Wordo

Und ein Ping von der Linux geht auch aus dem richtigen VLAN IF raus?

Was sagt denn der gute alte tcpdump? Wie testest du, und von wo pingst du?

alles abgekuerzt: isa en out isa pol 10 enc aes isa pol 10 ha sha isa pol 10 gr 5 isa pol 10 auth pre acc nonat per ip 192. bla nat (in) 0 acc nonat cry ips trans mytrans esp-aes esp-sha-hmac cry dynam dynmap 10 set transf mytrans cry map statm 999 ips dyna dynmap cryp map statm int out sysopt conn permit-ipsec cry map statmap client auth (local?) cry map statmap clien conf address respond ip local pool remotepool ip blabla acc slittunnel permit ip ip blabla vpng smallgroup addre remotepool vpng smallgroup password blalba vpng smallgroup dns-server ipbla vpng smallgroup split-tun splittunnel vpng smallgroup idle-time 600 Authentfizierung war mit Radius, denk mal mit local und lokalen Usern gehts auch

Fuer PIX 6.X oder 7.X? Dann tipp ichs aus "The Complete Cisco VPN Configuration Guide" ab. Hab bei PIXen keine Routine ... :)

Klar, EasyVPN Remote kann bereits eine 501 mit Version 6.2.

Ein Uplinkport ist Layer2, da gibts keine IP. Meinst du die Management-IP vom Switch der an der Gegenstelle des Uplinkports ist? Das geht nur ueber eine vernuenftige Doku oder mal testen ob du die Nachbarn in deiner CDP Datenbank drin hast (show cdp neighbors).

Du musst halt die Trunkports bzw. Uplinks in deiner Liste excluden. Erkennst eben daran wenn zwei oder mehr MACs hinter einen Port haengen.

Hast du die IP? Wenn ja, kannst du mal nen Telnet/SSH drauf versuchen. Ansonsten mit nem Consolenkabel, und als Software gibts noch den "PDM - PIX Device Manager", einfach mal bei Cisco.com suchen.

255/255 sind 100%, ja. Ich glaube nicht das man das anders sich darstellen lassen kann. Die Umrechnung ist ja nicht wirklich kompliziert ;)

Gabs bei den alten Kisten nicht noch den "squeeze flash:" Befehl? EDIT: Mist, einen Tick zu spaet :D ;)

Hab ich mir gestern Abend auch gedacht ... :cool: :D ;)

Hat sich erledigt .. mein toller Kollege hat die MSNs auf den NTBAs in der Liste vertauscht :rolleyes: :suspect:

