Wordo

Bist du sicher? Such mal nach Splittunneling oder Split-ACL.

Ist die PIX hinter einem NAT Device? Sieht so aus als wuerden irgendwann die Keepalives nicht mehr durchkommen. Also eher ein Problem vom Router beim Client. Kommen die Ausfaelle nur bei bestimmten Personen vor?

Um den Broadcasttraffic zu reduzieren. IGMP snooping - Wikipedia, the free encyclopedia Vorraussetzung ist man weiss wie IGMP an sich funktioniert ...

Du brauchst das Problem an der PIX nicht suchen, Debugs vom Client sind viel wichtiger.

2020.2020.2020 ??? Ist ja lustig .. die sieht mir eher nach fake aus :)

Das ist ja auch eine Zwangstrennung (der Clients)!

24h Disconnect?

Ein Debug am VPN-Client waere hilfreich. Und passiert das bei allen Clients?

Sodala, also ich tests grad trotzdem mit ner 876. Ganz poplig erstmal: class-map match-all icmp match protocol icmp policy-map test class icmp priority 200 class class-default fair-queue random-detect Gut, service-policy auf output am dialer 0. Meckert zwar, schluckts aber. Wenn ich pinge, wird mir das sogar auch richtig angezeigt: test#sh policy-map int dialer 0 Dialer0 Service-policy output: test Class-map: icmp (match-all) 22 packets, 2112 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: protocol icmp Queueing Strict Priority Output Queue: Conversation 136 Bandwidth 200 (kbps) Burst 5000 (Bytes) (pkts matched/bytes matched) 0/0 (total drops/bytes drops) 0/0 Class-map: class-default (match-any) 14 packets, 2794 bytes 5 minute offered rate 2000 bps, drop rate 0 bps Match: any Queueing Flow Based Fair Queueing Maximum Number of Hashed Queues 128 (total queued/total drops/no-buffer drops) 0/0/0 exponential weight: 9 Wenn ich allerdings ne fette Mail verschicke verdoppeln sich meine Laufzeiten trotzdem! Antwort von 1.2.3.4: Bytes=32 Zeit=77ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=74ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=76ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=76ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=75ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=76ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=141ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=112ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=168ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=139ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=109ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=167ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=137ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=107ms TTL=61 Antwort von 1.2.3.4: Bytes=32 Zeit=169ms TTL=61 Jetzt meine Frage, bin ich nur zu dumm das zu konfigurieren oder ist es wirklich nicht normal das sich die Laufzeiten verdoppeln? (Ich hoffe ja auf ersteres + Erklaerung) :cool:

Wuerde mich schon mal interessieren. Wenn das wirklich geht ruest ich sofort auf 1841 mit entsprechenden Modulen um :)

Vergleiche doch mal die Relation von Download - CPU und Upload - CPU.

Aber dein Virtual-Access2 hat als queueing stategy fifo. Und im 2ten Output hast du auch nur matches auf die class-default. Sicher das das wirklich funktioniert? Probier doch mal ein deb qos events und fueg dann die service-policy ans dialer0 an. Da sollte eigentlich ne Meldung kommen das CBWFQ nur auf MLP bundle IFs bei Dialern moeglich ist.

Kannst du da bitte ein "sh int dialer X" posten? D.h., du hast T-DSL, ein externes Modem haengt am Splitter, 18XX haengt am Modem, waehlt sich ueber einen Dialer IF im DSL Netz ein und du hast ne service-policy auf dem Dialer IF? Wenn das geht .. waers ja der Hit! Problem ist glaub ich nur das das BRI bei der 1812 NUR fuer Management Dialin da ist. Richtig?

Das kommt ganz auf die Zufuehrung an. Bei 100Mbit bekommst du bestimmt RJ45 ueber Glas. Das naechst hoehere waere dann Glas direkt mit 1000Mbit oder 1000Mbit mit RJ45. Alles dazwischen ist dann entweder ATM, SDH pipapo. Du kannst also nur die 100Mbit hoch potenzieren mit mehreren Anbindungen. Ich kenn jetzt unsere Preise nicht, aber 2 mal 1000Mbit ist auch nicht viel teurer wie 4 mal 100Mbit.

HA auch mit 2 Routern auf jeder Seite oder nur die Leitung? Die Performancetests wurden mit nur einem Tunnel gemacht. Wenn du also auf jeder Seite einen Router mit 2 Leitungen betreibst hast du 2 Tunnel + OSPF (naja bei 2 stabilen Leitungen eher langweilig). Ich denke das bekraeftigt die Entscheidung fuer eine 3825

Was fuer ne Doku hast du da? Das alte VPN Perfomance PDF? Wie sind denn deine sonstigen Anforderungen? Mittlerweile rate ich eher zu den ASA's wenns um throughput geht, jedenfalls solang der Router auch verschluesseln muss und evtl ACLs drauf hat (frag waere auch interessant). Die 2851 skaliert bei bestehenden 100 Mbit zu schlecht (meine Meinung)

Servus, ich glaub es ist schon ueber ein Jahr her wo ich mich mit dem Thema rumschlagen musste. Nach nem halben Tag Suche bin ich wieder auf demselben Stand wie letztes Jahr: CBWFQ und LLQ ueber Dialerinterfaces ist nicht moeglich! Wahnsinn!! Cisco? 2007? Hallloooo? Jetzt muss das auch noch durch nen VPN Tunnel "geqost" werden. Inbound aufs Vlan SVI kann ich die policy auch nicht anwenden. Im Moment bleibt mir nur die Loesung hinter dem DSL Router (836 oder 876) nochmal einen Ethernetrouter zu klemmen. Hab gestern noch kurz was von der ASA gelesen, die kann angelich auch QoS (very basic) ueber VPN. Hat damit irgendjemand schon Erfahrung? Und wenns nur plain QoS ueber ADSL ist ohne VPN, und von mir aus kanns auch ein anderer Router sein, anderes Modell, andere Marke. Das muss doch laufen!?!?! Bitte keine Antworten wie "Das geht doch mit Linux" oder "Dein ISP muss da auch mitspielen", ist alles schon geklaert. :) Merci!

no iskmp enable deaktiviert IPSec .. Da alles manuell ablaufen soll isses so am einfachsten ;)

Indem du dich einloggst und iskmp enable eingibst (oder so aehnlich) :)

Ah, wie gesagt, das Buch behandelt nur Version 7.0. Vll hol ich mir mal die 2nd Edition wenn ich mehr mit ASAs am Hut hab. :)

Und ne VPN Loadbalancing License kommt nicht in Frage? Glaub das geht auch erst ab 5520 ...

ServersAlive Network Monitoring Free Network monitor SNMP Monitoring Woodstone Servers Alive POPPager sms email gateway server LAN WAN networking tools Bis zu 10 Monitorings gratis, hat sogar n Plugin wo du ne Testmail an nen Server schickst und wenn sie nicht mit Pop3 abgerufen werden kann wirste benachrichtigt (Plugin hab ich bisher noch nie getestet)

Laeuft die PIX schon mit 7er Image? Wenn ja koenntest du da ipsec-over-tcp aktivieren. Vielleicht isses ne Firewalleinstellung bei den Firmen?

Ich glaub du kannst ueber den ACS Server ACL's dem Client mitgeben.

Bei 2 ASA's is das n echt unangenehmes Lehrgeld :( :shock: