maegl

Hi ASI, die Sachen hab ich schon überprüft. Config Register passt. Die Boot Config passt auch, bis die Maschine stomlos gemacht wird. Dann kommt der Fehler und er vergisst alles Daten sind egal, die Karte ist im Augenblick nicht produktiv.

Hallo, ich hab folgendes Problem beim booten einer WS-X6K-S2-MSFC2: System Bootstrap, Version 6.1(3) Copyright © 1994-2000 by cisco Systems, Inc. Testing lower main memory - data equals address Testing lower main memory - checkerboard Testing lower main memory - inverse checkerboard Clearing lower 16K memory for cache initialization Clearing bss Reading monitor variables from NVRAM Warning: Rommon NVRAM area is corrupted. Initialize the area to default values Enabling interrupts Initializing TLB Initializing cache Initializing required TLB entries Initializing main memory Sizing NVRAM Initializing PCMCIA controller Exiting init c6k_sup2 processor with 262144 Kbytes of main memory Wenn man dann boot bootflash: eingibt, bootet die Maschine ganz normal. der Warmstart ( reset) funktioniert ganz normal. Nur wenn die Maschine angeschaltet wird, kommt der Fehler. Es ist auch egal ob die Maschine auf CatOS oder IOS läuft, der Fehler kommt immer. Vielen Dank für die Hilfe, Maegl

Du wirst wenn dann eine ASA nehmen müssen, PIX 501 und 506 sind EOL. End-of-Sale and End-of-Life Announcement for Cisco PIX 501 Security Appliance* [Cisco PIX 500 Series Security Appliances] - Cisco Systems EOL/EOS for Cisco PIX 506E Security Appliance* [Cisco PIX 500 Series Security Appliances] - Cisco Systems

Geht mir nicht anders, it´s not a bug, it´s a feature :suspect:

Hallo Zusammen, soweit wir es bis jetzt getestett haben, war das der Fehler. Die crypto map schaut jetzt so aus: crypto map VPNBO 20 match address VPNRG crypto map VPNBO 20 set peer x.x.x.x crypto map VPNBO 20 set transform-set vpnboeching crypto map VPNBO 30 match address VPNBA crypto map VPNBO 30 set peer y.y.y.y crypto map VPNBO 30 set transform-set vpnboeching crypto map VPNBO 40 ipsec-isakmp dynamic rtpdynmap crypto map VPNBO interface outside und schon funktionierts. Vielen Dank für eure Hilfe!!:) :) Viele Grüße, Maegl

Hier noch der sh crpyto ipsec sa interface: outside Crypto map tag: VPNBO, seq num: 30, local addr: x.x.x.x access-list VPNBA permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.0/0/0) current_peer: x.x.x.x #pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3 #pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 3 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 3, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: x.x.x.x, remote crypto endpt.: x.x.x.x path mtu 1492, ipsec overhead 58, media mtu 1500 current outbound spi: 724CF04F inbound esp sas: spi: 0xF4DFF1C3 (4108317123) transform: esp-3des esp-md5-hmac none in use settings ={L2L, Tunnel, } slot: 0, conn_id: 159744, crypto-map: VPNBO sa timing: remaining key lifetime (kB/sec): (4274999/28441) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x724CF04F (1917644879) transform: esp-3des esp-md5-hmac none in use settings ={L2L, Tunnel, } slot: 0, conn_id: 159744, crypto-map: VPNBO sa timing: remaining key lifetime (kB/sec): (4274999/28441) IV size: 8 bytes replay detection support: Y Crypto map tag: VPNBO, seq num: 20, local addr: x.x.x.x access-list VPNRG permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0) current_peer: 88.79.83.72 #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: x.x.x.x, remote crypto endpt.: x.x.x.x path mtu 1492, ipsec overhead 58, media mtu 1500 current outbound spi: 0A038B8F inbound esp sas: spi: 0xCE9FA9D4 (3466570196) transform: esp-3des esp-md5-hmac none in use settings ={L2L, Tunnel, } slot: 0, conn_id: 155648, crypto-map: VPNBO sa timing: remaining key lifetime (kB/sec): (4274999/28379) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x0A038B8F (168004495) transform: esp-3des esp-md5-hmac none in use settings ={L2L, Tunnel, } slot: 0, conn_id: 155648, crypto-map: VPNBO sa timing: remaining key lifetime (kB/sec): (4274999/28379) IV size: 8 bytes replay detection support: Y

