glady

>Die ICMP Kommunikation von Client zu Server ist fuer das "Aushandeln" der MTU Werte nicht wichtig. Eher ICMP von Gateway zu Client Wo muss ich dann in so einer Umgebung prüfen: Server-MLS-Firewall-Firewall-VPN-Router1<-Internet->VPN-Router2-Client Was ist beim DF-Bit lsöchen der Unterschied zu diesem Verfahren: Cisco IOS Security Configuration Guide, Release 12.4 - DF Bit Override Functionality8 with IPSec Tunnels [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems Da steht folgender Hinweis: Performance Impact Because each packet is reassembled at the process level, a significant performance impact occurs at a high data rate. Two major caveats are as follows: •The reassemble queue can fill up and force fragments to be dropped. •The traffic is slower because of the process switching. Was habt ihr für Erfahrungen?

Danke für die ausführlichen Infos Mr. Oiso! Ohne das DF-Bit haben sich die Citrix-Sessions und auch alles andere was mit Windows zu tun hat aufgehängt, eine Kommunikation war nicht möglich. Mit dem entzug des DF-Bits hatten wir diese Probleme nicht mehr. Später habe ich rausbekommen, dass man das DF-Bit auch im Windows in der Registry rauskriegt. Wenn auf Server und Client Seite das entsprechende ICMP freigegeben ist, warum können die sich dann nicht trotzdem einigen? >Überprüfen solltest Du auf jeden Fall mal, wo die MTU Werte vom Server liegen, und ob adjust-mss auch arbeitet. Wenn ich vom Client zum Server pinge mit den Optionen -f -l, dann kommt bei 1472 Bytes eine normale Antwort. Ab 1473 kommt dann die Meldung "Paket müsste fragmentiert werden". Was hat das nun auszusagen? Und wie prüfe ich, ob adjust-mss arbeitet? @Wordo Was meinst Du mit "Upstream Provider"? Und was wird QSC nachziehen? Ich dachte das tcp adjust-mss muss man MTU-Size -40 setzen. Bei einer MTU-Size von 1492 wären das also tcp adjust-mss 1452 Danke für eure Antworten!

10.98.1.20 ist Client und 10.15.6.6 ist Server

Sorry, jetzt passt's.

10.98.1.20 ist Client, 10.15.6.6 Server. Hier mal alles was im Syslog zwischen den 2 Ip-Adressen steht, bis gestern 14:30 Uhr: Jan 23 2007 08:57:54: %PIX-6-302013: Built inbound TCP connection 92729578 for Outside:10.98.1.20/1122 (10.98.1.20/1122) to Inside:10.15.6.6/3200 (10.15.6.6/3200) Jan 23 2007 08:58:07: %PIX-6-106015: Deny TCP (no connection) from 10.15.6.6/3200 to 10.98.1.20/1711 flags PSH ACK on interface Inside Jan 23 2007 08:58:07: %PIX-6-106015: Deny TCP (no connection) from 10.15.6.6/3200 to 10.98.1.20/1711 flags FIN ACK on interface Inside Jan 23 2007 13:16:09: %PIX-6-302013: Built inbound TCP connection 93175839 for Outside:10.98.1.20/1551 (10.98.1.20/1551) to Inside:10.15.6.6/3200 (10.15.6.6/3200) Jan 23 2007 13:21:43: %PIX-6-302014: Teardown TCP connection 92729578 for Outside:10.98.1.20/1122 to Inside:10.15.6.6/3200 duration 4:23:52 bytes 3312215 FIN Timeout Jan 23 2007 14:14:42: %PIX-6-302013: Built inbound TCP connection 93271996 for Outside:10.98.1.20/1615 (10.98.1.20/1615) to Inside:10.15.6.6/3200 (10.15.6.6/3200) Jan 23 2007 14:23:11: %PIX-6-302014: Teardown TCP connection 93271996 for Outside:10.98.1.20/1615 to Inside:10.15.6.6/3200 duration 0:08:29 bytes 85044 TCP FINs Jan 23 2007 14:24:49: %PIX-6-302013: Built inbound TCP connection 93288521 for Outside:10.98.1.20/1620 (10.98.1.20/1620) to Inside:10.15.6.6/3200 (10.15.6.6/3200) Die Meldung um 13:21 Uhr passt zu der Zeit, wo er das Problem gemeldet hat.

