Wordo

Mich wuerde waehrend den fehlschlagenden Pings ein "sh int status" vom Switch interessieren. Dann noch ob Clients und Server jeweils das SVI auch als Defaultgateway eingetragen haben. Es koennte auch irgendwas mit Multinetting sein, vielleicht ist ein Server im Switch auf das Client-VLAN gepatched ...

Kann man mit SDM nen SPAN einrichten? :D

Du hast die beiden Router doch mit Cross verbunden? Wie hast du denn da den Sniffer dazwischengeschoben? Du musst dir angewoehnen paar mehr Infos zu liefern, ICMP Pakete von und zu wem? Tunnel OK vom SDM hat nicht viel sagen.

Na dann passts doch?! Kein error bedeutet kein debug ;)

Mach mal auf dem Master (ueber Console) ein: deb crypto isakmp err deb crypto ipsec err Dann nen Ping vom Masternetz aus und den Output posten.

In ACL SDM_1 auf Slave muss statt " 192.168.1.0 0.0.0.255" -> "172.16.0.0 0.0.255.255" stehen ... EDIT: Erster! ;)

Post ma bitte von beiden nur die crypto parts, die betroffene ACL und das betroffene Interface.

Und die IP im Key von Slave? Ah und die IP vom Key in Master muss auch die IP von Slave sein ...

Du hast bei Slave als Peer nicht die IP von Master

Auf dem Slave ist kein VPN konfiguriert?

Per default ist Traffic von higher to lower level erlaubt, in die andere Richtung verboten. Es koennen dann auch die Werte 11, 27 und 46 sein ..

Advanced Enterprise ist fuer dein Modell nicht geeignet, ich hab dir doch geschrieben du sollst Advanced IP Services nehmen. Geh auf Cisco.com und such nach IOS Recovery, oder nach "rommon" und "tftpdnld". Da kannste dann ueber TFTP ein passendes Image auf Flash oder in RAM laden ...

Mit "T" bist du immer gut beraten. Da gibts irgendwo im Ciscouniversum ne Seite wo alles erklaert ist. Deine Lizenz ist Advanced IP Services, also nimmst du fuer 12.4.22 auch Adv. IP Services. Eins drunter mit weniger Features ist Adv. Security, eins drueber Adv. Ent. Services (da kann der Router halt BGP und so Zeug)

Entweder 12.4.22T(ED) oder 124-15.T8, die 15er ist zwar etwas aelter, hat aber MD-Status, sprich fuer diesen Zweig wird es noch Updates bis 2010 geben.

kA .. du wolltest ein Produkt von Cisco wissen ;) Hab auch schon erfolglos gegoogelt weils mich auch interessiert :)

Hm .. habs zwar selbst noch nicht gemacht, aber mein erster Ansatz waere: Loopback IF eine IP geben, den LNS als EasyVPN Server konfigurieren und an Loopback binden. Die Router beim Kunden als EasyVPN Remotes konfigurieren ..

deb atm er deb atm ev deb pppoe er deb pppoe ev ter mon conf t int atm 0 shut no shut Output posten ...

Und auf dem LNS soll IPSec terminiert werden?

interface Dialer0 ip address negotiated ip mtu 1492 encapsulation ppp ip nat outside dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username bla password bla ppp ipcp dns request ppp ipcp wins request Dein Modem wird aber nicht mal snychron (CD leuchtet und blinkt nicht mehr), da musst du die keine Gedanken um Dialer machen.

Hast du Router beim Kunden und LNS unter deiner Kontrolle?

interface ATM0 no ip address atm vc-per-vp 64 no atm ilmi-keepalive ! interface ATM0.1 point-to-point no ip redirects no ip unreachables no ip proxy-arp pvc 1/32 pppoe-client dial-pool-number 1 ! ! EDIT: Kabel passt ..

IronPort IronPort® Web Security Appliances - Corporate Web Security Scanner

Die ASA selbst kann keinen Webproxy spielen, gehts dir um ne kommerzielle Loesung inkl. URL-Filterung? Ansonsten wuerde ich, wenn Knowhow vorhanden nen Linuxproxy empfehlen (Squid).

Aso .. dann ok. Hmmmm ... 1.6.11 mit 6.1.5.51 klappt bei mir nicht :(

Hm ... habs mir noch mal genauer durchgelesen. Vielleicht laeuft seit Kurzem ne Applikation die zu viele Connections erzeugt und dein NAT-Table oder sowas voll laeuft. Hab seit Ewigkeiten nicht mehr mit PIX gearbeitet (zum Glueck). Wenns wieder nicht geht probier mal statt nem Reload ein "clear xlate" (vielleicht gehoert noch was dahinter, hab leider keine PIX da).