glady
-
Gesamte Inhalte
189 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von glady
-
-
Hallo,
ich würde gerne mehrere VPN-Tunnel auf einem Cisco Router überwachen, ohne dafür auf der Gegenseite eine IP-Adresse pingen zu müssen.
Gibt es eine Möglichkeit, dies mit snmp und z.B. Nagios umzusetzen?
glady
-
Habe die 8.2.2 / 6.2.5 aktiv, leider mit gleichem Fehler. Mir ist aufgefallen, dass die Anmeldung nach ca. 30 Min. wieder über Tacacs funktioniert.
Syslog sagt:
Jan 14 2010 12:16:18: %ASA-4-409023: Attempting AAA Fallback method LOCAL for Authentication request for user xy : Auth-server group ACSAUTH unreachable
Jan 14 2010 12:16:18: %ASA-6-113015: AAA user authentication Rejected : reason = Invalid password : local database : user = xy
Jan 14 2010 12:16:18: %ASA-6-611102: User authentication failed: Uname: xy
Jan 14 2010 12:16:18: %ASA-6-605004: Login denied from x.x.x.x/2276 to Inside:x.x.x.x/telnet for user "xy"
-
ASDM ist 6.2.3, mit 8.2.1 geht weder die ANmeldung mit ASDM noch die AnyClient-Anmeldung. Also grundsätzlich kein SSL mit 8.2.1 möglich.
-
Auch die version 8.2(1)11 hat ein Bug, das ich euch nicht vorenthalten möchte:
1. Console-Anmeldung auf die ASA per AAA Tacacs --> ok
2. ASDM-Anmeldung auf die ASA --> ok
3. Anyclient über outside --> ok
Nach der ASDM-Anmeldung funktioniert die Console-Anmeldung per AAA nicht mehr, es wird ein lokaler User verlangt. Anyclient über outside und ASDM-Anmeldung funktionieren weiterhin. Erst nach Reload kann man sich wieder auf Console mit AAA anmelden, bis man sich wieder per ASDM angemeldet hat...
glady
-
Das gibt es nicht... Habe nun die 8.2.(1)11 am Laufen -nun funktioniert die SSL-Anmeldung!!!
Reload hatte ich übrigens mit der 8.2.1 bereits durchgeführt, an der Konfig. keine Änderung.
Was programmieren die da bloss...
Danke für den Software-Tipp!
-
@ blackbox
8.2(1)11 hast Du wahrscheinlich vom TAC bekommen, oder?
Habe nun 8.2(1) aktiv. Vielleicht könnt ihr mir beim nächsten Problem helfen :-)
Ich kann mich nicht per ssl auf die Firewall aufschalten. outside nicht und inside auch nicht.
Habe bereits durchgeführt:
crypto key zeroize rsa
crypto key generate rsa modulus 1024
Half leider nicht.
Folgende Fehlermeldung erscheint im Syslog:
Dec 17 2009 15:28:59: %ASA-7-725014: SSL lib error. Function: SSL_GET_NEW_SESSION Reason: ssl session id callback failed
Danke und Gruß
glady
-
Ich habe jetzt mal testhalber die asa821-k8.bin getestet. FUNKTIONIERT!!!
Die 8.0.5 und 8.0.4 aktuell auf der Cisco Seite müssen defekt sein. Oder?
-
Auf der Cisco Seite habe ich unter der Rubrik 5510 runtergeladen.
Dateigröße 13934592 bytes
Wurde die Software vielleicht auf der Cisco Seite durcheinander gebracht?
Habe die Software frisch runtergeladen und vom TFTP-Server booten lassen. Gleiches Ergebnis! Software wird zuerst vom TFTP geladen. Anschließend Rebooting...
Info:
CISCO SYSTEMS
Embedded BIOS Version 1.0(11)2 01/25/06 13:21:26.17
Low Memory: 631 KB
High Memory: 256 MB
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 2578 Host Bridge
00 01 00 8086 2579 PCI-to-PCI Bridge
00 03 00 8086 257B PCI-to-PCI Bridge
00 1C 00 8086 25AE PCI-to-PCI Bridge
00 1D 00 8086 25A9 Serial Bus 11
00 1D 01 8086 25AA Serial Bus 10
00 1D 04 8086 25AB System
00 1D 05 8086 25AC IRQ Controller
00 1D 07 8086 25AD Serial Bus 9
00 1E 00 8086 244E PCI-to-PCI Bridge
00 1F 00 8086 25A1 ISA Bridge
00 1F 02 8086 25A3 IDE Controller 11
00 1F 03 8086 25A4 Serial Bus 5
00 1F 05 8086 25A6 Audio 5
02 01 00 8086 1075 Ethernet 11
03 02 00 8086 1079 Ethernet 9
03 02 01 8086 1079 Ethernet 9
03 03 00 8086 1079 Ethernet 9
03 03 01 8086 1079 Ethernet 9
04 02 00 8086 1209 Ethernet 11
04 03 00 8086 1209 Ethernet 5
Evaluating BIOS Options ...
Launch BIOS Extension to setup ROMMON
Cisco Systems ROMMON Version (1.0(11)2) #0: Thu Jan 26 10:43:08 PST 2006
Platform ASA5510
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Ethernet0/0
Link is UP
MAC Address: 001b.d589.72d6
ROMMON Variable Settings:
ADDRESS=1.1.1.1
SERVER=2.2.2.2
GATEWAY=3.3.3.3
PORT=Ethernet0/0
VLAN=untagged
IMAGE=asa805-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
tftp asa805-k8.bin@2.2.2.2 via 3.3.3.3
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[...]
Received 13934592 bytes
Launching TFTP Image...
Cisco Security Appliance admin loader (3.0) #0: Mon Nov 2 21:27:21 MST 2009
Loading...
Processor memory 177774592, Reserved memory: 20971520 (DSOs: 0 + kernel: 20971520)
Guest RAM start: 0xd4000080
Guest RAM end: 0xdd400000
Rebooting.....
Booting system, please wait...
CISCO SYSTEMS
Embedded BIOS Version 1.0(11)2 01/25/06 13:21:26.17
-
Kann es sein, dass die 8.X Software auf der ersten Generation ASA 5510 mit internem 256MB Speicher nicht läuft?
Wenn ich die 8.0(5) oder auch 8.0(4) boote, dann kommt die Kiste nicht mehr hoch. Auf dem Console-Port kann ich sehen, dass die ASA bis zum Punkt "Loading disk0:/asa805-k8.bin... Booting... Loading..." kommt und dann wieder bootet und von Vorne beginnt.
Erst wenn ich vom Rommon die 7.2(2) boote, kommt die ASA wieder hoch.
Nun habe ich eine Compactflashcard 1GB eingesteckt, disk1 formatiert, Software übertragen, Booteinträge konfiguriert und die ASA gebootet. Habe aber den gleichen Effekt auch mit der CF-Card!
Hat jemand eine Idee, was das Problem sein könnte?
glady
-
Hallo,
momentan wird die SSL-Client-Software auf einer ASA mit Software 7.2(3) genutzt. Um den Anyclient nutzen zu können, muss ja auf eine 8er Software aufgerüstet werden, soweit ich das in Erinnerung habe.
Frage, wäre unter der 8'er Software auch die Funktion des SSL-Clients weiterhin möglich? Dann wäre die Migration einfacher.
glady
-
Hallo,
was sollte beachtet werden, wenn man eine Windows-Domäne über dünne WAN-Leitungen über mehrere Standorte zieht? Ich weiß nur, dass die Windows-Protokolle sehr geschwätzig sind und vermute, dass die WAN-Leitungen belastet würden.
Gibt es ein Konzept von Microsoft für solche Fälle?
Details:
- 20 Standorte (teilw. 1 Mitarbeiter an einem Standort)
- Zugriff any to any
- ein zentraler Fileserver
Wieviele DC sollte es geben? Nur an der Zentrale? Dann findet doch ständige Kommunikation zwischen den Clients und DC's in der Zentrale statt?!
glady
-
Hallo,
kann mir jemand sagen, wie man folgende Anforderung am Besten umsetzt:
Server hat 4 Netzwerkkarten, welche auf den C6500 gesteckt werden. Alle 4 Netzwerkkarten sollen nun gebündelt werden, so dass man quasi 4 Gbit zur Verfügung hat.
Wie sieht die Konfiguration auf dem C6500 dafür aus?
Danke und Gruß
Glady
-
Was mich wundert, dass das Rekeying, nicht nach den definierten 28800 Sek., sondern nach 27366Sek. startet.
Meinste auf dem Router deb crypto ipsec oder auf der ASA? Auf dem Router läuft er schon, aber da sieht man so gut wie gar nichts...
Was meinst Du mit 255er Debug?
-
@blackbox
die Lifetime war bereits angepasst
Ich konnte weiter eingrenzen. Die Sessions gehen immer nach Rekeying der Phase 2 flöten.
Auf der ASA:
2009-05-01 08:19:30 Local4.Notice x.x.x.x May 01 2009 08:19:30: %ASA-5-713041: Group = x.x.x.x, IP = 88.79.244.4, IKE Initiator: Rekeying Phase 2, Intf outside, IKE Peer x.x.x.x local Proxy Address x.x.x.x, remote Proxy Address x.x.x.x, Crypto map (outside_map)
2009-05-01 08:19:46 Local4.Info x.x.x.x May 01 2009 08:19:46: %ASA-6-302014: Teardown TCP connection 1340969 for outside:x.x.x.x/3210 to inside:x.x.x.x/1119 duration 1:06:56 bytes 1225264 Tunnel has been torn down
Warum geht die Session beim IPSEC Rekeying verloren?
-
Das Outside2 ist das Interface Vlan4 und steht auf shutdown.
Relevante Parameter:
crypto map outside_map 10 match address outside_zentrale
crypto map outside_map 10 set peer 99.99.99.99
crypto map outside_map 10 set transform-set ESP-AES-256-SHA
crypto map outside_map 10 set security-association lifetime seconds 28800
crypto map outside_map 10 set security-association lifetime kilobytes 4608000
crypto map outside_map 10 set nat-t-disable
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto isakmp policy 10
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 43200 (aktualisiert)
group-policy DfltGrpPolicy attributes
vpn-idle-timeout none
user-authentication-idle-timeout 60
tunnel-group 1.2.3.4 type ipsec-l2l
tunnel-group 1.2.3.4 ipsec-attributes
pre-shared-key *
access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.251.0.0 255.255.128.0
access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.200.1.0 255.255.255.0
Zentrale Router:
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
lifetime 43200
crypto ipsec transform-set aes256sha esp-aes 256 esp-sha-hmac
crypto isakmp profile aussenstelle-IKE-PROFILE
vrf vlan144-vrf
keyring ALL-MAP-KEYRING
match identity address 1.2.3.4 255.255.255.255
crypto map VPN-KUNDEN 14401 ipsec-isakmp
set peer 1.2.3.4
set security-association lifetime seconds 28800
set transform-set aes256sha
set isakmp-profile aussenstelle-IKE-PROFILE
match address aussenstelle-crypto-acl
ip access-list extended aussenstelle-crypto-acl
permit ip 10.251.0.0 0.0.127.255 ip 10.0.0.0 0.0.0.255
permit ip 10.200.1.0 0.0.0.255 ip 10.0.0.0 0.0.0.255
access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.251.0.0 255.255.128.0
access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.200.1.0 255.255.255.0
-
Hallo,
kämpfe mit einem hartnäckigem Problem. Gibt es bekannte Probleme mit irgendwelchen Einstellungen/Parametern bei VPN-Verbindungen zwischen ASA und Cisco Router?
Details Umgebung:
- Beide Seiten Internetstandleitung ohne Zwangstrennung
- ASA 505 mit Software 8.0(4) zu Cisco 7206
- Beide öffentliche IP-Adressen werden überwacht --> keine Aussetzer
- Testhalber Software 8.0.3(19) auf der ASA eingesetzt --> keine Besserung
Problem liegt vermutlich an der ASA, weil der Router zentral eingesetzt wird und zu anderen Standorten keine Probleme bestehen.
Problem tritt sporadisch auf, 3x am Tag bis 2x die Woche. Die öffentlichen IP's sind parallel definitiv erreichbar.
Im Syslog der ASA mit Version 8.0(4) war zu sehen:
... Tunnel has been torn down
Mit Version 8.0.3(19) steht nun:
%ASA-7-713906: Group = x.x.x.x, IP = x.x.x.x, IKE SA MM:38aa0e9d terminating: flags 0x0121c006, refcnt 0, tuncnt 0
%ASA-7-713906: Group = x.x.x.x, IP = x.x.x.x, sending delete/delete with reason message
%ASA-7-715046: Group = x.x.x.x, IP = x.x.x.x, constructing blank hash payload
%ASA-7-715046: Group = x.x.x.x, IP = x.x.x.x, constructing IKE delete payload
%ASA-7-715046: Group = x.x.x.x, IP = x.x.x.x, constructing qm hash payload
%ASA-7-713236: IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=519f8536) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 80
%ASA-5-713904: IP = x.x.x.x, Received encrypted packet with no matching SA, dropping
Anbei die Konfiguration.
Hat mir jemand einen Tip?
Gruß, Glady
-
Problem ist gelöst. Der Kunde hat mir ein Ei gelegt. Meine Anweisung war, zieh das Kabel am Router, steck es am NB ein, wähle dich ein. Er hat aber eindere Kabel an's Modem gesteckt...
DAS KABEL WAR'S!!! Das Fliederfabene Cisco Original-Kabel wurde an das Fa3 gesteckt. Zwar geht der Port up, funktioniert aber trotzdem nicht.
Danke für eure Mithilfe, besonders Wordo, der extra nachgestellt hat!
Grüße, Glady
-
Wordo, erst mal Danke für Deinen Test!
Kann das Problem evtl. an der aaa Konfiguration liegen?
aaa new-model
!
!
aaa authentication login group group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local if-authenticated
aaa authorization commands 15 default group tacacs+ local if-authenticated
!
!
aaa session-id common
tacacs-server host x.x.x.x timeout 2 key 0815
-
"pppoe-client dial-pool-number 1" steht auf ATM0 nicht mehr, Fehler ist aber immer noch der Gleiche. Wenn das Kabel vom Router augesteckt, auf einem XP-PC eingesteckt wird, funktioniert die PPPOE Einwahl mit den selben Daten wie auf dem Router ohne Probleme.
@Wordo
Hat vielleicht Dein Kollege nachstellen können?
-
Soweit komme ich noch gar nicht. Der Router wählt sich nicht per pppoe ins internet ein.
-
Habe jetzt 12.4.15T8 Adv.IP.Services.
Aber leider gleiches Problem. Weiss jetzt nicht mehr weiter...
Auszug aktuelle Konfiguration:
version 12.4
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
boot-start-marker
boot-end-marker
!
logging buffered 262144
logging rate-limit console 300
no logging console
aaa new-model
!
!
aaa authentication login group group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local if-authenticated
aaa authorization commands 15 default group tacacs+ local if-authenticated
!
!
aaa session-id common
clock timezone GMT+1 1
clock summer-time GMT+2 recurring last Sun Mar 2:00 last Sun Oct 2:00
!
!
dot11 syslog
no ip source-route
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
!
isdn switch-type basic-net3
interface ATM0
no ip address
ip mtu 1492
shutdown
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
hold-queue 224 in
!
interface FastEthernet0
description inside
switchport access vlan 10
!
interface FastEthernet1
description inside
switchport access vlan 10
!
interface FastEthernet2
description inside
switchport access vlan 10
!
interface FastEthernet3
description inside
switchport access vlan 20
no cdp enable
!
interface Vlan1
no ip address
!
interface Vlan10
description inside
ip address 10.10.10.2 255.255.255.0
no ip redirects
no ip proxy-arp
ip authentication mode eigrp 100 md5
ip authentication key-chain eigrp 100 key1
ip nat inside
ip virtual-reassembly
standby 193 ip 10.10.10.1
standby 193 timers 1 3
standby 193 priority 120
standby 193 preempt delay minimum 6
standby 193 authentication md5 key-string 123
!
interface Vlan20
no ip address
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer1
ip address negotiated
ip mtu 1492
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer-group 1
priority-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname 123
ppp chap password 123
ppp pap sent-username 123 password 123
dialer-list 1 protocol ip permit
no cdp run
-
Es funktioniert nicht. Ich habe es inzwischen mit einer neuen Software-Version probiert.
Der Router baut aifnach keine PPPOE Verbindung auf. Ein PC mit WinXP kann über den selben Anschluss eine PPPOE-Verbindung aufbauen.
Hier ein Auzug aus der Konfig:
vpdn enable
!
vpdn-group 1
interface FastEthernet3
description inside
switchport access vlan 20
interface Vlan20
no ip address
pppoe-client dial-pool-number 1
interface Dialer1
ip address negotiated
ip mtu 1492
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer-group 1
priority-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname 123
ppp chap password 123
ppp pap sent-username 123 password 123
sh vlan-switch
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active
10 insside active Fa0, Fa1, Fa2
20 outside active Fa3
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 1002 1003
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 1 1003
1003 tr 101003 1500 1005 0 - - srb 1 1002
1004 fdnet 101004 1500 - - 1 ibm - 0 0
1005 trnet 101005 1500 - - 1 ibm - 0 0
Software ist die c870-adventerprisek9-mz.124-22.T.bin
Hat mit jemand einen Tip?
