glady

Das hat super funktionert, vielen Dank!!! Info: isa_tpr.js /add Port3144 3144

Hallo, ein Client soll über den Proxy (ISA) auf eine Seite zugreifen: https:asdf.com:3144 D.h. SSL über Port 3144. Das funktioniert nicht und auf der ISA kommt eine Fehlermeldung: Log Type: Web Proxy The spesified Secure Socket Layer (SSL) is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web brwosers use port 443 for SSL requests. Kann mir jemand einen Tip geben, wie damit umgehe soll? Gruß, Glady

Hallo, ich habe eine ASA 5510 für die Einwahl per IPSec- und SSL-VPN. Was benötige ich, um ein PDA mit Windows Mobile 5/6 per VPN einwählen zu lassen? Gruß, Glady

Ich bin wieder ein Stück schlauer. Auf dem ISA Server ist als Antivirussoftware "Trend Micro InterScan WebProtect" installiert. Wenn ich das abschalte, funktioniert das auch mit IE und Mozilla... Werde versuchen über den Support den Fehler zu fixen.

Hallo, wer hat Erfahrung mit diversen Einstellungsmöglichkeiten bei den Anbindungen von IPSec- und SSL-Clients und kann mir Tips für sinnvolle Einstellungen geben: - Monitor keepalives - Keepalive Messages SSL VPN Client Key Renegotiation Settings - Renegotiation Interval - Renegotiation Method Dead Peer Detection - Gateway Side Detection - Client Side Detection Ich habe die Dokus gelesen, habe aber nicht verstanden, wie sich die einzelnen Einstellungen in der Praxis auswirken könnten. Glady

Hallo, ich habe hier neue Erkenntnisse. Mit dem Opera-Browser funktioniert das!!! Mit IE und Firefox funktioniert das nicht, auch wenn ich alles "unsichere" aktviere (ActiveX, usw.). Mir scheint der ISA2004 Zicken zu machen. Wenn ich es mit IE probiere, erscheint im Log zwar die Meldung, dass er per Port 5500 zum RSA-Server zugreift, der RSA-Server kriegt aber nichts davon mit. Der ISA ist mit seinen Updates/Patches auf dem aktuellsten Stand. Hat jemand eine Idee?

Ich habe ein Problem und hoffe dass mit jemand einen Tip geben kann. Umgebumg: ISA2004 steht mit einem Bein direkt im Internet, mit dem anderen in der DMZ einer Firewall. Im Inside der Firewall steht der Server mit RSA Authentication-Manager und der Exchangeserver (separat). Ich möchte, dass sich User über das Internet zuerst per Securid-Card authentifizieren, dann zum Exchangeserver weitergeleitet werden. Mit dem "sdtest.exe" kann ich die schon konfigurierte Besziehung zwischen ISA2004 und RSA-Server erfolgreich testen (Anmeldung mit Username/Password). Wenn ich den Weblistener sage direkt ohne Securid weiterleiten, funktioniert auch der Zugriff zum Exchangeserver. Nun schaffe ich es einfach nicht, auf den Exchange MIT Securid zuzugreifen. Die Anmeldemaske zur RSA Athentifizierung erscheint. Wobei hier auffällig ist, dass der RSA-Banner links oben fehlt. Nachdem ich mich anmelde kommt sofort: "Die Seite kann nicht angezeigt werden" und die URL lautet https://meine.domain.com/WebID.dll{riesenlange Nummer} Ich komme einfach nicht mehr weiter. Hoffe mir kann jemand weiterhelfen... Gruß, Glady

Hat jemand den ASA SSL VPN Client in Verbindung mit externer Authentifizierung mit Cisco ACS Server im Einsatz? Ich schaffe es nicht, dass der IP-Pool genommen wird, den ich der Gruppe zuweise. Es wird immer die Einstellung der Defaultgruppe genommen. Wenn ich aber den IP-Pool am ACS-Server konfiguriere und der Gruppe am ACS zuweise, funktionierts. Da sich die User auch gleichzeitig per ISDN über einen Router mit definierten IP-Pools einwählen sollen, kann ich die IP-Zuweisung nicht am ACS-Server lassen. Hat mir jemand einen Tip? Gruß, glady

Dummerweise hat PBR auf dem C876 nicht funktioniert :-( Habe die PBR Konfig. auf einen der Interfaces geschrumpft zjm Testen, hat aber auch nicht funktioniert. Auf anderen Routern habe ich die gleiche Konfig. im Einsatz. Frage mich deswegen, warum das auf dem C876 nicht zieht?! Habe mir derweil einen Workaround geschaffen und dem zentralen VPN-Router auf der anderen Seite, auf dem LAN-Interface eine 2. öffentliche IP vergeben. So kann ich die Tunnel auf zwei verschiedene IP's mappen und das Routing mit statischen steuern, ohne PBR. Hat jemand PBR auf einem C876 schon am Laufen?