Der Debug von der Zentrale und Aussenstelle im Anhang. Inspections hab ich ( noch) nichts Konfiguriert, ausser dem Standard. Zentrale: class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global Aussenstelle: class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global debugzentrale.txt debugaussenstelle.txt

Die ACL splittunnel ist für die VPN Clients. Hab die rausgenommen. Ändert aber nichts. Auf bidirectional steht der Tunnel. Wenn ich von der Aussenstelle in die Zentrale pinge: Im log ist folgender Fehler drin: IKE Initiator unable to find policy: Intf outside, Src: 192.168.10.47, Dst: 192.168.2.2

Hier die Konfig von einer Aussenstelle: ASA Version 8.0(3) ! interface Vlan1 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 pppoe client vpdn group Arcor3 ip address pppoe setroute ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ftp mode passive clock timezone CEST 1 clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 dns server-group DefaultDNS access-list nonat extended permit ip 192.168.2.0 255.255.255.0 192.168.10.0 255.255.255.0 access-list VPN extended permit ip 192.168.2.0 255.255.255.0 192.168.10.0 255.255.255.0 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-603.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list nonat nat (inside) 1 0.0.0.0 0.0.0.0 no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set boregensburg esp-3des esp-md5-hmac crypto map boreg 10 match address VPN crypto map boreg 10 set peer z.z.z.z crypto map boreg 10 set transform-set boregensburg crypto map boreg 10 set reverse-route crypto map boreg interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 telnet timeout 5 ssh 192.168.2.0 255.255.255.0 inside ssh 217.91.108.63 255.255.255.255 outside ssh 217.7.187.110 255.255.255.255 outside ssh timeout 30 console timeout 0 management-access inside vpdn group Arcor3 request dialout pppoe vpdn group Arcor3 ************ vpdn group Arcor3 ppp authentication pap vpdn username data.arcor/********************** dhcpd dns 192.168.10.36 145.253.2.75 dhcpd auto_config outside ! dhcpd address 192.168.2.2-192.168.2.32 inside dhcpd dns 192.168.10.36 145.253.2.75 interface inside dhcpd enable inside ! threat-detection basic-threat threat-detection statistics access-list tunnel-group z.z.z.z type ipsec-l2l tunnel-group z.z.z.z ipsec-attributes pre-shared-key * !