Hier mal ein Debug Auszug:
sh deb
PPPoE:
PPPoE protocol events debugging is on
PPPoE data packets debugging is on
PPPoE control packets debugging is on
PPPoE protocol errors debugging is on
PPPoE elog debugging is on
PPP:
PPP authentication debugging is on
PPP protocol errors debugging is on
PPP protocol negotiation debugging is on
PPP packet display debugging is on
r002ebz#
001366: *Jun 11 10:47:06.775 GMT+2: padi timer expired
001367: *Jun 11 10:47:08.823 GMT+2: padi timer expired
001368: *Jun 11 10:47:10.871 GMT+2: padi timer expired
001369: *Jun 11 10:47:12.919 GMT+2: padi timer expired
001370: *Jun 11 10:47:14.967 GMT+2: padi timer expired
001371: *Jun 11 10:47:17.015 GMT+2: padi timer expired
001372: *Jun 11 10:47:19.063 GMT+2: padi timer expired
001373: *Jun 11 10:47:21.111 GMT+2: padi timer expired
001374: *Jun 11 10:47:23.159 GMT+2: padi timer expired
001375: *Jun 11 10:47:25.207 GMT+2: padi timer expired
001376: *Jun 11 10:47:27.275 GMT+2: padi timer expired
001377: *Jun 11 10:47:29.323 GMT+2: padi timer expired
001378: *Jun 11 10:47:31.371 GMT+2: padi timer expired
001379: *Jun 11 10:47:33.419 GMT+2: padi timer expired
001380: *Jun 11 10:47:35.467 GMT+2: padi timer expired
001381: *Jun 11 10:47:37.259 GMT+2: padi timer expired
001382: *Jun 11 10:47:37.259 GMT+2: Sending PADI: Interface = Vlan20
001383: *Jun 11 10:47:37.259 GMT+2: pppoe_send_padi:
FF FF FF FF FF FF 00 1D 70 CD 23 73 88 63 11 09
00 00 00 0C 01 01 00 00 01 03 00 04 85 29 FB 50 ...
001384: *Jun 11 10:47:37.515 GMT+2: padi timer expired
001385: *Jun 11 10:47:39.563 GMT+2: padi timer expired
001386: *Jun 11 10:47:41.611 GMT+2: padi timer expired
001387: *Jun 11 10:47:43.659 GMT+2: padi timer expired
-
Das habe auch getestet.
VLAN 2 angelegt:
sh vlan-switch
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0, Fa1, Fa2
2 VLAN0002 active Fa3
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
int fastEthernet 3
switchport access vlan 2
pppoe ?
% Unrecognized command
Ich sehe nur den Befehl "pppoe-client".
Den Befehl "pppoe enable" gibt nicht global, auf dem fastethernet3 und auch nicht im interface vlan2.
-
Hallo,
wie muss die Konfiguration aussehen, wenn ich ein externes DSL-Modem verwenden möchte?
Aktuelle Konfiguration:
vpdn enable
vpdn-group 1
interface ATM0
no ip address
ip mtu 1492
load-interval 30
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1
!
hold-queue 224 in
interface Dialer1
ip address negotiated
ip access-group internet_in in
ip mtu 1492
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer hold-queue 30
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxx
ppp chap password xxx
ppp pap sent-username xxx password xxx
Habe das so versucht:
interface FastEthernet3
pppoe-client dial-pool-number 1
interface ATM0
pvc 1/32
no pppoe-client dial-pool-number 1
Hat leider nicht funktioniert. Der Befehl "pppoe eneble" wird auf keinem Interface angenommen.
IOS c870-advipservicesk9-mz.124-22.T.bin
Gruß, glady
IPSec VPN Tunnel überwachen
in Cisco Forum — Allgemein
Geschrieben
SVTI ist weniger das Problem. Aber wir haben auch IPSec Verbindungen, SVTI ist ja Cisco proprietär, weshalb ich vorhandene VPN-Tunnel zu z.B. Checkpoint nicht durch ein SVTI ablösen kann.
Ist der Befehl "sh crypto ipsec sa peer x.x.x.x" richtig, zum Abfragen, ob der Tunnel up oder down ist?
Was bedeutet EEM?