jussi

Und das Funktioniert nur teilweise, weil er aus mir unersichtlichen Gründen die Server nicht erreicht.

Ich erreiche sie von meinem PC und von der cisco cli, ebenso habe ich via ACL den DNS Dienst freigeschalten, dennoch hapert es an der Namensauflösung.

 

bind falsch konfiguriert oder maschine auf dem der bind läuft hat keine df route...

Otaku, das habe ich gestern in der eile ganz vergessen: DANKE für deine Geduld!

hmm die route(n) haben es gebracht, aber das ist für mich total unverständlich.

 

1. habe ich doch eine access-liste die benennt was in den tunnel soll und ich habe ein tunnel peer, für alle anderen vpn konzentratoren diese welt ist doch damit die route klar...

 

2. konnte ich einige hosts im lan auch ohne diese route erreiche, aber das war offensichtlich wegen einer randbedingung die mir nicht bekannt war (host war geliefert vom tunnelpartner und der hatte hostrouten...

 

insgesamt eine mischung aus "ich habs nicht drauf" und "never trust the customer, no exceptions"

ich möchte nicht natten dazu habe ich folgendes gemacht:

 

nat (inside) 0 access-list remote_site

 

und remote_site ist ne access-list welche die remote lans beinhaltet.

 

aber was mich viel mehr wundert. da ich ja nicht natte brauche ich doch eigentlich routen, doch ich kann die routen zu den remote lans nrgends finden, was bedeutet die asa wird das über die df route abfackeln, welche sich auf dem falschen interface befindet.

ich kenne einige andere vpn konzentratoren, da kommt die remote lan route automatisch mit dem tunnel hoch, falls das nicht so ist bei der asa, wie sieht die remote lan route dann aus?

 

zielnetz / maske > auf tunnel gegenstelle oder auf interface oder wie?

hallo, danke für die antwort,

 

grundsätzlich hast dui recht, aber der tunnel steht wie gesagt, für jedes netzt existieren separate sas.

 

es ist 100% ein FW / acl problem, auf der gegenseite ist alles erlaubt.

 

habe jetzt mal den von dir genannten schalter sysopt connection permit-vpn gesetzt aber trotzdem geht nicht alles durch

der tunnel bestand und traffic ging hindurch.

 

dann habe ich ein zusätzliches if hochgenommen, und die folgenden 3 schritte gemacht:

 

1) hostroute zum tunnel partner setzen

2) crypto map OUTSIDE_MAP geschwenkt

3) crypto isakmp enable ebenfalls aufs neue interface geschwenkt.

 

der tunnel ist vollständig oben, d.h. ike und ipsec sa sind established.

 

jetzt möchte ich die FW regeln anpassen.

----------------------------------------------------------

ich hatte zuvor im wesentlichen 2 acls gehabt für 2 interfaces:

 

access-group outside_access_in in interface outside

access-group inside_access_in in interface inside

 

nun habe ich eine weitere gemacht und an das neue vpn interface gebunden

 

access-list vpn_access_in extended permit ip object-group vpn_netze <lokalesnetz> <maske>

 

dieses loch ist ziemlich gross aber es sollte doch erst mal alles durch. aber es geht leider nicht alles durch. partner seite ist alles gut, nun meine fragen als asa noob:

 

1) wie kann ich mit logging monitor nur acl verletzungen angezeigt bekommen.

2) die existierenden acl sind aufgrund diverser konfigurations artefakte sehr unübersichtlich, bestehen aber nur aux "IN" listen wo wird entschieden was raus darf, oder ist das aufgrund von stateful inspektion eh klar?

 

fakt ist ich kann einige hosts im lokalen lan per ping durch den tunnel erreichen andere nicht und in den listen findet sich dahingehend KEINE unterscheidung

danke. genau das habe ich gesucht. vor allem die speicher requirements

Hallo kann mit jemand einen hilfreichen Tip (Link) geben wie/wo ich in endlicher Zeit herausfinden kann welche moderne IOS Verison auf einem alten Cisco 4700 laufen würde?