Hallo Wordo, heisst das dass der Client die Verbindung beendet, ohne ein ACK zum Server zu schicken? Hast Du eine Idee, wie sowas zustande kommen könnte?

Hallo, auf der PIX kann ich folgende Meldungen sehen: Local4.Info pix01 Jan 23 2007 13:21:43: %PIX-6-302014: Teardown TCP connection 92729578 for Outside:10.98.1.20/1122 to Inside:10.15.6.6/3200 duration 4:23:52 bytes 3312215 FIN Timeout Es werden sporadische SAP Session-Abbrüche gemeldet. Kann mir jemand erkären, was die Meldung genau bedeutet? Was passiert da? Bei Cisco habe ich was gefunden, das mir aber leider nichts sagt: FIN Timeout = Force termination after 15 seconds await for last ACK Danke. Glady

Ausser Drucken, Citrix-Session und Ping geht nichts über die Leitung. Mail, usw. geht alles über die Citrix-Session. Wie könnte QoS aussehen, um die Citrix-Sessions Vorrang gegenüber Drucken zu geben? Habe eine neue Erkenntnis. Gegenüber einer FTP-Übertragung habe ich bei der Datenübertragung über die Windows-Freigabe 45% schlechtere Perfomance (Download) und 30% beim Upload. Woran liegt das? Vielleicht ist das auch der Grund für die Verzögerungen bei den Citrix-Sessions.

Fu, welches Gerät meinst Du, was ich beschreiben soll? Kann man das ganz auf den Cisco's auch mit einer Weboberfläche verwalten? Hat jemand diese Features schon am Laufen? Ich mache mir sorgen, dass das über CLI zum konfigurieren ausartet (Länge und Umfang der Konfig.)

no ip http server no ip http secure-server ! ip access-list standard route_list_in_allow remark default permit xxx 0.0.3.255 permit xxx 0.0.0.255 permit xxx 0.0.7.255 permit xxx 0.0.255.255 ! ip access-list extended internet_in permit icmp any any administratively-prohibited permit icmp any any echo permit icmp any any echo-reply permit icmp any any packet-too-big permit icmp any any time-exceeded permit icmp any any traceroute permit icmp any any unreachable permit esp xxx 0.0.0.127 any permit udp xxx 0.0.0.127 any eq isakmp deny ip any any ip access-list extended routemap-clear-df permit ip xxx 0.0.255.255 any permit ip any xxx 0.0.255.255 ! logging trap debugging access-list 10 permit xxx 0.0.0.255 access-list 10 permit xxx 0.0.0.255 access-list 10 permit xxx 0.0.0.255 access-list 10 permit xxx 0.0.0.255 access-list 10 permit xxx 0.0.255.255 access-list 10 permit xxx 0.0.255.255 access-list 10 deny any log access-list 120 deny udp any eq syslog any access-list 120 deny udp any eq snmp any access-list 120 deny udp any eq snmptrap any access-list 120 deny udp any eq ntp any access-list 120 deny udp any eq netbios-dgm any access-list 120 deny udp any eq netbios-ns any access-list 120 deny udp any eq netbios-ss any access-list 120 deny udp any range snmp snmptrap any access-list 120 deny udp any range bootps bootpc any access-list 120 deny tcp any eq 137 any access-list 120 deny tcp any eq 138 any access-list 120 deny tcp any eq 139 any access-list 120 permit ip any any dialer-list 1 protocol ip list 120 snmp-server community xxx RO no cdp run ! ! ! route-map Clear-DF permit 10 match ip address routemap-clear-df set ip df 0 ! ! control-plane ! ! line con 0 password xxx login no modem enable line aux 0 password xxx login line vty 0 4 access-class 10 in exec-timeout 300 0 password xxx login ! scheduler max-task-time 5000 ntp clock-period 17179558 ntp source Loopback0 ntp server xxx end

