Wordo

ADSL? SDSL? X21? Wie soll er denn ans Netz angebunden werden?

Ich gebs glaub ich auch auf .. da kann man nich viel machen :D

Das kommt auf die Verkabelung an! Wo stehen die beiden PIXen (physikalisch)? Nebeneinander am selben Switch? Haengt ein Router dazwischen? Produktiv koennen sie ja nich sein .. sonst waer bei dir bestimmt die Hoelle los ;)

Die PIXen koennen sich mit der Konfiguration pingen? Also entweder steh ich total aufm Schlauch oder ich versteh die Welt nicht mehr: PIX 1 ip address outside 192.168.10.54 255.255.255.0 ip address inside 192.168.30.1 255.255.255.0 PIX 2. ip address outside 192.168.20.1 255.255.255.0 ip address inside 192.168.1.1 255.255.255.0 Mit 4 verschiendenen IP's ind 4 verschiedenen Netzen .. das klappt doch nicht. Und das Gateway von PIX2 liegt in nem Netz von PIX1 .. wie soll das gehn?

Post doch mal die aktuelle Konfiguration der PIXen

Das hier hab ich grad gefunden .. kannt ich bisher nich .. sieht ganz nett aus: http://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi

Beschreibe doch mal deine "Vorgaben"! Wuerde mich mal interessieren ...

Du schreibst du hast 12.3 und 12.4 benutzt? Welche genau? Also ich les hier bei 12.3er Caveats noch so einiges: http://www.cisco.com/en/US/customer/products/sw/iosswrel/ps5413/prod_release_note09186a008048e14f.html#wp71219 Resolved Caveats - Cisco IOS Release 12.3(14)YT1 CSCeh35823 Symptoms: When a router detects "invalid identity" failures while decrypting IPsec packets, a memory leak occurs for the packet memory associated with the failed packets. Conditions: This symptom is observed only when an "invalid identity" error occurs, which is an uncommon error that indicates that the originating router does not send packets according to what was originally negotiated. However, if there is another error that causes a "bad" decryption, the packet could be invalid and may also cause the symptom to occur. Workaround: There is no workaround.

Deine Infos sind halt relativ duerftig, und Eigeninitiative is auch eher n Fremdwort. Also was mit noch aufgefallen ist. Bei PIX1 ist Outsite IP dhcp setroute und bei PIX2 ist extern eine private IP (x.x.20.x). Wenn jetzt bei PIX1 extern x.x.30.x extern ist fehlt bei beiden ja das Default Gateway. Koennen sich den die PIXen gegenseitig pingen (ohne VPN)?

Also ich bin ja kein PIX'ler, aber was soll das denn: Pix1: interface ethernet1 100full shutdown nameif ethernet1 inside security100 ip address inside 192.168.30.1 255.255.255.0 isakmp enable inside Pix 2: interface ethernet0 auto shutdown nameif ethernet0 outside security0 ip address outside 192.168.20.1 255.255.255.0 isakmp enable outside Sind da die Interfaces runtergefahren ???

interface Dialer0 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username blalba@t-online.de password 7 3453453453434 ppp ipcp dns request ppp ipcp wins request So circa koennte das aussehen, je nachdem wie du alles andere konfiguriert hast.

1300 ist schon extrem vorsichtig gewaehlt, also falls du Performanceprobleme bekommst, oder Leute sich beschweren passe das mal nach oben an. Kannste auch im Livebetrieb machen so lang du nicht zu forsch bist. ;)

Bei Cisco.com gibts nen Output Interpreter, weiss aber nich ob man da registriert sein muss. Poste doch mal den Error, vielleicht bringts ja was :)

Probier doch mal testweise auf den internen Interfaces der Cisco "ip tcp adjust-mss 1300", ansonsten waer ein "deb ip icmp" nicht schlecht. Vielleicht sind die Fragmention needed ICMP's geblockt.

Hoert sich stark nach MTU an ... haste auch nen Exchange rumstehn? Wennst den Fehler mit ner Outlookverbindung reproduzieren kannst waer ich mir da fast sicher. EDIT: Aender bitte die Passwoerter, auch wenn du nicht die IP angegeben hast ...

Den Link mit dem Dial Backup haette ich aber trotzdem gern :D

Von welcher Seite hast du die Info? Eigentlich sollte "isdn calling-number" reichen (also mit Nummer natuerlich) ;)

oh .. da is natuerlich was dran :)

Naja, aber ob du jetzt im Tunnel0 sagst: tunnel dest loopback-ip-routergegenstelle .. und dann eine statische route setzt: ip route loopback-ip-routergegenstelle 255.255.255.255 dialer 0 sollte doch auch helfen ?!

in dem Beispiel muesste es dann auch int bri1/0.1 heissen und nicht int bri 0.1 ...

Schau mal mit "sh run" wie die Interfaces nummeriert sind, und evtl mit "sh ver" ob sie ueberhaupt erkannt werden ...

Also von GRE Tunneln hab ich nich so die Ahnung, aber Probier doch mal loopback auf ip unnumbered dialer 0 und source interface beim Tunnel auf loopback. Dann isses wenigstens always-up EDIT: Oder du konfigurierst fuer die loopbacks auf beiden Seiten ein Transfer-Netz mit statischen (privaten) IP's und routest die dann durch den Dialer!

Ich glaub auch dem UNIX-Server fehlt ne Route ...

Du kannst dem Dialer2 auch sagen ip unnumbered eth0 .. bei mir isses halt loopback weil ich eth0 anders routen muss.

Hab das schon immer so konfiguriert .. ich glaub du kannst die IP auch dem Dialer2 geben, habs nie probiert :D