Hallo zusammen, ich häng grad in der VPN Konfig fest. Ich hab eine Zentrale ( feste IP / T-DSL) ASA5510, mit zwei Aussenstellen ASA5505 (feste IP / Arcor). Wenn ich von der Zentrale den Tunnel aufbaue klappt es ohne Probleme. Baut die Aussenstelle den Tunnel auf, gehts nicht. Der Tunnel kommt hoch und die Aussenstelle kann auch Pakete Senden, empfängt aber keine. :confused: Ich find einfach den Fehler nicht. Viele Grüße, Maegl Hier die Konfig der Zentrale: ASA Version 8.0(3) ! hostname ASA-BO-ECHING names ! interface Ethernet0/0 nameif outside security-level 0 pppoe client vpdn group tdsl ip address pppoe setroute ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.10.254 255.255.255.0 ! clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0 access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.4.0 255.255.255.0 access-list splittunnel standard permit 192.168.10.0 255.255.255.0 access-list VPNRG extended permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0 access-list VPNBA extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 pager lines 24 logging enable logging asdm informational mtu outside 1500 mtu inside 1500 ip local pool vpnclient 192.168.4.1-192.168.4.30 global (outside) 1 interface nat (inside) 0 access-list nonat nat (inside) 1 0.0.0.0 0.0.0.0 crypto ipsec transform-set vpnboeching esp-3des esp-md5-hmac crypto dynamic-map rtpdynmap 10 set transform-set vpnboeching crypto map VPNBO 10 ipsec-isakmp dynamic rtpdynmap crypto map VPNBO 20 match address VPNRG crypto map VPNBO 20 set peer X.X.X.X crypto map VPNBO 20 set transform-set vpnboeching crypto map VPNBO 20 set reverse-route crypto map VPNBO 30 match address VPNBA crypto map VPNBO 30 set peer Y.Y.Y.Y crypto map VPNBO 30 set transform-set vpnboeching crypto map VPNBO interface outside crypto isakmp enable outside crypto isakmp policy 20 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 no crypto isakmp nat-traversal telnet timeout 5 management-access inside vpdn group tdsl request dialout pppoe vpdn group tdsl vpdn group tdsl ppp authentication pap vpdn username dhcp-client client-id interface management dhcpd auto_config outside group-policy vpncl internal group-policy vpncl attributes dns-server value 192.168.10.36 vpn-idle-timeout 20 split-tunnel-policy tunnelspecified split-tunnel-network-list value splittunnel tunnel-group DefaultL2LGroup ipsec-attributes pre-shared-key * tunnel-group vpnclientbo type remote-access tunnel-group vpnclientbo general-attributes address-pool vpnclient authorization-server-group LOCAL default-group-policy vpncl tunnel-group vpnclientbo ipsec-attributes pre-shared-key * tunnel-group x.x.x.x type ipsec-l2l tunnel-group x.x.x.x ipsec-attributes pre-shared-key * tunnel-group y.y.y.y type ipsec-l2l tunnel-group y.y.y.y ipsec-attributes pre-shared-key *

Danke erstmal für die Antwort. Gibts eine Möglichkeit das auch ohne EasyVPN zu machen?

Hallo Zusammen, ich hab in der Zentrale 2 PIXen stehen. Die eine hängt am SDSL, die andere hängt an einer 2 MBit Leitung. Die SDSL Leitung ist aktuell nur zum Surfen. Auf der 2 MBit hängen die ganzen Aussenstellen drann. Meine Idee wäre jetzt die SDSL Pix auch für die VPNs zu konfigurieren. Wenn die eine Ausfällt ( bzw. der Telekom die Leitung wegbricht) laufen dann die VPNs über die SDSL Leitung. Wie bring ich das den Aussenstellen ( auch Pixen) bei, dass die den Tunnel erst aufbauen, wenn der andere weg ist? Danke und viele Grüße, Max

auf dem router: sh int ( und dann entweder eXX oder das dialer interface) eptra2#sh int dialer 1 Dialer1 is up, line protocol is up (spoofing) Hardware is Unknown Internet address is X.X.X.X/32 MTU 1500 bytes, BW 56 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rx

Hallo Zusammen, ich habe einen Kunden der einen Cisco 2610XM mit einer VWIC2-1MFT-T1/E1 betreiben will. Mit der VWIC-1 (erste Generation) war das kein Problem. Bei Cisco gibt es in den Datenblättern unterschiedliche Aussagen. Es stand einmal drinn: Man braucht eine IP Voice Software. Die haben wir ausprobiert, da wird die Karte zwar im SH VER angezeigt, lässt sich aber nicht Konfigurieren. ( sh run zeigt die Interfaces nicht an und sh controller auch nicht). Alles Software immer neuester Stand ( 12.4.x). Ich hab auch gefunden dass die Karte in ein NM-2W Modul soll um zu Laufen. Hat jemand vielleicht noch eine Idee. Danke

Ich denke das Kabelmodem hat ein feste IP und einen Adressebereich. z.B.100.100.100.240 255.255.255.252 ( Also ein Netz mit 2 freien Hosts) Dann ist in der Regel die erste IP 100.100.100.100.241 ( die IP vom Kabelmodem) Dann gibst du deinem Routet die IP 100.100.100.242 ( oder er bekommt die über dhcp) dann lautet die Default Route: ip route 0.0.0.0 0.0.0.0 100.100.100.241 Du musst dann aber noch nat konfigurieren.