Wordo

Nein, wenn du ein Modem davorhaengst, brauchst du ein aktuelles IOS bei dem du dann FE0 und FE1 hast (FE1 ist Switchport 4 wenn aktiv). Das FE1 ist pppoe enabled und an den Dialer gebunden. das ATM kannste in die Tonne treten ;)

Ich hab mich mit den SOHO97ern schon rumgeaergert. Soweit ich weiss funktionieren die in DE nicht. Du koenntest hoechstens ein Modem davor klemmen und das Teil als Ethernetrouter einsetzen.

Kenn ich garnicht .. danke! :D

Bei Checkpoint ist es wichtig zu wissen auf welches Interface die IPSec Lizenz registriert ist. Klingt komisch, is aber so :D Musste mal mit ner Linux zu Checkpoint ein VPN machen und die Leute haben die Lizenz auf das interne Interface registriert. Zwang mich dazu, sowohl fuer externe, als auch fuer interne IP einen PSK anzulegen. Debug einfach alles was bei crypto geht und setz nen Ping ab, da stehen die Netze dann schon drin.

Interessant! Leider kann man auf Dialer IFs nicht shapen, warte leider noch vergebens auf meinen 1812 :( Merci ..

Von der Performance und Sicherheit auf deinen Systemen wuerde ich sagen 3DES und SHA1, wenn auf beiden AES geht, dann AES.

Du meinst damit aber die Module fuer die 1841 oder? Also ne 1803 kostest bei mir im EK Netto 730 Euro.

Was sagt denn ein "sh dsl int atm 0"? Du koenntest das auch aufsplitten: interface ATM0 bandwidth 160 no ip address atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode annexb-ur2 ! interface ATM0.1 point-to-point no ip redirects no ip unreachables no ip proxy-arp pvc 1/32 pppoe-client dial-pool-number 1 ! ! So eine Konfiguration hatte ich mal mit ner SOHO96 laufen, muesste 1 zu 1 uebertragbar sein.

Aber ist das denn kein LLQ?: class-map match-any sig match protocol h323 match protocol rtcp match protocol sip class-map match-any voice match dscp cs5 match access-group 170 policy-map test class voice priority 150 class sig bandwidth 30 class class-default fair-queue random-detect Das hab ich auf dem 876 direkt eingetragen und auf Dialer0 gebunden ==> Nicht gefunzt Auf der 871 eingetragen ==> Nicht gefunzt Dann geshaped ==> Funzt einwandfrei Mir ist das nicht ganz klar, auf der 876 sehe ich das der Upload auf 448kbit syncron ist. Ich kann im shaping das ganze auf 350000 noch angenehm hochdrehen, bei 400000 wirds dann ungemuetlich. Es scheint mir so, als wuerde sowohl die 876, als auch die 871 mit dem "bandwith" Kommando nicht wirklich zu verstehen bekommen das nur 448kbit zur Verfuegung stehen. Nach dem radikalen shaping klappts. Ich werd das ganz heut oder morgen mal mit ner 1812 testen (mit Dialer und/oder nur auf ETH gebunden). Vielleicht hilfts ja dem einen oder anderen :)

STOP: policy-map test class voice priority 150 class sig bandwidth 30 policy-map real class class-default shape average 300000 service-policy test So, damit hab ich jetzt gute Werte, aber ... kann mir einer erklaeren was genau das bedeutet? Ich weiss nur das GTS aufm Dialer nie gefunzt hat, mit FE dagegen jetzt schon :D

So, ich fuehr hier mal mein Tagebuch weiter. Ich hab jetzt hinter die 876 eine 871 gehaengt. Die macht echt nix, nur Pakete forwarden. Auf dem externen Interface konfigurier ich: service-policy output test und die Policy sieht so aus: class-map match-any sig match protocol h323 match protocol rtcp match protocol sip class-map match-any voice match dscp cs5 match access-group 170 policy-map test class voice priority 150 class sig bandwidth 30 class class-default fair-queue random-detect acl 170 is die verbindung zum asterisk server. Wenn die Kiste pinge hab ich konstant so 59ms, sobald ich mit SCP was ueber die Leitung jage hab ich 260ms und Jedes dritte oder vierte Wort verschwindet. Mittlerweile kann ich doch nix mehr falsch machen ... LLQ und CBWFQ auf nem FastEthernet wird definitiv unterstuetzt. Jemand ne Idee?

Was sind das fuer Telefone und gibts dafuer ein Firmwareupdate? Wuerde da nicht zwingend den Fehler am Switch suchen.

Cisco VPN Client funktioniert mit beiden. Zertifizierung brauchst du keine, mittlerweile ist der SDM so stabil und fortgeschritten, dass man auf Telnet/SSH/Console als Anfaenger verzichten kann.

Nimm den PFS aus der ASA raus und stell von DES auf 3DES.

Haste schon mal versucht bei beiden nur eine Proposal zu konfigurieren (Transformset)?

- Cisco Systems, Inc - Products & Sevices - Routers - 800 Series - Compare Models 878 G.SHDSL Up to 10 VPN tunnels - Cisco Systems, Inc - Products & Sevices - Routers - 1800 Series - Compare Models 1803 G.SHDSL(4-wire) - Datasheet IPSec Tunnels Supported: 50 :) Ich hab ne 878 mal fuer MNet SDSL konfiguriert, easy-going. Bei T-COM, kein Plan. Aber wenn, dann die beiden ...

Was meinst du mit 0/0 und 0/1? Wozu brauchst du die beiden?

Statt "ip address dhcp" im Dialer0 sollte da "ip address negotiated" stehen. Das kann man auch ueber die graphische Oberflaeche aendern wenns is ..

Wie ist sie denn konfiguriert?

Am besten du gehst mal ueber Console drauf und gibst "show verion" ein. Das postest du dann bitte.

Sammel doch mal bei denen wo es abbricht die Daten: dynamisches DSL? Router mit WLAN? Welches Routermodell?

Das da?

Kannst nicht ueber Console oder Telnet/SSH ran?

Haken? Konfigurierst du den ueber HTTP? Kannst nicht ueber Console oder Telnet/SSH ran?

Genau, du traegst einfach die Netze ein, in die die Clients muessen (per VPN). Alles andere laeuft dann uebers normale LAN. Ist halt in Bezug auf Sicherheit etwas bedenklich.