Passt die Konfiguration? version 12.4 service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption ! hostname xxx ! boot-start-marker boot-end-marker ! logging buffered 40000 debugging enable secret xxx ! no aaa new-model ! resource policy ! clock timezone MEZ 1 clock summer-time MESZ recurring last Sun Mar 1:00 last Sun Oct 2:00 no ip source-route ip cef ! ! ! ! ip tftp source-interface Loopback0 no ip domain lookup ip host tftp xxx ! ! isdn switch-type basic-net3 ! key chain key1 key 1 key-string xxx ! ! username xxx password xxx ! ! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 lifetime 3600 crypto isakmp key xxx address xxx no-xauth crypto isakmp key xxx address xxx no-xauth crypto isakmp key xxx address xxx no-xauth ! ! crypto ipsec transform-set 3dessha esp-3des esp-sha-hmac ! crypto ipsec profile P-3dessha set transform-set 3dessha ! ! ! ! ! interface Tunnel10 bandwidth 2000 ip address xxx 255.255.255.252 delay 15 tunnel source Dialer1 tunnel destination xxx tunnel mode ipsec ipv4 tunnel protection ipsec profile P-3dessha ! interface Tunnel20 bandwidth 2000 ip address xxx 255.255.255.252 delay 10 tunnel source Dialer1 tunnel destination xxx tunnel mode ipsec ipv4 tunnel protection ipsec profile P-3dessha ! interface Loopback0 ip address xxx 255.255.255.255 ! interface BRI0 description backup bandwidth 64 no ip address encapsulation ppp dialer pool-member 10 isdn switch-type basic-net3 isdn point-to-point-setup ppp authentication chap ! interface ATM0 no ip address ip mtu 1492 no atm ilmi-keepalive pvc 1/32 pppoe-client dial-pool-number 1 ! dsl operating-mode auto ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Vlan1 ip address xxx 255.255.255.0 ip helper-address xxx ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 key1 ip tcp adjust-mss 1452 ip policy route-map Clear-DF ! interface Dialer1 ip address negotiated ip access-group internet_in in ip mtu 1492 encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxx@qsc-tdsl.de ppp chap password xxx ppp pap sent-username xxx@qsc-tdsl.de password xxx ! interface Dialer10 description eigene rufnummer xxx bandwidth 64 ip address xxx 255.255.255.252 encapsulation ppp dialer pool 10 dialer remote-name xxx dialer idle-timeout 300 dialer string xxx dialer caller xxx dialer hold-queue 30 dialer-group 1 no cdp enable ppp authentication chap ppp multilink ! router eigrp 1 passive-interface default no passive-interface Vlan1 no passive-interface Tunnel10 no passive-interface Tunnel20 network xxx 0.0.0.0 network xxx 0.0.0.0 network xxx 0.0.0.0 network xxx 0.0.0.0 distribute-list route_list_in_allow in Tunnel10 distribute-list route_list_in_allow in Tunnel20 no auto-summary ! ip route 0.0.0.0 0.0.0.0 Dialer1

Hallo, Kunden melden sporadisch Tastaturverzögerungen über ihre Citrixsessions. Die Umgebung sieht folgendermaßen aus: In der Zentrale VPN-Router mit VPN-VTI-Konfiguration, 34Mbit Internetanschluss Aussenstelle C876 mit VPN-VTI-Konfiguration, Internetanschluss theoretisch 6Mbit Download/660Kbit Upload, tatsächlich 2,7Mbit Download/395 Kbit Upload (sh dsl interface atm0). Ich lasse einen Dauerping von der Zentrale auf das Router-Lan-Interface mit Timestamp laufen. Die Antwortzeiten sind gut. Mit FTP Down- und Upload zur Aussenstelle wird ca. 70-75% der tatsächlichen Bandbreite erreicht. Hat jemand eine Idee woran die Tastaturverzögerungen im Citrix liegen könnte bzw. wie man die Routerkonfiguration tunen könnte? Grüße Glady

