Wordo

Du loggst dich ueber Hyperterminal an der Console an und gibst die paar Befehle ein: deb ppp neg deb pppoe er deb pppoe ev Dann kannste ja mal das Kabel ziehen und wieder einstecken. Schau dir die Meldungen an und mit copy+paste klatscht dus hier rein ;)

Den debug vom anderen Post haette ich gern gesehn ..

Woher weisst du das die Verbindung nicht steht? Du hast ja nicht mal NAT aktiviert ;)

Auf der Console: deb ppp neg deb pppoe ev deb pppoe er ter mon Abschalten wieder mit "undeb all" und "ter no mon"

conf t dialer list 1 protocol ip permit exit Das wars ..

Also bei GlobalKnowledge kostet das BC knapp 3000. Der ICND allein kostet 2300. Also ich finds nich so teuer eigentlich. Ausserdem entscheidets ja der Chef :D

Da wird dir der komplette Stoff reingepresst. Von 8 Uhr morgens bis 8 Uhr abends wenns sein muss, zumindest hab ichs so gehoert. Hab das Bootcamp nie mitgemacht.

Hi, ich will auf meinem LNS das hier aktivieren: http://www.cisco.com/en/US/customer/products/ps6566/products_feature_guide09186a0080610dad.html#wp1081399 Pro User will ich explizit im Radius angeben ob dem seine Leitung QoS macht oder nicht. Problem an der Sache ist, die DSLs werden mir per L2TP zugefuehrt und ich kann auf Virtual-Access IFs keine CBWFQ machen. Wenn ich das aktiviere kommt folgende Meldung im Debug: *Mar 27 10:39:49.747: AAA/AUTHOR: Processing PerUser AV sub-qos-policy-out *Mar 27 10:39:49.747: Vi2 AAA/PER-USER: Could not set output QoS policy to VOIP_TRAFFIC Wenn ich die policy-map z.B. mit police fuelle (und nicht mit priority) so wie im Dokument beschrieben funktioniert das auch. Jetzt meine Frage, mach QoS fuer VoIP ohne CBWFQ eigentlich Sinn? Was waere da am sinnvollsten? THX

Sorry, mein Fehler, pppoe Zeugs muss bei 831 auf Ethernet1, sprich dein Outside. Hab das vorher verwechselt.

Was ist das fuer ein Routermodell?

DPD (Dead Peer Detection) erkennt ob ein Peer down ist und versucht die Verbindung neu aufzubauen bzw loescht sie (ist einstellbar). Bei PIX ist es glaub ich irgendwas mit "isakmp keepalive" oder so ...

Dann solltest du wirklich mit deinem Provider mal reden, bzw dir den Post von weg5st0 naeher zu Gemuete fuehren. Wenn mal ne dicke Mail reinkommt oder jmd was runterlaed haste praktisch verloren. Ok, sind TCP Verbindungen, da gehts auch halbwegs mit eingehenden QoS, aber da kann hin und wieder mal n Woertchen beim Telefonat verschwinden :)

Laeuft der restliche Traffic wie SMTP und WWW auch uebers VPN?

831, 851 und 871 unterstuetzen alle PPPoE. Fuer die Teile bekommste eh kein so altes IOS wo PPPoE nicht unterstuetzt wird. Hier ne Config: interface FastEthernet4 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Dialer0 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username bla password bla ppp ipcp dns request ppp ipcp wins request ! Thats it .. EDIT: Das war jetzt von ner 851/871. Bei 831 waere es Ethernet0!!

Also vorm Neustart der PIX koenntest du das VPN clearen, oder du aktivierst DPD (wenns mit PIX geht). Dann sollte das kein Problem sein. Ich geh mal davon aus das die PIX (welche nicht vom Neustart betroffen ist) nicht mitbekommt das die Session neu verhandelt werden muss und nimmt den Aufbau nicht an.

Da wuerd ich dann das CCNA-Bootcamp vorschlagen :D

Das geht mit Netlimiter: NetLimiter - Download Kann des Traffic pro Prozess einschraenken, zeigt ihn aber auch immer an soweit ich mich erinnern kann.

1. %PIX-6-720032: (VPN-unit) HA status callback: id=ID, seq=sequence_#, grp=group, event=event, op=operand, my=my_state, peer=peer_state. This is an informational message generated by VPN failover subsystem when a status update is notified by the underlying failover subsystem. unitEither "Primary" or "Secondary" IDClient ID number. sequence_#Sequence number. groupGroup ID. eventCurrent event. operandCurrent operand. my_stateThe system's current state. peer_stateThe current state of the peer. Recommended Action: None required. Related documents- No specific documents apply to this error message. 1. %PIX-6-720037: (VPN-unit) HA progression callback: id=id,seq=sequence_number,grp=group,event=event,op=operand, my=my_state,peer=peer_state.unitEither "Primary" or "Secondary."idClient id.sequence_numberSequence number.groupGroup id.eventCurrent event.operandCurrent operand.my_stateCurrent state of the system.peer_stateCurrent state of the peer. This is an informational message reporting the status of the current failover progression. Recommended Action: None required. Related documents- No specific documents apply to this error message. Sieht so aus als waere es in einer Active-Standby Umgebung per default aktiv. Link: http://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi

"VPN 25" ist ein Bintec Produkt? Wenn ja wuerd ich auch als Router die Bintecs nehmen (vorrausgesetzt die koennen QoS)

Vielleicht kannst du bei der ASA sagen sie soll beim enrollen das interne IF als Source nehmen, dann wuerds in den Tunnel passen. Das siehst du nur nie weil der Typ Tunnel default ist.

Wenn der Typ Tunnel ist, dann wird die externe IP der ASA nicht "in den Tunnel" passen, somit erreichst du auch nicht den Zertifikatsserver.

Hast du nen zentralen VPN-Server der auch QoS kann oder machst du Vollvermaschung (oder Hub'n'Spoke)? QoS kann ja mittlerweile fast jeder Router (zumindest behaupten sie das von sich)

Fuer die Cisco-Reihe wuerdest dann auch noch gleich im Cisco-Forum Support bekommen :cool: Was haste denn vor mit den Teilen?

Nein, das ist ja dann eine dynamic-map fuer 0.0.0.0 ... da gilt fuer jeden Client dasselbe.

PIX v6 oder v7? Also ich hab hier mal ne ASA Konfiguration: crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto map outside_map 20 match address outside_20_cryptomap crypto map outside_map 20 set pfs crypto map outside_map 20 set peer ip1 crypto map outside_map 20 set transform-set ESP-3DES-MD5 crypto map outside_map 40 match address outside_40_cryptomap crypto map outside_map 40 set pfs crypto map outside_map 40 set peer ip2 crypto map outside_map 40 set transform-set ESP-3DES-MD5 crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 tunnel-group ip1 type ipsec-l2l tunnel-group ip1 ipsec-attributes pre-shared-key * tunnel-group ip2 type ipsec-l2l tunnel-group ip2 ipsec-attributes pre-shared-key *