Durch EIGRP Manipulation soll der gesamte Traffic vom Inside auf alle 3 Tunnel - somit alle 3 Internetanschlüsse verteilt werden (Session basierend). Gegenstelle ist ein Cisco-Router

Ich möchte auf einen Router drei Internetanschlüsse einrichten. Fastethernet1 Internet1 Fastethernet2 Internet2 Fastethernet2 Internet3 Über die 3 Anschlüsse möchte ich je einen VPN-Tunnel zu einer zentralen Gegenstelle einrichten (Cisco VTI Konfiguration). Die VPN-Konfiguration ist eigentlich klar. Die 3 VPN Tunnel-Interfaces werden je auf Fastethernet1-3 gemappt. Die Frage ist nun, wie regel ich das mit der öffentlichen IP des zentralen VPN-Gateways auf der anderen Seite? Ich habe ja 3 verschiedene Internetanschlüsse und somit 3 verschiedene Provider-Gateways. Hat mir jemand einen Tip? Evtl. mit PBR? Könnte das so funktionieren: 50.50.50.50 ist die IP des VPN-Gateways auf der anderen Seite. interface FastEthernet1 ip policy route-map PBR1 ip address 1.1.1.2 255.255.255.0 route-map PBR1 permit 10 match ip address route_map_internanschluss1 set ip default next-hop 1.1.1.1 ip access-list extended route_map_internanschluss1 permit ip host 1.1.1.2 50.50.50.50 interface FastEthernet2 ip policy route-map PBR2 ip address 2.2.2.2 255.255.255.0 route-map PBR2 permit 10 match ip address route_map_internanschluss2 set ip default next-hop 2.2.2.1 ip access-list extended route_map_internanschluss2 permit ip host 2.2.2.2 50.50.50.50 interface FastEthernet3 ip policy route-map PBR3 ip address 3.3.3.2 255.255.255.0 route-map PBR3 permit 10 match ip address route_map_internanschluss3 set ip default next-hop 3.3.3.1 ip access-list extended route_map_internanschluss3 permit ip host 3.3.3.2 50.50.50.50 Ich kann das leider nicht zuvor ausprobieren, sondern muss direkt vor Ort umsetzen und möchte mich so gut es geht darauf vorbereiten. Glady

Hi, das mit der Konfiguration abgleichen kann eigentlich gar nicht gehen. Du hast ja immer eine andere Konfig. Auf den Switches hast unterschiedliche Einstellungen auf den Ports. z.B. unterschiedliche VLANs. Und auf den Routern hast Du z.B. unterscheidliche IP auf den Ethernet-Interfaces. Du kannst die Catalyst 3750 Switches stacken. Dann wird theor. das IOS nur einmal upgedated, die Master Switches pushen die Software auf die Slave's. Ich kenne das nur von der PIX Firewall im Failover-Betrieb, dass der Primary die aktuelle Konfiguration nach jeder Änderung dem Standby-Gerät überträgt.

Wäre also kein Problem? Theoretisch muss der Cisco-Router das VPN-Gateway im Internet erreichen - und das tut dann auch.

Hi, ich frag jetzt mal ganz vorsichtig: Ist die IP-Adresse konfiguriert? Gruß, Glady

Hallo, hat da jemand Erfahrung und kann mir Tips geben? Ziel ist es dass User über einen UMTS-Router per VPN sich ihre Citrix-Session aufbauen können. Dazu kann ich theoretisch einen Cisco 871 nehmen, am UMTS-Router anschließen und Easy-VPN konfigurieren (weil keine feste IP oder gibt es auch UMTS mit feste IP?). Freue mich über jeden Hinweis:) Glady

Danke für den Tip Franz Hier mal die shows von Router2 sh int f0/0 stats (Inside) FastEthernet0/0 Switching path Pkts In Chars In Pkts Out Chars Out Processor 33799928 3468451631 23049202 1474585336 Route cache 444690151 3263155377 554934310 2270126350 Total 478490079 6731607008 577983512 3744711686 sh int f0/1 stats (Internet) FastEthernet0/1 Switching path Pkts In Chars In Pkts Out Chars Out Processor 15179071 957787594 3900933 1703225387 Route cache 570004429 547073818 459694889 2718937692 Total 585183500 1504861412 463595822 4422163079 sh int t20 stats (VPN) Tunnel20 Switching path Pkts In Chars In Pkts Out Chars Out Processor 413183 25060157 566325 140487705 Route cache 328945173 2422097880 260731127 4101642212 Total 329358356 2447158037 261297452 4242129917 Der Router ist redundant. Über den 2. Router geht fast kein Citrix drüber und ist theor. fast gleich ausgelastet von der Bandbreite. Allerdings hat der max. 20% CPU... Hier mal zum Vergleich der Router1: sh int f0/0 stats FastEthernet0/0 Switching path Pkts In Chars In Pkts Out Chars Out Processor 36509577 2558082656 20702011 2080029668 Route cache 81481712 1130895391 62872921 1357935587 Total 117991289 3688978047 83574932 3437965255 sh int f0/1 stats FastEthernet0/1 Switching path Pkts In Chars In Pkts Out Chars Out Processor 14948753 1336338950 1656691 411618795 Route cache 74326530 2293452008 92958166 2662350978 Total 89275283 3629790958 94614857 3073969773 sh int t90 stats Tunnel90 Switching path Pkts In Chars In Pkts Out Chars Out Processor 384129 23009295 392188 29306657 Route cache 1739414 102150318 1397467 114583142 Total 2123543 125159613 1789655 143889799 Funktionsweise der Router: Router1 bedient alle IPSec-Verbindungen (Anbindung Nicht-Cisco Geräte). Router2 dient als Backup für diese Verbindungen. Also kein Loadsharing. Router1 + Router2 bedienen alle Cisco-VPN's mit VTI. EIGRP ist konfiguriert. Einige Tunnel sind auf Router1 aktiv, andere auf Router2. Alle Tunnel sind auf beiden Router redundant. ALso "backupen" sich die 2 Router gegenseitig. Glady

Ein VPN-Tunnel: sh adjacency tunnel 20 internal Protocol Interface Address IP Tunnel20 point2point(18) 247486774 packets, 44521399185 bytes 00000000 CEF expires: 00:02:35 refresh: 00:00:35 Epoch: 0 Fast adjacency disabled IP redirect enabled IP mtu 1400 (0x0) Fixup enabled (0x2000000) IpSec Adjacency pointer 0x452CF780, refCount 18 Connection Id 0x000000 Bucket 11 Longest adjacency table chain contains 2 entries sh adjacency tunnel 20 detail Protocol Interface Address IP Tunnel20 point2point(18) 247515352 packets, 44525187473 bytes 00000000 CEF expires: 00:02:41 refresh: 00:00:41 Epoch: 0

IP FastEthernet0/0 10.99.207.252(5) 0 packets, 0 bytes 0007B35A14B000170E4E64700800 ARP 03:49:45 Epoch: 0 Fast adjacency disabled IP redirect enabled IP mtu 1500 (0x0) Fixup disabled Adjacency pointer 0x452CD940, refCount 5 Connection Id 0x000000 Bucket 63 IP FastEthernet0/0 10.99.207.3(5) 150083 packets, 19843430 bytes 00097CDC5C6000170E4E64700800 ARP 02:05:45 Epoch: 0 Fast adjacency disabled IP redirect enabled IP mtu 1500 (0x0) Fixup disabled Adjacency pointer 0x452D0C20, refCount 5 Connection Id 0x000000 Bucket 192 IP FastEthernet0/0 10.99.207.2(497) 9767 packets, 629519 bytes 0016C85F676800170E4E64700800 ARP 03:33:43 Epoch: 0 Fast adjacency disabled IP redirect enabled IP mtu 1500 (0x0) Fixup disabled Adjacency pointer 0x452D0D80, refCount 497 Connection Id 0x000000 Bucket 193 IP FastEthernet0/0 10.99.207.6(18) 35377153 packets, 2264912250 bytes 0016C84B91A600170E4E64700800 Protocol Interface Address ARP 02:04:45 Epoch: 0 Fast adjacency disabled IP redirect enabled IP mtu 1500 (0x0) Fixup disabled Adjacency pointer 0x452D0AC0, refCount 18 Connection Id 0x000000 Bucket 197 IP FastEthernet0/0 10.99.207.21(17) 0 packets, 0 bytes 00505487D2C000170E4E64700800 ARP 02:05:45 Epoch: 0 Fast adjacency disabled IP redirect enabled IP mtu 1500 (0x0) Fixup disabled Adjacency pointer 0x452D0960, refCount 17 Connection Id 0x000000 Bucket 214 Longest adjacency table chain contains 2 entries

