Wordo

Muss man die Rueckrichtung in der VPN ACL nicht auch mitangeben (in machen Faellen, habs vergessen)?

access-list 100 permit ip office network labor network access-list 100 deny ip office network seminar network int vlan office access-group 100 in exit access-list 101 permit ip seminar network labor network access-list 101 deny ip seminar network office network int vlan seminar access-group 101 in exit

Was meinst du mit aufeinander selbst?

Catalyst: no ip routing = default Router: ip routing = default Schalte ip routing ab und es geht nicht mehr.

Cisco IOS IP Application Services Configuration Guide, Release 12.4 - Configuring GLBP [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems

conf t int vlan 2 ip add 192.168.2.X 255.255.255.0 int vlan 3 ip add 192.168.3.X 255.255.255.0 exit nicht gemacht? kann die 876 nicht nur bis zu 3 vlans?

Eigentlich sollten die Clients einfach kleinere Pakete schicken, da is das DF-Bit dann auch egal. Bei IOS geht das mit "ip tcp adjust-mss".

Naja, also wenn du an den einen noch n zweiten 1841 mit Konsolenkabel haengst musst du ja eh schon vor Ort sein, also was solls? Nimm login local von line vty raus, oder richte nen User ein ;)

Haettest du seine Frage mit "Ja" beantwortet koenntest du im DMZ nicht routen, deswegen die Frage.

Wenn er drin ist werden u.a. unzulaessige Commands im Protokoll verboten, bei no fixup wird nicht in den stream geschaut und alles durchgelassen. Kommt halt auf das Protokoll an ...

Also, in der IPSEC Policy von der Zweigstelle und Peer muss auch das Netz 10.130 definiert seit. Peer muss die Route zu 10.130 kennen, VPN Standleitungsrouter und 10.130 muss ebenfalls in der Policy das Netz von Zweigstelle drin haben und Standleitungsrouter muss route in Zweigniederleitungsnetz kennen.

Du hast seit der Umstellung von T-Com auf Arcor nur noch 4mbit?

Was fuer ne IOS Version auf der Aussenstelle? Nochmal die Config mit keepalive posten.

Vielleicht ist das noch ein altes Monopolrelikt :)

Die Leitungen nutzen Annex-B, auto ist voll OK. Wenn dir das zu langsam sein sollte kannste ja auch das Training aktivieren.

VPN: IPSEC? IPSEC/L2TP? PPTP? Die Clients stehen wo?

Sorry, aber bei so einer Konstellation, was erwartest du??? Wohin soll denn der Router in der Zentrale sein VPN aufbauen wenn sein Peer 0.0.0.0 ist?

Ich glaub er meint den physikalischen Port ...

sh run => muss ip access-group im IF stehen.

Du solltest schon von jedem Router jede IP auflisten und sagen was genau wo durchs VPN geht.

Jup, ein CAM-Table pro Interface .. ansonsten muesste er ja immer flooden (bei mehr als 2 Interfaces).

Gibts denn keinen Traffic der den Aufbau erzwingt?

Cisco Security Appliance Command Line Configuration Guide, Version 8.0 - Configuring Certificates [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems

Du brauchst schon IP fuer OSPF. Auf nem BRAS wirds tricky ... oder meinst du mit BRAS vielleicht einen LNS?

Home(config)#crypto isakmp key 0 asdsda ? address define shared key with IP address hostname define shared key with hostname Home(config)#crypto map VPN 10 ipsec-isakmp Home(config-crypto-map)#set peer ? A.B.C.D IP address of peer WORD Host name of the peer