Hi, ich hab hier 2 2610er mit nem 8ter BRI. Dann hab ich da noch 2 NTBAs, und von jedem geht ein Kabel in jeweils eine Cisco. Jetzt dachte ich mir das ich locker flockig auf jedem BRI einfach eine MSN eintrage und schon gehts. Aber da gibts wohl so einige Probleme. Hab jetzt schon alles mit isdn answer1, isdn caller, isdn calling-number etc versucht, aber der Call wird immer von beiden angenommen und wieder verworfen. Auch jetzt auch schon den "Cisco IOS Dial Technologies Configuration Guide" durchgewaelzt, aber da werden ja MSNs nicht mal erwaehnt. Jemand ne Idee? THX EDIT: Hier is noch n debug der auf beiden Kisten identisch aussieht *Mar 1 00:47:49.759: ISDN BR1/1 EVENT: service_queue_from_physical_layer: Recvd L1 prim 7 state is 3 *Mar 1 00:47:49.775: ISDN BR1/1 EVENT: service_queue_from_physical_layer: Recvd L1 prim 1 state is 3 *Mar 1 00:47:49.775: ISDN BR1/1 EVENT: isdn_sw_cstate: State = 4, Old State = 4 *Mar 1 00:47:49.787: ISDN BR1/1 SERROR: L2_Go: at bailout DLCB is NULL L2: sapi 63 tei 127 ces 0 ev 0x650 *Mar 1 00:47:49.904: ISDN BR1/1 SERROR: L2_Go: at bailout DLCB is NULL L2: sapi 0 tei 127 ces 0 ev 0x3 *Mar 1 00:47:49.904: ISDN BR1/1 EVENT: process_rxstate: ces/callid 1/0x2C calltype 1 HOST_INCOMING_CALL *Mar 1 00:47:49.908: ISDN BR1/1 **ERROR**: host_incoming_call: answer number not verified, Ignoring call: call id 0x2C from <calling-number> on B1 at 64 Kb/s Received called number/subaddress does not match configured numbers *Mar 1 00:47:51.787: ISDN BR1/1 SERROR: L2_Go: at bailout DLCB is NULL L2: sapi 63 tei 127 ces 0 ev 0x650 *Mar 1 00:47:53.706: ISDN BR1/1 SERROR: L2_Go: at bailout DLCB is NULL L2: sapi 0 tei 127 ces 0 ev 0x3 *Mar 1 00:47:53.710: ISDN BR1/1 EVENT: process_rxstate: ces/callid 1/0x2D calltype 1 HOST_INCOMING_CALL *Mar 1 00:47:53.710: ISDN BR1/1 **ERROR**: host_incoming_call: answer number not verified, Ignoring call: call id 0x2D from <calling-number> on B1 at 64 Kb/s Received called number/subaddress does not match configured numbers *Mar 1 00:47:53.786: ISDN BR1/1 SERROR: L2_Go: at bailout DLCB is NULL L2: sapi 63 tei 127 ces 0 ev 0x650

Ein Vorteil vom Router waere noch die i.d.R. vorhandene Hardware-Verschluesselung, hab ich im Datenblatt von der Kiste oben nix gelesen. Ansonsten kann der LANCOM auch nicht viel tolle Sachen die ihn jetzt hervorheben.

Hmmm .. also ehrlich gesagt faellt mir da nich mehr viel ein. Ausser vielleicht mal im Quarantaeneverzeichnis vom Virenscanner schauen ob da was gesperrt wurde?! Vielleicht entdeckt der beim taeglich/woechentlichen Scan irgendwas falsch und sperrts.

Auch nach einem Reboot?

Ja, totaler Quatsch, bin davon ausgegangen das 213.164.131. ein Class-C Netz ist :rolleyes:

Aber die Zertifikate werden dir in der Liste noch angezeigt?

Genau, dann lad sie einfach runter (ueber Browser) und installier sie per Hand. Also Start - Ausfuehren - mmc, dann Snapin hinzufuegen, Zertifikate, und dann fuer Computer und nicht lokalen User installieren. Dann kannste es ueber den VPN Client aus der Liste auswaehlen.

Ich behaupte mal der ICMP Redirect ist auf A geblockt (also eingehend), deswegen gehts von B und C aus ... Hast du da irgendwelche ACLs?

Besteht die Moeglichkeit den Installationsprozess aus dem VPN Client auszugliedern und selbst vorzunehmen?

Wie werden die Zertifikate denn installiert? Weiter, weiter, fertigstellen?

lol .. sorry fuer die spaete Antwort, aber den Text find ich einfach nur geil :D

Ganz einfach und grob erklaert: VLANs unterteil einen Switch in mehrere logische Switche. pVLAN (eingeschraenkt): ein isolierter Port kann nur mit einem einzigen Port sprechen, sprich du hast ein Subnet 10.0.0.0/24, Gateway .1, dann kann jeder Host nur mit 1 sprechen und nicht mit den anderen. Das machen z.B. Housinganbieter weil du alle Rechner in ein Netz stecken kannst.

Wobei nicht alle Trunking koennen. Der 2924XL kann z.B. VLANs aber keinen Trunk. Derselbe mit "-A" kanns wiederrum.