Wordo

Software Download

Besteht das Problem noch? Stell das mal auf 20 statt 10: crypto map staticmap 10 ipsec-isakmp dynamic dynmap

Bei sowas denk ich immer an Splittertausch, von 6 auf 16 gibts immer wieder mal Probleme mit alten Splittern. Latest im 12.3 ist 12.3.21, sprich 21 statt 18. Ich glaub die Einwahl bekommste mit "debug dialer", aber eher geraten als gewusst :) Die Eintraege im Dialer aendern sich nicht, wenn dann auf dem ATM (sofern eingebaut).

Muss man dann neben der Zeitspanne fuer Spanning-Tree nochmal 30 Sekunden warten bis man dann drin ist oder wie war das mit dem bypass?

Ach ne ... ?! ;) Ich sag nur EoL :cool: Wenn du einen PSK konfigurierst mit 0.0.0.0, dann wird da nicht unterschieden. Mit dem PSK werden die Devices authorisiert. Wenn alle denselben verwenden wirds schwierig. Moment, Netgear=Tunnel, Clients=Transport oder? Aeh ... ja? Du bindest doch eine static an eine dynamic. Oder ist das ne Fangfrage :) Ich wuerd jetzt auch nochmal ins Buch schauen, aber du hasts ja selber :p

Unterschiedlich, warten wir mal ab :)

Schalt doch am Client mal den Debug an, vielleicht wird da immer was neu ausgehandelt und du verlierst deswegen den Connect.

Joah ... also die 87X ist dann EoL wenn der Anhang freigeschalten wurde ... :o

Das heisst also das nur die ICA Verbindung abbricht, der Tunnel aber weiter UP ist. Ist doch schon mal nicht schlecht.

Wennst nicht weiter kommst, einfach posten :)

Machst du nur ICA ueber den Tunnel? Ich check jetzt nicht ob der Tunnel zusammenbricht, er aber als online angezeigt wird, oder ob einfach nur die ICA abbricht. Lass doch mal nebenher n Dauerping (falls von FW erlaubt) laufen ...

Also die Probleme ueber VPN Clients haeufen sich ja mittlerweile. Wie siehts denn aus wenn du die Software downgradest?

Poste doch mal die komplette Config bitte ...

ip access-group 100 in Was steht denn in der ACL 100?

Ja siehste .. in dem Buch steht auch das ganze CA Zeugs auf dem Router. Dann wirste dir schon mal mind. 50% aller Fragen hier sparen :) Wie sieht denn die Config vom Router aus? Kann mir nicht vorstellen das 576 bytes nicht mal durchhuschen ...

Aeh ... PIX ist nicht meine Staerke. Irgendwo bei dem VPN Zeugs muss das "keepalive" weg. Wahrscheinlich so ne Zeile wie "isakmp keepalive". Aber bitte nur zum Testen!!!

Du kannst bei "ping" die Paketgroesse angeben. Spiel doch mal rum ab wann der Ping nicht mehr geht und dann weisste wie weit du die MTU runtersetzen musst (nur zu Testzwecken)

Stell die Adresse beim key auf 0.0.0.0 und erstell eine dynamic map statt einer static.

Einen VMPS Server kannst du aber auch unter Linux aufsetzen (OpenVMPS)

Du kannst auf der PIX auch DPD mal ausschalten. Wenn es von mehreren "Standorten" mit diversen Routern Probleme gibt wuerd ich halt auf die PIX tippen. Oder du klemmst den Rechner direkt ans DSL. Dann gibts kein NAT-T etc.

Na dann sollte es doch an der PIX liegen. Ein Update magste nicht mal machen?

Kannst du dich daheim mal direkt ans DSL haengen, ohne Router? Dann koennte man das weiter eingrenzen obs am Router oder am PC liegt.

Hmmm .. also ich tippe entweder auf das Firmware (sprich auf 6.3.5 update) oder auf ein NAT Problem. Stell doch mal ipsec-over-tcp an und connecte den Client ueber TCP/10000. Ah halt .. das geht mit 6.X nicht. Wie bist du denn im Netz mit dem VPN Client?

Hier ist dann der naechste Dump: http://leute.server.de/pics2000/heql-dump2.txt

Ne, so wie dus mir geschickt hast, halt nur das noetigste. Und das halt bei ner erfolgreichen Herstellung.