maegl
-
Gesamte Inhalte
23 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von maegl
-
-
Hallo,
ich hab folgendes Problem beim booten einer WS-X6K-S2-MSFC2:
System Bootstrap, Version 6.1(3)
Copyright © 1994-2000 by cisco Systems, Inc.
Testing lower main memory - data equals address
Testing lower main memory - checkerboard
Testing lower main memory - inverse checkerboard
Clearing lower 16K memory for cache initialization
Clearing bss
Reading monitor variables from NVRAM
Warning: Rommon NVRAM area is corrupted. Initialize the area to default values
Enabling interrupts
Initializing TLB
Initializing cache
Initializing required TLB entries
Initializing main memory
Sizing NVRAM
Initializing PCMCIA controller
Exiting init
c6k_sup2 processor with 262144 Kbytes of main memory
Wenn man dann boot bootflash: eingibt, bootet die Maschine ganz normal.
der Warmstart ( reset) funktioniert ganz normal.
Nur wenn die Maschine angeschaltet wird, kommt der Fehler.
Es ist auch egal ob die Maschine auf CatOS oder IOS läuft, der Fehler kommt immer.
Vielen Dank für die Hilfe,
Maegl
-
Du wirst wenn dann eine ASA nehmen müssen, PIX 501 und 506 sind EOL.
-
Geht mir nicht anders,
it´s not a bug, it´s a feature :suspect:
-
Hallo Zusammen,
soweit wir es bis jetzt getestett haben, war das der Fehler.
Die crypto map schaut jetzt so aus:
crypto map VPNBO 20 match address VPNRG
crypto map VPNBO 20 set peer x.x.x.x
crypto map VPNBO 20 set transform-set vpnboeching
crypto map VPNBO 30 match address VPNBA
crypto map VPNBO 30 set peer y.y.y.y
crypto map VPNBO 30 set transform-set vpnboeching
crypto map VPNBO 40 ipsec-isakmp dynamic rtpdynmap
crypto map VPNBO interface outside
und schon funktionierts.
Vielen Dank für eure Hilfe!!:) :)
Viele Grüße,
Maegl
-
Hier noch der sh crpyto ipsec sa
interface: outside
Crypto map tag: VPNBO, seq num: 30, local addr: x.x.x.x
access-list VPNBA permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.0/0/0)
current_peer: x.x.x.x
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 3
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 3, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: x.x.x.x, remote crypto endpt.: x.x.x.x
path mtu 1492, ipsec overhead 58, media mtu 1500
current outbound spi: 724CF04F
inbound esp sas:
spi: 0xF4DFF1C3 (4108317123)
transform: esp-3des esp-md5-hmac none
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 159744, crypto-map: VPNBO
sa timing: remaining key lifetime (kB/sec): (4274999/28441)
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x724CF04F (1917644879)
transform: esp-3des esp-md5-hmac none
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 159744, crypto-map: VPNBO
sa timing: remaining key lifetime (kB/sec): (4274999/28441)
IV size: 8 bytes
replay detection support: Y
Crypto map tag: VPNBO, seq num: 20, local addr: x.x.x.x
access-list VPNRG permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
current_peer: 88.79.83.72
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: x.x.x.x, remote crypto endpt.: x.x.x.x
path mtu 1492, ipsec overhead 58, media mtu 1500
current outbound spi: 0A038B8F
inbound esp sas:
spi: 0xCE9FA9D4 (3466570196)
transform: esp-3des esp-md5-hmac none
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 155648, crypto-map: VPNBO
sa timing: remaining key lifetime (kB/sec): (4274999/28379)
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x0A038B8F (168004495)
transform: esp-3des esp-md5-hmac none
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 155648, crypto-map: VPNBO
sa timing: remaining key lifetime (kB/sec): (4274999/28379)
IV size: 8 bytes
replay detection support: Y
-
Der Debug von der Zentrale und Aussenstelle im Anhang.
Inspections hab ich ( noch) nichts Konfiguriert, ausser dem Standard.
Zentrale:
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
Aussenstelle:
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
-
Die ACL splittunnel ist für die VPN Clients. Hab die rausgenommen.
Ändert aber nichts.
Auf bidirectional steht der Tunnel.
