rob_67

Hi, ist denn etwas zum updaten da? Nach deinen settings würde er nur rip updates weitergeben. Mach doch mal ein redistribute static und setz mal irgendeine sinnlose statische route aufs serielle interface und schau, obs am ethernetif propagiert wird. wenn ja ist alles ok, würde ich sagen, wenn nicht, ist vielleicht das ios buggy... ansonsten poste mal die ganze config und die updates, die am seriellen if rausgeblasen werden... gruss rob

hi, es sollte am interface laufen, da es ja kein passives interface ist. empfängt es keine updates oder sendet es keine updates? versuch mal rip zu debuggen! Im Moment propagiert es selbst natürlich keine statische oder andere connected oder sonstige routen, da kein redistribute gesetzt ist... gruss rob

Hi, vielleicht mit redistribute connected?! gruss rob

Hi, laut deinem ios ist nbar zwar nicht aktiv, versuch doch trotzdem nochmal, es auszuschalten: no ip nbar protocol-discovery ansonsten solltest du vielleicht ein aktuelleres ios suchen... gruss rob

Hi, was macht das für einen Sinn? Dann leg doch gleich ein Loopbackinterface an! Und auf dem Ethernetinterface ein ip unnumbered loopback x. gruss rob

Hi, versuchs mal mit ner dialer rotary group. gruss rob

...oder setz den Filter aufs LAN IF. gruss rob

Hi, könntest den idle timout auf max setzen: dialer idle-timeout 2147483 wenn du das durch 3600 teilst, sind das ne menge stunden (so hatte ich es beim dsl router). du solltest trotzdem schon ein bischen interesting traffic haben, also eine dialer list protocol ip permit. so wirds bestimmt ne standleitung, du solltest dann allerdings ne telefonflat haben, sonst gehts schnell über 1000 € im monat... ip zuweisen geht einfach mit peer default ip address, ansonsten kannst du auf dem dialer ip unnumbered fahren oder ein transitnetz aufsetzen. gruss rob

Hi, jetzt nochmal bitte den debug ppp authentication dazu und ppp negotiation. Der call wird an den dialer gebunden, sieht soweit gut aus. Jetzt weiß ich nur nicht, wie es mit ms-chap aussieht. Dein WinRouter sollte auf ppp Verbindung mit Authentifizierung chap und user administrator + bekanntes PW stehen. Ach und dass callin muß raus! Einfach ppp authentication ms-chap. Callin ist für die Einwahl zu einem anderen Router, dann interessiert der Name der Gegenstelle nicht... (wenn du z.b. mehrere einwahlsysteme hast, welche alle den eigenen hostnamen zur authentifizierung verwenden) gruss rob

Hi, mach mal nen debug dialer events mit an, der user ist erfolgreich authentifiziert und trotzdem fliegt der call weg. Hast du den dialer geändert? gruss rob

Hi, ich glaube du hast da was verdreht mit der authentifizierung, da die gegenseite sich doch mit Administrator einwählen soll, des halb dialer remote-name Administrator ppp authentication pap oder chap (ms-chap bei nem PC) auf bri und dialer sollten gesetzt sein, kein ppp chap hostname, kein chap password und kein ppp pap sent user usw... pap ist aber eigentlich murks, besser wäre chap oder ms-chap, da hier keine Passwörter im Klartext übertragen werden... Der Router würde dann im Chap als Challenge Router senden, das ist dem Einwähler, wenns ein PC ist egal. Gruss rob

Hi, die Rückpakete werden automatisch erlaubt, wenn du deine ACL nur einseitig bindest also out auf dem wan interface...(keine zusätzliche in auf dem gleichen if) gruss rob

Hi, des ethernet interface bekommt eine normale ip adresse und zusätzlich die pppoe Kommandos und den dialer bindest du ebenfalls mittels pool an dieses Interface, der Router macht dann beides PPPOE und normales LAN Routing... Hab es selbst so auf nem 2600er gehabt... Gruss rob

Hi, wenn der Server z.B. nicht mehr kann und die Puffer voll sind, sendet er Nullwindow und die Gegenseite weiß Bescheid, den Server erstmal nicht mehr zu bombardieren... gruss rob

Hi, nur bei VPNs beachten, wenn die internetverbindung wegfliegt, steht die SA noch (wenn du es nicht herunterstellst auf 2 Minuten - unter Umstanden auch eine Stunde). D.h. du kannst dann so lange keinen neuen Tunnel aufbauen... Gruß Rob

Hi, ja, zeitgesteuerte Dialer lists... Bei nem isdn router habe ich damit 5 verschiedene einwahlnummern bedient, beim dsl-er geht das genauso...(interesting traffic) gruss rob

Hi, nochmal, die matches stehen in der Klammer! keine Klammer, keine matches... änder mal die zweite Zeile der ACL auf dem Hauptrouter um: 20 permit ip 192.168.40.0 0.0.0.255 10.130.0.0 0.0.255.255 sollte sein permit ip 10.130.0.0 0.0.255.255 192.168.43.0 0.0.0.255 ACL löschen und komplett neu schreiben! Dann testen und nach matches schauen. Mit traces siehst du ziemlich gut, ob die Tunnel benutzt werden oder obs normal ins Internet geroutet wird. Gruss rob

Hi, denke mal das das beim zweiten VPN das gleiche ist?! beim richtigen Router kommst du an, d.h. du müsstest prüfen, ob dort die Route bekannt ist und ob die Pakete ins VPN gehen, wenn ja, das gleiche auf der Gegenseite für die Rückpakete prüfen! Und nochmal schauen, ob da vielleicht irgendwo NAT im Spiel ist, möglicherweise wird nicht die original source verwendet? Gruss rob

Hi, mach ein show access-list. Die Zahl in der Klammer zeigt die matches. sh access-l 2 Standard IP access list 2 10 permit 172.20.10.38 20 permit 172.20.0.106 (10 matches) Ergänze in deiner VPN ACL das 10 er Netz auf beiden Seiten. Dann sollten die Pakete übers VPN laufen. ip access-list extended EcoVPN permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 permit ip 192.168.43.0 0.0.0.255 10.130.0.0 0.0.255.255 Die zweite Zeile sollte dann auch matches haben! gruss rob

Hi, wie gesagt, ich würde an der Stelle ACL fürs VPN ansetzen und schauen, daß die auch fürs 10er Netz funzt. (ich habe den vorigen Beitrag noch editiert) Gruss rob

Hi, dein Routing scheint nicht übers VPN zu laufen sondern direkt ins Internet... --->Config Nebenrouter! Schau mal, ob du matches auf deinen VPN ACLs hast... Wo ist das 10er Netz : ip access-list extended EcoVPN permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 Versuch mal, ob du ins 192.168.40.0 er Netz kommst! Gruss rob

Hi kiko, die ports stehen doch in der list selbst?! oder habe ich was verpaßt.. gruss rob

Hi, wie wärs mit einer kleinen Zeichnung?! Gruss rob

...nicht wirklich, kenn die büchsen nicht... gruss rob

Hi, naja scripts war ein bisschen übertrieben, die muss halt diesen kron daemon haben, wie die aktuellen 12.4rer iossen.. gruss rob