Wordo

Da is mal der Dump: http://leute.server.de/pics2000/heql-dump.txt EDIT: Kannst du mal den entsprechenden Log bei einer erfolgreichen Herstellung des VPN's posten damit man das weiter eingrenzen kann? Merci

Das ist die Empfehlung von Cisco, ja. Ich glaub du musst da noch das Ressource Kit installieren damit du SCEP mit bei hast. Dann ist es doch recht angenehm mit Cisco und MSCert.

Oh, da ist ja schon dein Post. :) Also bei einer CA auf der Cisco ist schon so einiges zu beachten, und wenn du was falsch machst musst du alles von vorne konfigurieren. Hast du auf Cisco.com nix zu dem Thema gefunden? Wenn ich dir da die ganze Config poste bekomm ich noch ne Hornhaut auf den Fingern ;) Du bist uebrigens nicht gezwungen eine CA auf der Cisco zu machen, kannst das alles auch extern machen und dann nur die Zertifikate importieren.

Das wird ein Spass :D Ist recht fuselig sich da durchzuarbeiten ...

Kannst du mir die Datei mal schnell zumailen, ich wuerd sie dann online stellen. Bis die Datei freigeschalten wurde is mein Bart laenger als der von Osama ...

-> Options -> Stateful Firewall (Always On) ausstellen

Also ich hab mir auf Ratschlag von Blacky_24 "The Complete Cisco VPN Configuration Guide" gekauft. Wobei es darin zu 50% um Concentrators geht bin ich sehr zufrieden. Auch die Basics von crypto maps in IOS Routern kannte ich davor schon. Bin mit dem Buch auch noch nicht ganz fertig, aber es lohnt sich auf alle Faelle. Das Englisch darin ist auch was fuer mid-skilled haette ich mal gesagt :)

Hm, spaetestens nach Ablauf der Lifetime sollte das nicht mehr funktionieren. Normalerweise nimmt man vor eine Aenderung der ACL's die crypto map vom Interface weg (so wie bei "richtigen" ACL's auch). Je nachdem wieviel Bandbreite du hast kannst du einen Router als "Concentrator" auswaehlen zu dem alle ein VPN machen. Darunter kannste dann die Netze mit ACL's trennen. Klar kannst du nur eine crypto map pro Interface festlegen, allerdings kannst du auch mehrere Peers fuer eine crypto map festlegen. Die Anzahl maximaler Tunnel ist fuer die 870er Reihe definiert, ich glaube es sind 30 oder so. Das steht auf cisco.com unter Model comparison oder so.

Was passiert denn wenn du "peer default ip address 192.168.99.200" weglaesst? Ohne Radius heisst du konfigurierst dann "username" statisch in der Config?

Hae? Komisch. Hast du testweise mal ein anderes IOS da? Das sieht doch alles ganz gut aus eigentlich ...

Kannst du mal n debu von ppp neg und auth und radius Zeug posten, auf den ersten Blick siehts ja recht anstaendig aus.

Ich wuerds posten statt anzuhaengen .. da wartest dir 'n Wolf :cool:

Aber beschwer dich nicht bei mir wenn noch ein Router dazukommt und du dir die Finger wund tippst ;)

<schlecht skalierbar> Du machst auf jedem Router eine identische isakmp policy, fuer jeden Router einen PSK und fuer jeden Router eine crypto map. Passende ACL's dazu ... fertig. </schlecht skalierbar>

Zeig doch mal die ACL's vom Router. Du kannst vom Client mal ein Telnet auf die Server IP mit Port 1723 machen. Wenn da ein Connect kommt, dann passt was mit GRE nicht. Ein normales NAT reicht da i.d.R.

Hub&Spoke mit Cisco VPN Clients ... hmmmm. Also da der Pool ja statisch ist, wuerd ich nur die ACL nehmen: access-list 101 permit ip 192.168.10.20 0.0.0.31 172.16.0.0 0.0.255.255 Das sind halt die IP's von 1-30 (usable). Kommt halt drauf an ob du die anderen benutzt. Muss natuerlich auf beiden Seiten eingetragen werden. Und die ACL mit dem eigenen Netz natuerlich nicht rausnehmen (10.XXXX -> 172.16XXX)

ip local pool SDM_POOL_1 192.168.10.10 192.168.10.20 access-list 101 permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255 Da muss noch der Pool mit rein, sonst gehts nicht durch den Tunnel

Ok, dann mach ich also die ganz normale Spamregel das Nachrichten mit bestimmten Woertern im Header verschoben werden und die dann als vorletzte mit nem Stopp. Darunter dann eine neue Regel mit "Auf alle neuen Email mit folgender Nachricht antworten". Das sollte ja mit Outlook 2000 und 2003 gehen. Aber koennte man das auch auf dem Server global konfigurieren? THX

Jo, das geht. Da kannst auch nicht wirklich viel kaputt machen wenn du dich mit ner 1600 auskennst. Ob die Konfiguration in etwa gleich aussieht kommt dann mehr auf die jetzige drauf an. Prinzipiell aber schon.

Wenn du hinter die ACL ein "log" setzt ja. Wie sieht denn die Konfiguration auf dem Router aus?

Ne, leider mache ich das nur im Header, da der Relayer fuer mehrere Kunden zustaendig ist, und nicht alle das um Subject haben wollen. Das mit der Regel hatte ich auch mal, aber mit 2000 zumindest gehts nicht mit Headern. Wie siehts da mit 2003 aus? Kann der das? Merci fuer Eure Hilfe!

Wie waehlen sich die Servicemitarbeiter ein und welche IP bekommen die? Direkt vom Netz oder gibts ein Transfernetz?

Hi, ich frage mich ob ich bei Exchange 2000 und 2003 irgendwelche Regeln erstellen kann, dass OoO Replys nicht an Spammer geschickt werden. Ich hab vor dem Exchange ein Relay was die Mails mit Spamassassin filtert und einen Eintrag in den Mail-Header vornimmt. Gibt es da Moeglichkeiten das auf Exchangeseite zu filtern? Angeblich soll das mit 2003 gehen. Stimmt das? Sorry wenn die Frage bisschen zu noobig ist, ich verwalte leider nur den Relayer, die Exchangeadmins waeren dann Kunden denen ich erzaehle wie man das einstellt. Merci

Also bei mir ist Ping geblockt, und trotzdem koennen alle hier OpenVPN nutzen ...

Kann OpenVPN on-demand eine Verbindung herstellen? Bei Windows machste doch einfach -> Rechtsklick -> Connect. Und mit Ping auf einen Router der NAT macht fuer das OpenVPN wirds auch nicht gehen, ausser du laesst Pings zum VPN-Server durchreichen.