Wenn ich von der Aussenstelle in die Zentrale pinge:
Im log ist folgender Fehler drin:
IKE Initiator unable to find policy: Intf outside, Src: 192.168.10.47, Dst: 192.168.2.2
-
Hier die Konfig von einer Aussenstelle:
ASA Version 8.0(3)
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group Arcor3
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
access-list nonat extended permit ip 192.168.2.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list VPN extended permit ip 192.168.2.0 255.255.255.0 192.168.10.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-603.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set boregensburg esp-3des esp-md5-hmac
crypto map boreg 10 match address VPN
crypto map boreg 10 set peer z.z.z.z
crypto map boreg 10 set transform-set boregensburg
crypto map boreg 10 set reverse-route
crypto map boreg interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
telnet timeout 5
ssh 192.168.2.0 255.255.255.0 inside
ssh 217.91.108.63 255.255.255.255 outside
ssh 217.7.187.110 255.255.255.255 outside
ssh timeout 30
console timeout 0
management-access inside
vpdn group Arcor3 request dialout pppoe
vpdn group Arcor3 ************
vpdn group Arcor3 ppp authentication pap
vpdn username data.arcor/**********************
dhcpd dns 192.168.10.36 145.253.2.75
dhcpd auto_config outside
!
dhcpd address 192.168.2.2-192.168.2.32 inside
dhcpd dns 192.168.10.36 145.253.2.75 interface inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
tunnel-group z.z.z.z type ipsec-l2l
tunnel-group z.z.z.z ipsec-attributes
pre-shared-key *
!
-
Hallo zusammen,
ich häng grad in der VPN Konfig fest.
Ich hab eine Zentrale ( feste IP / T-DSL) ASA5510, mit zwei Aussenstellen ASA5505
(feste IP / Arcor).
Wenn ich von der Zentrale den Tunnel aufbaue klappt es ohne Probleme. Baut die Aussenstelle den Tunnel auf, gehts nicht. Der Tunnel kommt hoch und die Aussenstelle kann auch Pakete Senden, empfängt aber keine. :confused: Ich find einfach den Fehler nicht.
Viele Grüße,
Maegl
Hier die Konfig der Zentrale:
ASA Version 8.0(3)
!
hostname ASA-BO-ECHING
names
!
interface Ethernet0/0
nameif outside
security-level 0
pppoe client vpdn group tdsl
ip address pppoe setroute
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.4.0 255.255.255.0
access-list splittunnel standard permit 192.168.10.0 255.255.255.0
access-list VPNRG extended permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list VPNBA extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
ip local pool vpnclient 192.168.4.1-192.168.4.30
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
crypto ipsec transform-set vpnboeching esp-3des esp-md5-hmac
crypto dynamic-map rtpdynmap 10 set transform-set vpnboeching
crypto map VPNBO 10 ipsec-isakmp dynamic rtpdynmap
crypto map VPNBO 20 match address VPNRG
crypto map VPNBO 20 set peer X.X.X.X
crypto map VPNBO 20 set transform-set vpnboeching
crypto map VPNBO 20 set reverse-route
crypto map VPNBO 30 match address VPNBA
crypto map VPNBO 30 set peer Y.Y.Y.Y
crypto map VPNBO 30 set transform-set vpnboeching
crypto map VPNBO interface outside
crypto isakmp enable outside
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
no crypto isakmp nat-traversal
telnet timeout 5
management-access inside
vpdn group tdsl request dialout pppoe
vpdn group tdsl
vpdn group tdsl ppp authentication pap
vpdn username
dhcp-client client-id interface management
dhcpd auto_config outside
group-policy vpncl internal
group-policy vpncl attributes
dns-server value 192.168.10.36
vpn-idle-timeout 20
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel
tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key *
tunnel-group vpnclientbo type remote-access
tunnel-group vpnclientbo general-attributes
address-pool vpnclient
authorization-server-group LOCAL
default-group-policy vpncl
tunnel-group vpnclientbo ipsec-attributes
pre-shared-key *
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key *
tunnel-group y.y.y.y type ipsec-l2l
tunnel-group y.y.y.y ipsec-attributes
pre-shared-key *
-
Danke erstmal für die Antwort.
Gibts eine Möglichkeit das auch ohne EasyVPN zu machen?
-
Hallo Zusammen,
ich hab in der Zentrale 2 PIXen stehen.
Die eine hängt am SDSL, die andere hängt an einer 2 MBit Leitung.
Die SDSL Leitung ist aktuell nur zum Surfen.
Auf der 2 MBit hängen die ganzen Aussenstellen drann.
Meine Idee wäre jetzt die SDSL Pix auch für die VPNs zu konfigurieren.
Wenn die eine Ausfällt ( bzw. der Telekom die Leitung wegbricht) laufen dann die VPNs über die SDSL Leitung.
Wie bring ich das den Aussenstellen ( auch Pixen) bei, dass die den Tunnel erst aufbauen, wenn der andere weg ist?
Danke und viele Grüße,
Max
-
auf dem router:
sh int ( und dann entweder eXX oder das dialer interface)
eptra2#sh int dialer 1
Dialer1 is up, line protocol is up (spoofing)
Hardware is Unknown
Internet address is X.X.X.X/32
MTU 1500 bytes, BW 56 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rx
-
Hallo Zusammen,
ich habe einen Kunden der einen Cisco 2610XM mit einer VWIC2-1MFT-T1/E1 betreiben will. Mit der VWIC-1 (erste Generation) war das kein Problem. Bei Cisco gibt es in den Datenblättern unterschiedliche Aussagen. Es stand einmal drinn: Man braucht eine IP Voice Software. Die haben wir ausprobiert, da wird die Karte zwar im SH VER angezeigt, lässt sich aber nicht Konfigurieren. ( sh run zeigt die Interfaces nicht an und sh controller auch nicht). Alles Software immer neuester Stand ( 12.4.x). Ich hab auch gefunden dass die Karte in ein NM-2W Modul soll um zu Laufen.