Ein 2x34Mbit Internetzugang wird für folgendes verwendet: - Internetzugriff mit mehreren Proxyservern - Mailversand in/out mit mehreren SMTP-Servern - VPN-Verbindungen zu vielen Kunden über 3 zentrale VPN-Router - VPN Remoteeinwahl über mehrere Concentrator Nun geht es darum, die Internet-Bandbreite intelligent zu priorisieren. Mögliche Anforderungen wären: - Variable "Mindestbandbreite" für die einzelnen VPN-Verbinungen. z.B. 512KB, aber auch mehr, wenn es der Gesamtzustand erlaubt - Fetter Download von den Proxyservern darf die Performance der VPN-Tunnel nicht beeinflussen - Accounting, Reporting wieviel Bandbreite und Traffic von welchen Geräten benutzt wurde, ServiceLevel Berichte - Redundante Hardware für die in Frage kommende Hardware Habe ich etwas vergessen? Hat jemand Erfahrung mit sowas? Ist das mit Cisco-Routern möglich, falls ja, welche Router kämen in Frage und wie wird das konfiguriert? Falls Cisco, welchen Kurs sollte man besuchen, um das selber konfigurieren und betreuen zu können? Oder sollte man auf andere Hersteller zurückgreifen? Ich habe gehört, Packeteer soll in die Richtung gehen. Grüße Glady

Auf TCP-Ebene sieht die PIX die MAC nicht und kann das deswegen nicht. Ob Du per MAC den Zugriff steuerst oder IP ist wurscht, meine ich. Die Mac kann man mit einfachen Tools auch ändern... Glady

Hi Fu! Danke für Deine Informationen. Da ich nicht weiß, ob irgendeine Anwendung auf irgendeinem Server vielleicht Multicast macht oder in Zukunft machen wird, gebe ich glaube ich vorsorglich den gesamten Multicast-Range frei. Oder spricht sicherheitstechnisch etwas dagegen? Ich bin nicht gerade der MS-Spezi. Warum versuchen die Server ständig mit den Netbios-Ports ihre Broadcast Adresse zu erreichen? Was ist die Auswirkung, wenn diese Anfragen "unterdrückt" werden (deny per ACL)? Glady

Für Easy-VPN brauchst Du kein "DYNDNS". Das Easy-VPN gibt es schon eine Ewigkeit. Ich würde mal prüfen, ob das nicht doch geht mit Deinem Router.

Warum Mac-Adressen und nicht IP-Adressen?

Für eine saubere Verbindung hätte ich gesagt entweder machst Du GRE und beauftragst auf der anderen Seite eine feste IP oder Du konfigurierst Easy-VPN mit dyn. IP.

Habe deny's drin und weiss die Auswirkung nicht: Protokoll udp Port 137 & 138 auf die Broadcastadresse des jeweiligen Netzes Protokoll udp Port 42 auf 224.0.1.24 Protokoll udp Port 67 & 68 auf die Broadcastadresse des jeweiligen Netzes Protokoll pim auf 224.0.0.13 Protokoll igmp auf 239.255.255.7/24 Protokoll igmp auf 224.0.0.0/23 Protokoll udp auf 239.255.255.250 Verschiedene Server versuchen permanent die Zugriffe teilweise auf ihre eigene Broadcast-IP, teilweise auf Multicast-IP's und werden denied. Ich kann das sehen, anhand der letzten Zeile "deny ip any any log-input". Muss ich diese Protokolle/Ports frei geben? Kann ich einfach eine Zeile vorher deny auf diese Zugriffe geben ohne log-input und danach die Zeile mit "deny ip any any log-input" schreiben? Was wäre dann die Auswirkung? Ich könnte auch erlauben, aber aus Sicherheitsgründen sollte man ja eher verbieten, da wo's geht. Danke! Glady

