Wordo

IOS Update? 12.1.11 gibts nicht mal mehr zum runterladen ... Entweder 12.1.19EA1 oder 12.2.44SE2

Hatte ich schon, das schlaegt Wireshark ja vor ;) Merci ..

Hi, ich hab hier 5 Router, 876 (2), 878, 836 und SOHO96. Ich verbinde mich mit nem Windows XP Client drauf (Telnet) und schmeiss Wireshark an. Jedes mal wenn ich im Telnet was eingebe seh ich dauernd TCP Checksummen-fehler im Dump. Es sind immer Pakete vom Windows aus. Hab das aber auch mit nemanderen Client getestet. Die IOS-Versionen sind immer andere. Das passiert z.B. auch wenn ich ne RDP-Verbindung ueber den Router mach, also sowohl ueber DSL, als auch lokal ueber Ethernet derselbe Fehler. Kann das bitte mal einer bei Gelegenheit testen ob das bei euch auch so ist? Merci fuers Feedback ... :)

Wenn du kein overload machst und der Nat-Pool gross genug ist, ja. EDIT: Falls du mit 0 Ciscoerfahrung das realisieren willst haste dir aber viel vorgenommen ;)

Prinzipiell gehen beide, Punkt 3 von Standort B versteh ich nicht ganz.

Kannst du den Dump bitte posten? Merci ...

Jo, die geht ja prima, die Frage war allerdings an MYOEY gerichtet ;)

Wie meinst du das mit Dialer0? Ist das ne alte Verbindung?

Vista 32 oder 64 Bit?

Nein, IPSec-passthrough ist ein reiner Marketingbegriff, was bei den meissten Routern zur Folge hat, dass Verbindungen auf Port 500 so genattet werden, dass der Sourceport ebenfalls 500 bleibt. Bei NAT-Traversal wird aber von 500 auf 4500 geschwenkt. Da checken die Router nicht und da gibts dann paar Probleme (nur bei wenigen Modellen). Hast du den Key der Gruppe mal auf 1234 gestellt um einen Tippfehler auszuschliessen?

Natuerlich alles ohne shutdown ;) controller E1 1/0 shutdown channel-group 0 timeslots 1-31 ! controller E1 1/1 shutdown channel-group 0 timeslots 1-31 ! controller E1 2/0 shutdown channel-group 0 timeslots 1-31 interface Serial1/0:0 ip address X.X.X.X 255.255.255.252 ip access-group 101 in no ip directed-broadcast ip accounting output-packets encapsulation ppp shutdown no cdp enable ! interface Serial1/1:0 ip address X.X.X.X 255.255.255.252 ip access-group 101 in no ip directed-broadcast ip accounting output-packets encapsulation ppp shutdown no cdp enable ! interface Serial2/0:0 ip address X.X.X.X 255.255.255.252 ip access-group 101 in no ip directed-broadcast ip accounting output-packets encapsulation ppp shutdown no cdp enable

Hoert sich so an als haette der Router beim Kunden "ipsec pass-through" aktiviert. Soll er mal deaktivieren wenns geht.

Sind das bei der DTAG 3 E1 gebuendelt? Haette hier noch ne uralte Config von ner 34Mbit rumliegen.

ena vpn-sessiondb logoff ?

1) Client authentifiziert sich an Liste X 2) Client authorisiert sich an Liste X 3) Irgendwas mit Mode Config (Ciscoproprietaer) zur Aushandlung der Netzwerksettings des Clients

Also falls du den Schnippsel noch brauchst: crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 28800 crypto isakmp key sfdgdfgdfgdfgdfgdgdfg address X.X.X.X no crypto isakmp ccm ! crypto isakmp client configuration group VPN-Client key XXXXXXX pool vpn acl 150 max-logins 10 netmask 255.255.255.0 ! crypto ipsec security-association lifetime seconds 28800 ! crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac ! crypto dynamic-map VPN-Client 20 set transform-set 3des-md5 ! ! crypto map VPN isakmp authorization list VPN-Client crypto map VPN client configuration address respond crypto map VPN 10 ipsec-isakmp set peer X.X.X.X set transform-set 3des-md5 set pfs group2 match address 100 crypto map VPN 20 ipsec-isakmp dynamic VPN-Client Dann gehts mit nem L2L VPN und VPN-Client ...

Klar geht das, du machst ne dynmap mit eigenem Namen und klebst die an deine cryptomap mit hoechster Prio crypto map VPN 65535 ipsec-isakmp dynamic dynmap Wenn der Aggr. Fehler noch kommt meld dich nochmal .. :)

Dann musst du den Zertifikat von DynDNS vertrauen, ist nicht so einfach zu konfigurieren. Schau mal hier: Cisco Systems: Networking Professionals Connection

Das war der Post von dir selbst, und du hast doch geschrieben das es mit der IP Adresse klappt?!

Wurde in den letzten 2 Wochen schon beantwortet .. einfach mal suchen.

Hi, hab hier grad ein Problem an einem Router der 2 mal mit ADSL verbunden ist. Dialer0 ist fuer VPN da, Dialer1 ist nur so online. Jetzt soll von aussen auf einen Rechner zugegriffen werden mit Port 80. Um den VPN Traffic nicht zu belasten, mache ich ein Reverse NAT auf Dialer1: ip nat inside source static <interne ip> <port> interface dialer 1 <port> Soweit so gut. Wenn jetzt aber ein User von dem VPN (external Net) auf den Webserver zugreifen will, geht das SYN Paket durchs VPN, die Antwort aber auf Dialer1 genattet raus. Und das, obwohl ich bei der ACL fuer die crypto map ein permit hab, und bei der ACL fuer NAT ein deny auf das Netz. Ich habs schon mit Route-Maps versucht, keine Chance, ich hab sogar noch ein zweites VPN testweise auf Dialer1 gelegt, trotzdem wirds genattet. Jemand ne Idee? THX!

Was ist denn wenn du die Defaultroute fuers Dialer raus nimmst und auf no shut stellst?

Hmmm ... da hast du natuerlich Recht. Und wenn du 4 ACLs machst, alle mit demselben Sourcenetz und 4 overloads, und dann auf allen Dialer IFs "ip load-sharing per-destination" eingibst? Habs noch nich getestet .. vll gehts ja :) EDIT: Brauchst natuerlich 4 gleichwertige Default-Routen

Hae? Du hast einen Pool, an dem aendert sich nichts. Die ACLs haben mit deiner internen Struktur nichts zu tun. Wie teilst du denn ein Subnet in 4 VLANs auf? Du solltest wohl besser genauere Angaben machen, sonst wirds zu kompliziert ...

Du kannst aber ein Subnet und 4 kleine unterteilen! :) Z.B. 192.168.0.0/24 = 192.168.0.0 0.0.0.63 192.168.0.64 0.0.0.63 192.168.0.128 0.0.0.63 192.168.0.192 0.0.0.63 Dann machst du 4 ACLs: access-list 100 permit ip 192.168.0.0 0.0.0.63 any access-list 101 permit ip 192.168.0.64 0.0.0.63 any access-list 102 permit ip 192.168.0.128 0.0.0.63 any access-list 103 permit ip 192.168.0.192 0.0.0.63 any Dann Route-Map mit match auf ACL und set route jeweils ein anderes Dialer IF