 

cisco.com ist etwas.... unübersichtlich :-/

glady,

 

binde doch mal de den dialer pool direkt an ein eth läuft bei mir einwandfrei

bei 1 ist E) deshalb falsch,

 

weil durch das setzen auf einem switch natürlich kein anderer abgehalten wird irgend einen schrott zu senden, sondern nur den so konfigurierten davon abhält die infos anzunehmen. also a richtig, e falsch!

ich hab mich in meiner 1. antwort nicht korrekt ausgedrückt:

 

das problem ist zu. es hat nie existiert. der switch und das modul haben alles richtig gemacht. problem existed between keyboard an chair!

 

ich hatte an ein gbic 1000Base T mehrere nicht gigabit fähige geräte angeklemmt in der annahme das das dann eben auf 100 mbit runter regelt. das ist nicth der fall. an einem solchen modul MUSS gigabit ankommen, fasht ethernet geräte werden nicht unterstützt.

 

das nur noch zur info. danke trotzdem.

die dinger kommunizieren nur mit gigabit komponenten, nicht mit 10er oder 100er geräten.

Hat hier noch jemand schlechte Erfahrung mit den chinesischen Nachbauten der 1000Base-T Gbic Module von Prolabs ?

 

Laufen nicht in meinen 3508 er Switchen.

danke schön. Au weia.... das sind aber keine hard caps sondern irgendwelche worst case mediane, oder? ich meine ich hätte schon mehr gehabt als 6.14 nur eben noch nie mehr als 10.

Hallo,

 

scheinbar kann mein 1721 nur 10 mbit/s obwohl es fastethernet ports im switchmodul hat:

-------------------------------

Cisco IOS Software, C1700 Software (C1700-IPBASEK9-M), Version 12.4(15)T4, RELEASE SOFTWARE (fc2)

Technical Support: Cisco - Shortcut

Copyright © 1986-2008 by Cisco Systems, Inc.

Compiled Thu 13-Mar-08 00:01 by prod_rel_team

 

ROM: System Bootstrap, Version 12.2(7r)XM2, RELEASE SOFTWARE (fc1)

 

xxxxx uptime is 24 weeks, 3 days, 3 hours, 30 minutes

System returned to ROM by Reload Command

System image file is "flash:c1700-ipbasek9-mz.124-15.T4.bin"

 

[...]

 

Cisco 1721 (MPC860P) processor (revision 0x400) with 114688K/16384K bytes of memory.

Processor board ID FOC08202XHT (1447131895), with hardware revision 0000

MPC860P processor: part number 5, mask 2

1 Ethernet interface

5 FastEthernet interfaces

1 Serial(sync/async) interface

32K bytes of NVRAM.

32768K bytes of processor board System flash (Read/Write)

----------------------------------------------------------------------------------------

 

interface FastEthernet0

description dtag etherconnect auf xxxxx

ip address xxxxxxxxxxxxxxxxx

speed 100

full-duplex

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

description isis

switchport access vlan 3

!

interface FastEthernet4

description QSC

switchport access vlan 4

!

interface Serial0

description T_COM Backup

ip address xxxxxxxxxxxxx

no ip redirects

no ip unreachables

no ip route-cache cef

no ip route-cache

no ip mroute-cache

!

interface Vlan1

no ip address

!

interface Vlan2

!

interface Vlan3

description ISIS

ip address xxxxxxxxx secondary

ip address xxxxxxxxx

!

interface Vlan4

description QSC

ip address xxxxxxx

!

no ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 aaaaaaaa

ip route 0.0.0.0 0.0.0.0 bbbbbbbb 200

ip route zzzzzzzz wwwwwwww yyyyyyyy

 

-------------------------------------------------

 

das betreffende interface macht lt cisco 100 full:

 

MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

reliability 255/255, txload 4/255, rxload 5/255

Encapsulation ARPA, loopback not set

Keepalive set (10 sec)

Full-duplex, 100Mb/s, 100BaseTX/FX

 

 

------------------------------------------------

 

das interface hängt an einem metropolis der DTAG , auf der anderen seite ist ein 2950 mit vlan, der wiederum an der routing ggstelle ist.

 

drüben steht auch alles auf 100 mbit, wenn ich alles abbaue und an beiden seiten der dtag etherconnect leitung ein laptop hänge bekomme ich volle 48 mbit (das produkt der dtag ist etherconnect 50 mit 48 mbit/s)

 

sobald die ciscos dranhängen nur noch 10...

