Wordo

Bei ASA ist es global.

Dann versucht der Port ueber Vlan1 den Trunk aufzubauen. Da der andere aber fix 999 drin steht wird der Trunk sich verabschieden. Nimmst du das Kommando auf beiden Seiten raus wird der Trunk ueber Vlan1 hergestellt, bzw. 1 ist native.

Und wo ist jetzt das Problem? :confused:

Na siehste, alles erlaubt .. aber "none" is schon komisch. Der Port ist wohl geblockt und du hast nen Loop.

Poste mal "sh int gi0/1 trunk" Ich habs noch nie probiert, wuerde aber mal davon ausgehen, dass wenn es fehlt, alles getrunkt wird.

Es werden ja auch alle durchgereicht ..

Nein, ueber Vlan 999 wird der Trunk ausgehandelt. Da hat man sich ja viel Muehe gegeben mit udld und loggging, aber welche Vlans getrunkt werden sollen wurde nicht gemacht ... :confused:

Managebar: Sollte das Wort an sich schon erklaeren Layer2: Switcht i.d.R. nur Layer3: Kann auch routen Core und Modular ist kein Unterschied, eher sind Coreswitche modular aufgebaut ;)

Hey ... ruhig Blut. Wenn du von ner externen Adresse dann auf die IP mit 5555 gehst, steht da nicht mehr wie das bei dir? Wenn ja, blockt dein Provider Verbindungen auf Port 5555.

Gib ma "sh ip nat trans | inc 444" ein, poste das, dann mach von extern die Verbindung und gibs noch mal ein. 444 und 5555 sind doch eher bekanntere Ports die vom Provider schon geblockt werden?

Post ma bitte: sh run int fa1 sh run int vla1

Kannst du vom Router aus die 17 erreichen? Hast du mittlerweile eine ACL auf dem Interface?

Du musst die IP mit dem Port 5555 angeben ... sollte eigentlich funktionieren.

conf t access-list 150 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 150 deny ip 192.168.0.0 0.0.0.255 192.168.5.0 0.0.0.255 access-list 150 permit ip 192.168.0.0 0.0.0.255 any ip nat inside source list 150 int fa1 overload

Das nach draussen nix geht liegt schon mal am fehlenden NAT Eintrag.

Nein! Ist wie beim normalen VPN-Client

Wenn du kein WebVPN brauchst im Sinn von "Portal" kannst du dir die AnyConnect Essentials holen. Dann kannst du dich mim Client verbinden und hast dieselbe Anzahl wie IPSec Peers (10 muessten das bei dir sein). Sollte so um die 50 Euro kosten ...

In der crypto map .. laut Log hat der Client "save" gesetzt aber der Server verbietet das, bzw. es ist nicht explizit erlaubt. Wer oder was (IOS, ASA etc) ist kannst nur du wissen ;)

Ja, das kann man am Server festlegen ...

Hast du da dann ne Clientconfig drauf gemacht? Was steht jetzt im auth.log?

Erst mal auf Mainmode stellen .. Ist die Linux mit ner Weboberflaeche wo du was zusammenklickst?

Wieso verwendest du aggressive Mode? Kann mir nicht vorstellen das das bei der Site2Site auch so war ...

Der Aufbau der Verbindung? In welche Richtung soll aufgebaut werden? Poste doch mal ne auth.log ... der ist besser lesbar als der PIX Quatsch :)

http://www.cisco.com/en/US/partner/products/hw/vpndevc/ps2030/products_configuration_example09186a00807ea936.shtml Machs mal damit. Dann kann die PIX zwar nicht aufbauen sondern nur Openswan, aber das scheint mir etwas stabiler als die alte PIX

Aus du auf der PIX 0.0.0.0 als Gegenstelle?