WOOOW 20 Sekunden !!! Super! Danke! Was ist denn das für ein Befehl? Hast Du eine Idee wie ich den Verbindungsaufbau selber tunen kann? Im Moment gehen 2-3 Pings verloren. glady

Hi, hast Du im Interesting-Traffic zum Router das IP-Netz des Clients eingetragen? Siehst Du unter Sessions Pakete raus- oder reingehen? glady

servergespeicherte profile sind zwar auch im Spiel, aber der Tip von Necron wars! Ist Wahnsinn, wieviel das ausgemacht hat. Danke!:jau:

Hallo, ich habe ein frisch installiertes Win XP Prof. SP2 alle Patches. Hochfahren ist sehr schnell. Nur beim Beenden bracht der sehr lange, merhrere Minuten. Habe schon die Parameter in der Registry angepasst, Programme "hart" beenden, wenn keine Reaktion, und schnelles runterfahren. Hat aber nichts genutzt. Im Eventlog steht auch nichts falsches. Hat mir jemand einen Tip, wie ich vorgehen muss, um rauszukriegen, woran das liegt? Bzw. wie kriege ich das runterfahren beschleunigt? Glady

Nachdem ich die Befehle load threshold und load interval auf Router 2 eingetragen habe, habe ich das Problem mit dem "Busy" nicht mehr. Beide Router benötigen exakt 4 Minuten bis alle Kanäle aufgebaut sind. Mit den Debugs kann ich sehen, dass der Router jedesmal 30 Sekunden wartet, bis er den nächsten Kanal aufbaut. Und 8x 30 sind 240 Sekunden, die hier nicht gewünscht sind. Weiss jemand warum der Router die 30 Sekunden abwartet, bevor er weitermacht?

Ich habe jetzt gedebuggt und festgestellt, dass der Router1 innerhalb der 5 Minuten 12 mal ein Besetzt-Zeichen kriegt, bis mal alle Kanäle aufgebaut sind. Das wird der Grund für die Verzögerung sein. D.h., der Router wählt gleichzeitig jede Rufnummer mehrmals, biss dann mal alle Verbindungen stehen. Nur, wie kann ich das beeinflussen, dass der Router eine Rufnummer (von den Vieren) mit der er schon eine Verbindung hat nicht nochmal anwählt? Evtl. einen Dialer für jede Rufnummer? Nov 23 12:44:44: Channel ID i = 0xA98398 Nov 23 12:44:44: ISDN Se1/0:15: LIF_EVENT: ces/callid 1/0x8159 CALL_SETUP_ACK Nov 23 12:44:44: ISDN Se1/0:15: PRI Event: 16, bchan = 23, call type = DATA Nov 23 12:44:45: ISDN Se1/0:15: RX <- FACILITY pd = 8 callref = 0x8156 Nov 23 12:44:45: Facility i = 0x91A116020200E0020122300DA1053003020103820100830100 Nov 23 12:44:46: - ETSI Supplementary Service, Invoke, AOC-D Charging Units: 3 Nov 23 12:44:46: ISDN Se1/0:15: LIF_EVENT: ces/callid 1/0x8156 CALL_FACILITY_INVOKE Nov 23 12:44:46: Serial1/0:24: AOC-D Recorded Units = 3 Nov 23 12:44:46: ISDN Se1/0:15: LIF_EVENT: ces/callid 1/0x8156 CALL_FACILITY Nov 23 12:44:47: ISDN Se1/0:15: RX <- DISCONNECT pd = 8 callref = 0x8159 Nov 23 12:44:47: Cause i = 0x8291 - User busy Nov 23 12:44:47: Facility i = 0x91A10C020200E10606040082670206 Nov 23 12:44:47: - ETSI Supplementary Service, Invoke, Unsupported operation Nov 23 12:44:47: Facility i = 0x91A116020200E2020122300DA1053003020100820101830100