 

 

hat jemand einen guten Vorschlag?

 

Danke im voraus

Danke für deine Antwort. Diese Möglichkeit habe ich genau so auch erwogen. Allerdings verstehe ich dann nicht was der RouterGod Trinity Explains The IP Helper-Address Command schreibt, nämlich dass man entgegen den angaben von herrn gates KEINEN eigenen DHCP pro subnetz braucht.

 

Wenn wir mal VLANs vollkommen aussen vor lassen und nur irgendwelche getrennten Netze betrachten: Woher weiss der gemeinsam genutzte DHCP Server mit Bereichgruppierungen welche Ips er welchen Anfragen zurücksenden soll?

–

stop! ich habs begriffen! mittels dhcp-helper config kommt die anfrage an den dhcp immer mit der IP des interfaces auf dem es konfiguriert ist, das kann man dann schon auswerten und eben verschiedene sinnvolle dhcp infos zurückliefern

eine sternförminge Verabelung. in den (z.T. kaskadierten) Abteilungen gelten jeweils verschiedene IP Subnetzte innerhalb der VLANs die am zentralen 3550 portbased GIG-E Ports konfiguriert sind. Die Rechner in den Abteilungen sollen nun von festen IPs auf DHCP umgestellt werden.

 

Wie ich aus den verschiedenen Subnetzen den DHCP Server mittels dhcp-helper address konfiguriere ist mir klar. Aber ich begreife nicht, was/wie der DHCP Server etwas sinnvolles zurückliefert. Wenn Laptop Client A in Abteilung A an Switch-A1 sich einsteckt muss er doch 1.2.A.x bekommen, wenn er sich in Abteilung B befindet muss er sich in Switch B1 einstecken und 1.2.B.x bekommen. Und das jeweilige Gateway muss auch anderes sein (jeweils das Interface am zentralen 3550.

 

Ich kapiere nicht wie ip-roaming und VLAN zusammen gehen.

 

Danke im voraus für evtl. input.

danke für deine antwort.

 

die einstellung ist derzeit auto. irgendwelche festverdrahtungen in der config lässt die leitung zusammenbrechen. die gegenstelle (am anderen metropolis sind manuell 100/half und es funktioniert ohne jeden fehler (das ist aber ein 2950, kein c1700), sollte ich evtl mal auf der problemseite einen kleinen switch zwischen c1700 und den metropolis stellen?

schaut euch mal bitte die fehler unten an. ohne traffic shaper sind die fehler exakt gleich häufig. die übrigen interfaces des routers (C1700) sind ohne fehler.

Fa0 treibt die externe leitung. wenn mehr druck auf der leitung ist werden die fehler entsprechend mehr. ich weiss nicht wie ich das weiter debuggen soll. das gerät an fa0 ist ein metropolis der datag der eine etherconnect 100 leitung durch die DTAG glasfaser schubst. am anderen ende der leitung steht wieder ein metropolis, dann ein vlanswitch von uns. auf dem vlanswitch ist alles ok, auf dem router hinter dem vlanswitch auch. auf beide metropolis geräte habe ich keinen zugriff drauf, die datag sagt die leitung sei sauber... soll ich nun im trial and error verfahren die interface einstellungen raten?

 

auf applicationsebene ist natürlich die bandbreite geringer als sie sein müsste und bestimmte vpn geschichten brechen zu häufig ab als dass man darüber hinwegsehen kann.

 

hat jemand ne idee? liefere gerne noch debug output nach falls jemand einen einfall hat, danke im voraus

 

FastEthernet0 is up, line protocol is up

Hardware is PQUICC_FEC, address is 0011.20c2.2356 (bia 0011.20c2.2356)

Description: xxxxxxxxxxxxxxxxxxxx

Internet address is xxxxxxxxxxxxxxxx

MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

reliability 253/255, txload 2/255, rxload 3/255

Encapsulation ARPA, loopback not set

Keepalive set (10 sec)

Half-duplex, 100Mb/s, 100BaseTX/FX

ARP type: ARPA, ARP Timeout 04:00:00

Last input 00:00:00, output 00:00:00, output hang never

Last clearing of "show interface" counters 3w0d

Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

Queueing strategy: Class-based queueing

Output queue: 0/1000/64/0 (size/max total/threshold/drops)

