Wordo

Muss man die Rueckrichtung in der VPN ACL nicht auch mitangeben (in machen Faellen, habs vergessen)?

access-list 100 permit ip office network labor network

access-list 100 deny ip office network seminar network

int vlan office

access-group 100 in

exit

access-list 101 permit ip seminar network labor network

access-list 101 deny ip seminar network office network

int vlan seminar

access-group 101 in

exit

Was meinst du mit aufeinander selbst?

Catalyst: no ip routing = default

Router: ip routing = default

Schalte ip routing ab und es geht nicht mehr.

conf t

int vlan 2

ip add 192.168.2.X 255.255.255.0

int vlan 3

ip add 192.168.3.X 255.255.255.0

exit

nicht gemacht? kann die 876 nicht nur bis zu 3 vlans?

Eigentlich sollten die Clients einfach kleinere Pakete schicken, da is das DF-Bit dann auch egal. Bei IOS geht das mit "ip tcp adjust-mss".

Naja, also wenn du an den einen noch n zweiten 1841 mit Konsolenkabel haengst musst du ja eh schon vor Ort sein, also was solls? Nimm login local von line vty raus, oder richte nen User ein ;)

Haettest du seine Frage mit "Ja" beantwortet koenntest du im DMZ nicht routen, deswegen die Frage.

Wenn er drin ist werden u.a. unzulaessige Commands im Protokoll verboten, bei no fixup wird nicht in den stream geschaut und alles durchgelassen.

Kommt halt auf das Protokoll an ...

Also, in der IPSEC Policy von der Zweigstelle und Peer muss auch das Netz 10.130 definiert seit. Peer muss die Route zu 10.130 kennen, VPN Standleitungsrouter und 10.130 muss ebenfalls in der Policy das Netz von Zweigstelle drin haben und Standleitungsrouter muss route in Zweigniederleitungsnetz kennen.

Du hast seit der Umstellung von T-Com auf Arcor nur noch 4mbit?

Was fuer ne IOS Version auf der Aussenstelle? Nochmal die Config mit keepalive posten.

Vielleicht ist das noch ein altes Monopolrelikt :)

Die Leitungen nutzen Annex-B, auto ist voll OK. Wenn dir das zu langsam sein sollte kannste ja auch das Training aktivieren.

VPN: IPSEC? IPSEC/L2TP? PPTP? Die Clients stehen wo?

Sorry, aber bei so einer Konstellation, was erwartest du??? Wohin soll denn der Router in der Zentrale sein VPN aufbauen wenn sein Peer 0.0.0.0 ist?

Ich glaub er meint den physikalischen Port ...

sh run => muss ip access-group im IF stehen.

Du solltest schon von jedem Router jede IP auflisten und sagen was genau wo durchs VPN geht.

Jup, ein CAM-Table pro Interface .. ansonsten muesste er ja immer flooden (bei mehr als 2 Interfaces).

Gibts denn keinen Traffic der den Aufbau erzwingt?

Du brauchst schon IP fuer OSPF. Auf nem BRAS wirds tricky ... oder meinst du mit BRAS vielleicht einen LNS?

Home(config)#crypto isakmp key 0 asdsda ?

address define shared key with IP address

hostname define shared key with hostname

Home(config)#crypto map VPN 10 ipsec-isakmp

Home(config-crypto-map)#set peer ?

A.B.C.D IP address of peer

WORD Host name of the peer