Wordo

Kannst du bitte die Konfiguration von ATM0 und dem Dialer IF posten ...

Ich hab mal welche zu ner PIX aufgebaut. Da gibts nicht viel zu beachten. Einfach die Basics konfigurieren und gut is'. Denke nicht das sich zur ASA in der Richtung viel getan hat. crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto map mymap 10 ipsec-isakmp crypto map mymap 10 match address Freeswan crypto map mymap 10 set peer 1.1.1.1 crypto map mymap 10 set transform-set myset crypto map mymap interface outside isakmp enable outside isakmp key ******** address 1.1.1.1 netmask 255.255.255.255 no-xauth no-config-mode isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 28800 So wars bei der PIX. Im Freeswan musste ich PFS deaktivieren (kein Default!) EDIT: Access-list musste halt noch anpassen ...

Ausgegraut heisst ja nur das du nichts verstellen kannst. Hast du auch Zugriff zum VPN Server damit man sich das mal anschauen kann? Gehts von einem anderen OS / PC mit deiner Kennung?

Du vergibst den Clients ein anderes Netz! Wenn dein LAN 10.0.0.0 hat, gibst du den Clients 10.0.1.0. Dann brauchst du nur eine poplige ACL fuer 10.0.1.0 -> 10.0.0.0. Fertig. Reibungslos funktioniert das natuerlich nur wenn das LAN die PIX als Standardgateway eingetragen hat.

Bezieht sich nur auf den BSCI http://www.mcseboard.de/cisco-forum-allgemein-38/ccnp-updates-96211.html

I.d.R. erhaelst du eine Teilnahmebestaetigung (da steht glaub ich Zertifikat drauf?) und kannst optional zu dem Kurs einen anschliessenden Test dazubuchen. Da gibts auch Bundleangebote je nach Anbieter ..

Ne, du loeschst es aus der laufenden Konfiguration. Nach nem Reload ist das aber wieder drin. Deswegen musst du die Aenderungen abspeichern ;)

Wenns funktioniert solltest du am Ende das ganze noch mit "write mem" speichern :)

Also in der Konstellation hab ich es selbst noch nicht gemacht. Mit PIX hab ich auch sehr wenig Erfahrung. So wuerd ichs machen: http://www.cisco.com/en/US/customer/products/hw/vpndevc/ps2030/products_data_sheet09186a0080091b13.html "Companies can also improve their overall network resiliency by taking advantage of the robust Open Shortest Path First (OSPF) dynamic routing services provided by Cisco PIX Security Appliances, which can detect network outages within seconds and route around them." Ich wuerde zwischen den 2 876ern und der PIX OSPF aktivieren, auf den 876 natuerlich noch RRI damit die VPN Routen ins OSPF eingespeist werden. Auf der "Client"-Seite musst du nix machen, bis auf das Backuppeer eintragen.

Fuer sowas verwendet man dynamisches Routing. Was ist das fuer eine Firewall dahinter und was fuer Routermodelle hast du in der Zentrale?

conf t no access-list acl_abc_in permit icmp any any no access-list acl_abc_in permit tcp any host server009 eq 617 no access-list acl_abc_in permit tcp any host server009 eq 631 no static (inside,outside) tcp server006 www IP_ADRESSE www netmask NETZMASKE 0 0 exit So sollte das eigentlich funktionieren :)

Du setzt ein "no" vor die Befehlszeile? Poste doch mal den Part den du loeschen willst ...

Dumm wirds halt wenn die Clients nich alle Ciscos sind. Dann muesstest du von extern auf den Server was machen. Hab das jetzt noch nicht getestet wie lang da der Login dauert wenn ich vom Server die Session cleare

Klar, mit "kron": conf t clock timezone MET 1 clock summer-time MET-1DST recurring last Sun Mar 2:00 last Sun Oct 3:00 kron occurrence nightly at 23:59 recurring policy-list nightly exit kron policy-list nightly cli clear pppoe all exit ntp server <ip> exit Hier wird erstmal die Zeit korrekt festgelegt. Bei NTP-Server solltest du einen Server noch aussuchen. Gibt genuegend davon. Das "kron" sagt dass er immer um 23:59 Uhr das Kommando "clear pppoe all" eingibt. Das geht jetzt natuerlich auch nur mit PPPoE ;) EDIT: Das muss auf der Clientseite gemacht werden!

Complete Cisco VPN Configuration Guide, The - $60.00 Behandelt dann auch nur Ciscoprodukte (in Englisch!)

Poste mal die Config von einer PIX bitte ...

Ich sag jetzt einfach mal die 20 Sekunden sind im IOS fest codiert. :cool: Da gibts nichts zu tunen

Und wie hast du getrennt? Mit welchem Kommando?

Die Cisco wo die Sessions drauf terminieren.

Aber wieso sollen sich die User einwaehlen wenn schon eine Site-to-Site Verbindung besteht?

Machen die User hinter den PIXen VPN (VPN Client) oder PIX zu PIX, eine Client, die andere Server?

Du koenntest auf dem LNS mal die Session manuell killen und nicht durch Session Timeout auslaufen lassen. Wenns dann schneller geht koennte man was scripten.

Hmmm .. ich habs mal bei mir auf 2 Minuten gestellt und bei mir dauerts auch 20 Sekunden. Ich denke das ist schon OK so wenn du als terminate cause Session Timeout oder Lost Carrier hast. Feb 15 15:51:18.649: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di0 Feb 15 15:51:18.657: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down Feb 15 15:51:19.393: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to down Feb 15 15:51:40.745: %DIALER-6-BIND: Interface Vi1 bound to profile Di0 Feb 15 15:51:40.749: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up Feb 15 15:51:42.393: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up

1022 IPs stehen dir zur Verfuegung. Bei 500 IPs wuerde auch 255.255.254.0 gehen. Das waere dann 0.0 bis 1.255

Hae? Du wirst jetzt also alle 5 Minuten zwangsgetrennt? Kannst du das deinem Provider sagen oder wie?