Conversations 0/2/256 (active/max active/max total)

Reserved Conversations 1/1 (allocated/max allocated)

Available Bandwidth 41000 kilobits/sec

5 minute input rate 1528000 bits/sec, 357 packets/sec

5 minute output rate 1081000 bits/sec, 359 packets/sec

285412181 packets input, 83506266 bytes

Received 126806 broadcasts, 0 runts, 0 giants, 0 throttles

12319 input errors, 0 CRC, 0 frame, 12319 overrun, 0 ignored

0 watchdog

0 input packets with dribble condition detected

262836706 packets output, 3137262549 bytes, 9 underruns

1963031 output errors, 1379310 collisions, 1948159 interface resets

0 babbles, 1963022 late collision, 5028374 deferred

0 lost carrier, 0 no carrier

0 output buffer failures, 0 output buffers swapped out

 

 

das log sieht so aus:

 

*Jul 11 03:26:27.201: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:27.633: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:27.829: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:28.673: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:29.201: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:29.605: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:29.641: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:30.377: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:30.589: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:32.237: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:32.745: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:32.837: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:33.745: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:34.241: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:34.789: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:35.401: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:35.465: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

*Jul 11 03:26:37.569: %PQUICC_FE-5-LATECOLL: PQUICC/FE(0/0), Late collision

hmm, muss entweder ein hwic gewesen sein oder ich hab das geträumt.

 

Otaku19, dein vorschlag ist grundsätzlich richtig, aber auf dem gleichen (physikalischen) interface mekert er immer wenn der vc schon bereits vergeben wurde.

vom carrier gibts 2 verschiedene 2 mbit leitungen mit verschiedenen vpi/vcis diese leitungen sind zu völlig verschiedenen zeitpunkten angeschafft worden. zur bündelung benutzen wir "normalerweise" einen router mit 2 wic1-shdsl controllern dann gibts halt controller dsl 0 und controller dsl 1 mit entsprechend den subinterfaces atm0.1 atm0.2 bzw atm1.1 atm1.2

 

 

aber hier kommt eben nur ein controller zum einsatz, ich bin mir sicher, dass ich das schon irgendwo gelesen habe, aber ich finde es nicht mehr, jemand ne idee wie das geht?

ja hab ich mir gebastelt :-P

 

TAE 1 pin 3+4

TAE 2 pin 2+5

 

sollte nach der doku des wic kein problem sein, ich kann nur der 2. leitung keine vpi/vci parameter geben, weil ich sie buchstäbluch nicht in der konfig ansprechen kann

hallo kann mir jemand sagen ob und wie ich das anstelle?

 

ich habe physikalisch nur ein wic1-shdsl und muss auf beiden leitungen verschiedene vpi/vcis einrichten

 

dsl 0

mode atm

line-term cpe

line-mode 4-wire enhanced <-- korrekt?

dsl-mode shdsl symmetric annex B

line-rate 4608 <--- ist das korrekt? ich will ja eigentlich 2x2mbit

 

wie konfigureire ich dann die beiden leitungen ( die atm interfaces) denn ich kann nur eines uppen

 

ATM0

(und entsprechend

ATM0.0

ATM0.1

 

das ist aber erst due erste leitung

Bump/ Hat hier noch jemand eine Idee?

hi wordo,

 

sobald der dialer oben ist hab ich ein massives mtu problem. die route war testweise mal runter, aber ich war mir vorher schon sicher, dass darüber im falle von mindestens einer ATM Leitung vorhanden, kein traffic fließt.

 

könnte die eingesetzte hardware ein problem sein?

der cisco hat ja nur ein (fa)eth interface dieses ist nun mit einem switch/hub (ich weiss nicht mal was der kunde da benutzt hat) verbunden und darein gehen das adsl modem und das LAN.

–

ich habe das hier geändert/zusätzlich eingetragen:

 

ip mtu 1492

ip tcp adjust-mss 1452

 

scheint die wende zu bringen

–

update:

Nein, das war es nicht. :-(

 

muss die MTU des Fastethernet Interfaces (welches ja das physikalische interface des Dialer ist) die gleiche MTU und MSS haben wie der Dialer?

 

Hier wird kein Nat gemacht oder ähnliches. Das geschiet hinter dem Router an der Kunden FW.