Wordo

Aeh .. ja .. hab das "und bei NAT zusaetzlich" erst nach Fertigstellung des Satzes eingefuegt. Da isses natuerlich Schwachsinn. Also: 500 UDP 4500 UDP Proto 50 (ESP)

Port 500 UDP und bei NAT zusaetzlich 4500 UDP und Protocol ESP (50). Protocol AH lass ich mal bewusst weg ...

Du willst das aber fuer line vty 0 4 einrichten und nicht fuer die Konsole oder?

Hui, wie sieht das denn aus? Also die conf's die ich den Clients mitgeb sieht so aus: ### client dev tap proto udp remote vpn.host.de 1194 nobind persist-key persist-tun cipher AES-256-CBC comp-lzo auth SHA1 persist-key persist-tun mssfix 1300 ca RootCA.cer cert user-vpn.cer key user-vpn.key comp-lzo ###

Ah ja, wenn du in MUC bist sorg ich dann fuers passende Abendprogramm :p :p :p

Zum Beispiel die Sicherheit des Clients und Servers. Um den verschluesselten Traffic abzufangen muss man entweder Zugang zum Client oder Server haben (sehr wahrscheinlich) oder auf einer Kiste dazwischen haengen (eher unwahrscheinlich). Oder du hast einen im LAN der dich sabotiert (dann haste aber noch viel groessere Probleme). Es ist viel wahrscheinlicher das du dich mit nem Trojaner infizierst, deine Session durch ARP Poisoning gehijacked oder der Server kompromitiert wird, als das die verschluesselten Pakete decodiert werden.

Sicher? Also bei Juniper weis ich das man keine braucht, aber die Kiste kostet auch 10000 EUR ...

Das reicht vollkommen! Die Leute welche das Howto geschrieben haben werden sich da sicherlich ausreichend Gedanken darueber gemacht haben welchen Wert sie "vorschlagen". Die Bitlaenge des Keys ist auch nicht das einzig entscheidende.

Das geht zu Lasten der Performance. Hab bis jetzt auch noch nie mehr als 4096 bit in Produktivumgebungen gesehn ...

Wie sieht denn die aktuelle Konfiguration aus?

Da hab ich einmal ne 515E konfiguriert, hat ne viertel Stunde gedauert und seitdem nicht mehr angefasst, in der Tat, da ist die Session nicht abgeschmiert :p

Probier das hier mal: access-list outside_cryptomap_dyn_20 extended permit ip <bla> <bla2> crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20 crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5 crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside isakmp key ******** address 0.0.0.0 netmask 0.0.0.0 no-xauth isakmp enable outside isakmp policy 20 authentication pre-share isakmp policy 20 encryption 3des isakmp policy 20 hash md5 isakmp policy 20 group 2 isakmp policy 20 lifetime 86400 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 Ist allerdings ungetestet :) EDIT: Hier ist noch n netter Link zu dynamic-maps http://www.cisco.com/en/US/customer/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a008017278c.html#wp1044457

Also ich hab mal bisschen was mit SDM und ASDM (fuer ASA) gemacht. Fand ich beide nicht so prickelnd weil die immer wieder abschmieren. Und wenn du das Programm beendest schliessen sich alle Browserfenster. Total daemlich. Wenn du dann den Firefox startest und sagst er soll die Session wiederherstellen dann gehts von vorne los. :)

IE6.0, Java endabled, und viiiiiel Geduld. Dann sollte es gehn.

Ich glaub du hast dich mit den Abkuerzungen vertan, oder was soll das fuer eine Sim sein in der STP und OSPF gemischt werden?! Meinst du nicht eher Route Bridge und Backup Route Bridge statt Desginated und Backupdesignated Router?

Sorry, den Post hab ich wohl uebersehn, Config liefere ich heut nach muss grad noch was raussuchen/testen :)

Cisco Catalyst 4500 Series Switches Configuration Guides - Cisco Systems Catalyst 4500 Series Software Configuration Guide, 8.1 [Cisco Catalyst 4000 Series Switches] - Cisco Systems Musst halt schon was bei dir drauf laeuft ..

Also irgendwie hab ich die Befuerchtung die Kiste ist total im *****. Nimm sie mal komplett vom Strom und wart bisschen. ROMMON sollte i.d.R. schon gehen ...

<quote zu faul> ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA4 match address 105 crypto dynamic-map SDM_DYNMAP_1 2 set transform-set ESP-3DES-SHA5 reverse-route ! ! crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_3 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_3 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! </quote zu faul> Die 105er is keine dynamic .. crypto map SDM_CMAP_1 10 ipsec-isakmp set transform-set ... set pfs group2 match address 105 crypto map SDM_CMAP_1 20 ipsec-isakmp dynamic SDM_DYNMAP_1 So circa sollte das aussehen.

DynDNS fals die PIX das beherrscht. Ansonsten sagst du den Leuten die sollen halt irgend ne Seite ansurfen mit IP-info. Keine Ahnung wie die heissen ... Da .. sowas: heise Netze - My-IP-Service

Poste mal die Konfiguration bitte ..

Ich glaub du hast den Easy VPN Server falsch konfiguriert. Wie stellen denn die Clients von daheim das VPN her? Mit Cisco Router oder VPN Clients?

Du brauchst bei einem VLAN und "Mininetzwerk" keinen Trunk. Wie gesagt, wenn mind. 1 Switch Autouplink beherrscht ist das Kabel egal. Steck rein was du magst ;) Geht denn die Verbindung ueberhaupt? (orange hin oder her) Kabel zwischen den Switchen, Client in Switch1, Client in Switch2, Ping von Client zu Client und dann schauen ob die MAC im Client steht (arp -a bei Windows)

Wenn der 3Com Autouplink hat dann ist es egal welches Kabel du einsteckst. Leuchten die LED's immer orange oder werden die nach 30-50 Sekunden wieder gruen? Trunk ohne VLANs find ich irgendwie sinnlos. Uplink und fertig :)

Fuer einen Backuptunnel setzt man i.d.R. ein 2tes Peer in der crypto map, anstatt mehrere crypto map's zu erstellen.