Hat jemand vielleicht noch eine Idee.
Danke
-
Ich denke das Kabelmodem hat ein feste IP und einen Adressebereich.
z.B.100.100.100.240 255.255.255.252 ( Also ein Netz mit 2 freien Hosts)
Dann ist in der Regel die erste IP 100.100.100.100.241 ( die IP vom Kabelmodem)
Dann gibst du deinem Routet die IP 100.100.100.242 ( oder er bekommt die über dhcp)
dann lautet die Default Route: ip route 0.0.0.0 0.0.0.0 100.100.100.241
Du musst dann aber noch nat konfigurieren.
-
Am Besten folgende Befehle ausführen. Von der Console und nicht über IP.
Von Anfang an:
pix>en
pix#conf t
pix(config)#no ip address inside 192.168.1.1 255.255.255.0 (oder welche konfiguriert ist)
pix(config)#no dhcpd address x.x.x.x - x.x.x.x inside
pix(config)#ip address inside x.x.x.x x.x.x.x (die die Du haben willst)
pix(config)#dhcpd address x.x.x.x - x.x.x.x inside ( neuer DHCP Bereich)
Dann müsste es funktionieren
-
oder per Telnet auf die Default IP. Denk drann deinen Rechner so zu konfigurieren, dass er im gleichen Subnetz ist
-
Vielleicht hast du ausversehen die Geschwindigkeit von dem Konsolenport verstellt.
Probier mal alle möglichen Geschwindigkeiten durch. Mit bischen Glück erwischt du dann die richtige. Hast du das Konsolen Kabel getestet?
Mit wär nicht bekannt, dass man einer PIX den Konsolenzugang sperren kann. Sie müsste auf jeden Fall beim Booten irgendwas anzeigen.
Vielleicht hat der PC auch ein Problem mit der Ansteuerung der Com Ports.
-
Der PDM ist immer auf der PIX installiert, aus es hat jemand ihn gelöscht.
Denn PDM erreichst du über: https://IP der PIX. Wenn die PIX neu ist, meistens: 1
-
Über den Konsolenport kommst du immer drauf. Prüfe die Einstelllungen nochmal nach.
9600Baud / 8Bit / 1 Stopbit / Parity keine. Flussteuerung auch keine.
Wenn es mit den Einstellungen nicht klappt, wirst du Probleme mit dem Kabel oder der Schnittstelle haben. Benutzt du ein PC mit Integrierter serieller Schnittstelle oder Notebook mit Adapter ? ( Mit den Adaptern hab ich schon schlechte Erfahrungen gemacht).
Terminalprogramm ist eigentlich egal. Es geht mit dem Windows Hyperterminal ( kann ich zwar nicht empfehlen, ist aber umsonst). Sehr gut finde ich SecureCRT und Terraterm. Terraterm ist glaub ich auch Freeware, SecureCRT ist ziemlich teuer.
Pixen machen beim Konfigurieren Probleme wenn der DHCP Bereich nicht in dem Bereich des Inside Interface liegt, aus diesem Grund wird er dir wahrscheinlich die Änderung nicht übernommen haben
-
Hallo,
wir gehen über VPN auf einen Rechner (Server) und gehen dann davon auf die PIX.
Bei unseren RemotePixen ist der PDM Zugang für unsere statische IP Adresse freigeschaltet. Wenn der PDM nicht mehr reicht, dann auch wieder über VPN auf einen Rechner und dann mit Telnet weiter auf die PIX.
-
Hi Bodo,
der meint damit :
Das Inside Interface geht ins dein LAN ( das sind die 4 Buchsen auf der linken Seite)
Das Outside Interface geht ins WAN ( also zum DSL Modem, oder ähnlich)
Die blaue Buchse mit der Bezeichnung Console ist zum konfigurieren des Routers
-
Hallo Weisskreuz,
welche ip´s haben die clients bzw. welche nameserver hast du eingetragen?
was passiert wenn du im dos fenster nslookup machst ?
Probleme beim Booten Cat 6509 mit Sup2
in Cisco Forum — Allgemein
Geschrieben
Hi ASI,
die Sachen hab ich schon überprüft.
Config Register passt.
Die Boot Config passt auch, bis die Maschine stomlos gemacht wird.
Dann kommt der Fehler und er vergisst alles
Daten sind egal, die Karte ist im Augenblick nicht produktiv.