@Wordo Bei ca. 10Bit Auslastung @Wurstbläser Soll ich zusätzlich zum "ip cef" den Befehl "ip cef accounting" eingeben? Besteht die Möglichkeit, dass die CPU dann zusätzlich belastet wird? Hier die shows: r002vpn#sh adjacency fastEthernet 0/0 internal Protocol Interface Address IP FastEthernet0/0 10.99.207.251(23) 490711996 packets, 36550633543 bytes 00000C07ACC700170E4E64700800 ARP 03:25:46 Epoch: 0 Fast adjacency disabled IP redirect enabled IP mtu 1500 (0x0) Fixup disabled Adjacency pointer 0x452D06A0, refCount 23 Connection Id 0x000000 Bucket 56 IP FastEthernet0/0 10.99.207.249(15) 7394 packets, 4953626 bytes 0003A08868C100170E4E64700800 ARP 02:39:46 Epoch: 0 Fast adjacency disabled IP redirect enabled IP mtu 1500 (0x0) Fixup disabled Adjacency pointer 0x452CDD60, refCount 15 Connection Id 0x000000 Bucket 58 IP FastEthernet0/0 10.99.207.254(11) 2 packets, 124 bytes 00000C07ACC900170E4E64700800 ARP 02:19:46 Epoch: 0 Fast adjacency disabled IP redirect enabled IP mtu 1500 (0x0) Fixup disabled Adjacency pointer 0x452CD680, refCount 11 Connection Id 0x000000 Bucket 61 IP FastEthernet0/0 10.99.207.253(5) 0 packets, 0 bytes 0007B359FEC000170E4E64700800 ARP 03:27:25 Epoch: 0 Fast adjacency disabled IP redirect enabled Protocol Interface Address IP mtu 1500 (0x0) Fixup disabled Adjacency pointer 0x452CD7E0, refCount 5 Connection Id 0x000000 Bucket 62

Hallo Wordo Kannst Du das Deine schlechten Erfahrungen bitte genauer beschreiben. Wir überlegen nämlich gerade einen ASA5510 mit 100'er SSL Lizenz zu kaufen. Gruß, Glady

Wordo, danke für den Tip. Weisst Du, wo man das auf dem Concentrator konfigurieren kann? Der Link beschreibt das nur für das IOS und auf der Cisco Homepage bin ich nicht fündig geworden.

Und wenn DU dann noch übermäßig viel Citrix-Verkehr hast (also viele, viele kleine Pakete), kannst Du die Performance-Angaben vergessen...

Danke für eure Antworten :rolleyes: Mir geht es auch um folgendes: Bei den Perfomance-Angaben stehen meistens beide Angaben, Process Switching und Fast/CEF-Switching. Wann ist welcher Relevant? Beispiel: Ein C2811-AIM dient als zentraler VPN-Router am 34Mbit Internetanschluss. Obwohl der Router theoretisch 61,44 Mbps Fast-/CEF-Switching schaffen müsste, ist er mit seiner CPU schon bei 70%. Analyse ergab, dass das an den vielen kleinen Citrix-Paketen liegt (durchschnittlich 165 Byte groß). Wenn ich jetzt einen stärkeren Router für VPN + Citrix suche, auf welchen Wert muss ich achten?

Ich habe das Problem, dass manchmal der PC eines VPV-CLient Users sich aufhägt und der User dann seinen PC kalt startet. Die VPN-Session bleibt auf dem Concentrator aber trotzdem aktiv und lässte den User dann nicht mehr rein, bis ich die Leiche entferne. Gibt es dafür eine Lösung? Gruß, Glady

Bei Performance-Angaben stehen beide Werte. Kennt jemand den Unterschied? Bzw. in welchem Fall benötigt man welches? Welchen Router sollte man für eine 1Mbit-SDSL, 2Mit-SDSL und 4Mbit-SDSL nehmen? Mit VPN GRE, EIGRP, NAT für Citrix-Verkehr (also viele kleine Pakete). Gruß, Glady