server wo Suse Linux 9 Server drauf läuft. Switchport scheint auch UP zu sein nur sehe ich keine Mac-Adresse am Switchport und habe auch keine Netzwerkverbindung vom und zum Suse Server hatte das schon mal jemand? thx 4 help

Hi also danke einmal. ich werd das versuchen, weiters muss ich den Tunnel neu aufbauen und wenn ja wie? gibt es da einen eigenen Befehl wie ich denn Tunnel trennen und wieder aufbauen kann. Muss ich das auf beiden Seiten machen oder nur bei der PIx in Ungarn? thx onedread

HI Folgendes Problem Wir haben in Ungarn eine Tochterfirma diese ist via VPN PIX to PIX mit unserem Firmensitz in Österreich verbunden. Tochterfirma hat die ip 10.60.X.X Hauptfirma hat 10.10.X.X Zugriff von 10.60 auf 10.10 funktioniert einwandfrei, da wir aber noch einen CCM im Einsatz haben und ich das Userdirectory über WEB gerne auch in Ungarn abfragen möchte und der CallManger in unserem 2. Vlan sitzt mit der IP 10.20.X.X wollte ich nun wissen wo ich den Routingeintrag setzten muss das die Leute vom 10.60er Netzt auf das 10.20. Netzt zugreifen dürfen? Muss man das beim VPN eineben oder reicht da ein Routingeintrag? Für jede Hilfe dankbar. thx onedread

HI Ist es möglich mit dem CallManager 4.1 über das Webinterface die Kurzwahleintrage anzeigen /suchen zu können? Nach den Usern kann man mit unter https://IPCallManager/directory.asp danach suchen ich suche daher nach der gleichen Möglichkeit nach den Kurzwahlen zu suchen. Vielleicht weiß ja jemand wie das funktioniert. thx 4 help onedread

HI Danke Franz das war mir schon bekannt wie das funtkioniert mit dem Syslogserver ich wollte aber explizit Calls die kommen und gehen mit dem Syslogserver mitloggn das weiß ich nicht wies geht? Vielleicht hat noch wer nen Tipp. ciao onedread

HI wie ist es möglich die Anrufe die getätigt werden bzw. reinkommen auf einem Syslogserver mitzuloggen? Welche Befehle brauch ich dafür mit dem Debug ist es mir klar aber wie kann ich das alles auf einen Syslogserver schicken. mfg onedread

HI falls du das meinst unter https://IP-Callmangaer/ccmuser Dann Benutzername und Passwort eingeben dann kannst du wieder deine Ip Services aktivieren. ciao onedread

hi Also du kannst du pix über telnet oder ssh fernwarten übers internet. Ich würde aber ssh empfehlen weil der Traffic des oder sogar 3des verschlüsselt wird. weiters kannst du diese Features einfach einschalten indem du folgende Befehle eingibst. ssh IP-ADRESSE NETMASK(von wo die Anfrage kommt) interface (in deinem Fall outside) weil du ja vom Internet aus auf die Pix zugreifen willst. Wildcards sind auch erlaubt. z.B. wenn du 0.0.0.0 0.0.0.0 angibst dann darf jeder auf die zugreifen. Telnet würde ich nur fürs Interne Lan benutzen wenn überhaupt. telnet IP-ADRESSE NETMASK (z.B. 10.10.0.0 255.255.0.0) inside ciao onedread

HI bei meinem 824 Router sieht das ganze so aus. interface ATM0 no ip address no ip mroute-cache atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto pvc 8/48 encapsulation aal5mux ppp dialer dialer pool-member 1 ! ! interface Dialer0 ip address negotiated no ip redirects ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname XXX@inode.at ppp chap password 7 XXX ppp pap sent-username XXX@inode.at password 7 XXX hold-queue 224 in vielleicht hilfts dir ja. ciao onedread

HI ich glaub du bist über die console schneller als über den PDM, und du kannst nicht immer alles über den PDM machen soviel ich weiß. Ich würd mir an deiner Stelle lieber die Console angewöhnen ist einfach besser zum handln. Aber jetzt musst du einmal einen Access-liste für das outside interface anlegen da jeder auf die server ip address auf port 25 und die beiden anderen ports die du brauchst zugriff haben soll. dann mappst du diese alc aufs outside interface mit den befalle access-group ACL in interface outside dann brauchst du noch ein Static, hast du ne fixe ip addresse? wenn ja. dann kommt noch das hinzu static (inside,outside) tcp EXTERNE IP 25 INTERNE IP 25 netmask 255.255.255.255 0 0 fertig arbeit. du siehst du musst ganze 3 zeilen in die config eintragen und fertig. mfg onedread

tja wie gesagt hatte das selbe vpn connection steht aber ich kann nirgendsrein ins netzwerk. ne möglichkeit wäre das du mal nen anderen VPN-Client probierts, welche Version benutzt du denn?

Hi Ich glaub ich hab da was für dich. Configure AAA Authenticated SSH |Sample Config| Complete these steps to configure AAA authenticated SSH: 1. Make sure you can Telnet to PIX with AAA on but without SSH: aaa-server AuthOutbound protocol radius (or tacacs+) aaa authentication telnet console AuthOutbound aaa-server AuthOutbound host 172.18.124.111 cisco Note: When SSH is configured, the telnet 172.18.124.114 255.255.255.255 command is not needed because the ssh 172.18.124.114 255.255.255.255 inside is issued on the PIX. Both commands are included for testing purposes. 2. Add SSH using these commands: hostname goss-d3-pix515b domain-name rtp.cisco.com ca gen rsa key 1024 !--- Caution: The RSA key is not be saved without !--- the ca save all command. !--- The write mem command does not save it. !--- In addition, if the PIX has undergone a write erase !--- or has been replaced, then cutting and pasting !--- the old configuration does not generate the key. !--- You must re-enter the ca gen rsa key command. !--- If there is a secondary PIX in a failover pair, the write standby !--- command does not copy the key from the primary to the secondary. !--- You must also generate and save the key on the secondary device. ssh 172.18.124.114 255.255.255.255 inside ssh timeout 60 aaa authen ssh console AuthOutbound logging trap debug logging console debug mfg onedread

HI hatte auch so was ähnliches da war aber die Iinternetconnection drann schuld hatte einfach so ne schlechte Verbindung von den Clients zur PIX, das nichts durchgegangen ist. Vielleicht ists ja bei dir auch sowas. onedread

HI Habs schon gefundn wie es funktioniert. Wenns interessiert. Rechner mit IP 10.0.0.2 einstellen tftp-server drauf und starten. Image reinkopieren und wie folgt umbenennen. Wenn das Image so heißt c1200-k9w7-mx.122-15.XR2.tar dann muss es nach dem rename folgenden namen haben c1200-k9w7-tar.default. Stromwegnehmen -> Modebutton halten -> Stromeinstecken -> Modebutton ca. 20 - 30 sek. halten bist das mittlere LED ROT leuchtet dann wird as image file vom tftp-server geladen. Mal sehen wie es dann mit der config aussieht ob die noch drauf is. soweit bin ich noch nicht. ciao onedread