glady
-
Gesamte Inhalte
189 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von glady
-
-
Danke für die ausführlichen Infos Mr. Oiso!
Ohne das DF-Bit haben sich die Citrix-Sessions und auch alles andere was mit Windows zu tun hat aufgehängt, eine Kommunikation war nicht möglich. Mit dem entzug des DF-Bits hatten wir diese Probleme nicht mehr. Später habe ich rausbekommen, dass man das DF-Bit auch im Windows in der Registry rauskriegt.
Wenn auf Server und Client Seite das entsprechende ICMP freigegeben ist, warum können die sich dann nicht trotzdem einigen?
>Überprüfen solltest Du auf jeden Fall mal, wo die MTU Werte vom Server liegen, und ob
adjust-mss auch arbeitet.
Wenn ich vom Client zum Server pinge mit den Optionen -f -l, dann kommt bei 1472 Bytes eine normale Antwort. Ab 1473 kommt dann die Meldung "Paket müsste fragmentiert werden". Was hat das nun auszusagen? Und wie prüfe ich, ob adjust-mss arbeitet?
@Wordo
Was meinst Du mit "Upstream Provider"? Und was wird QSC nachziehen?
Ich dachte das tcp adjust-mss muss man MTU-Size -40 setzen. Bei einer MTU-Size von 1492 wären das also tcp adjust-mss 1452
Danke für eure Antworten!
-
10.98.1.20 ist Client und 10.15.6.6 ist Server
-
Sorry, jetzt passt's.
-
10.98.1.20 ist Client, 10.15.6.6 Server.
Hier mal alles was im Syslog zwischen den 2 Ip-Adressen steht, bis gestern 14:30 Uhr:
Jan 23 2007 08:57:54: %PIX-6-302013: Built inbound TCP connection 92729578 for Outside:10.98.1.20/1122 (10.98.1.20/1122) to Inside:10.15.6.6/3200 (10.15.6.6/3200)
Jan 23 2007 08:58:07: %PIX-6-106015: Deny TCP (no connection) from 10.15.6.6/3200 to 10.98.1.20/1711 flags PSH ACK on interface Inside
Jan 23 2007 08:58:07: %PIX-6-106015: Deny TCP (no connection) from 10.15.6.6/3200 to 10.98.1.20/1711 flags FIN ACK on interface Inside
Jan 23 2007 13:16:09: %PIX-6-302013: Built inbound TCP connection 93175839 for Outside:10.98.1.20/1551 (10.98.1.20/1551) to Inside:10.15.6.6/3200 (10.15.6.6/3200)
Jan 23 2007 13:21:43: %PIX-6-302014: Teardown TCP connection 92729578 for Outside:10.98.1.20/1122 to Inside:10.15.6.6/3200 duration 4:23:52 bytes 3312215 FIN Timeout
Jan 23 2007 14:14:42: %PIX-6-302013: Built inbound TCP connection 93271996 for Outside:10.98.1.20/1615 (10.98.1.20/1615) to Inside:10.15.6.6/3200 (10.15.6.6/3200)
Jan 23 2007 14:23:11: %PIX-6-302014: Teardown TCP connection 93271996 for Outside:10.98.1.20/1615 to Inside:10.15.6.6/3200 duration 0:08:29 bytes 85044 TCP FINs
Jan 23 2007 14:24:49: %PIX-6-302013: Built inbound TCP connection 93288521 for Outside:10.98.1.20/1620 (10.98.1.20/1620) to Inside:10.15.6.6/3200 (10.15.6.6/3200)
Die Meldung um 13:21 Uhr passt zu der Zeit, wo er das Problem gemeldet hat.
-
Hallo Wordo, heisst das dass der Client die Verbindung beendet, ohne ein ACK zum Server zu schicken? Hast Du eine Idee, wie sowas zustande kommen könnte?
-
Hallo,
auf der PIX kann ich folgende Meldungen sehen:
Local4.Info pix01 Jan 23 2007 13:21:43: %PIX-6-302014: Teardown TCP connection 92729578 for Outside:10.98.1.20/1122 to Inside:10.15.6.6/3200 duration 4:23:52 bytes 3312215 FIN Timeout
Es werden sporadische SAP Session-Abbrüche gemeldet. Kann mir jemand erkären, was die Meldung genau bedeutet? Was passiert da?
Bei Cisco habe ich was gefunden, das mir aber leider nichts sagt:
FIN Timeout = Force termination after 15 seconds await for last ACK
Danke.
Glady
-
Ausser Drucken, Citrix-Session und Ping geht nichts über die Leitung. Mail, usw. geht alles über die Citrix-Session.
Wie könnte QoS aussehen, um die Citrix-Sessions Vorrang gegenüber Drucken zu geben?
Habe eine neue Erkenntnis. Gegenüber einer FTP-Übertragung habe ich bei der Datenübertragung über die Windows-Freigabe 45% schlechtere Perfomance (Download) und 30% beim Upload. Woran liegt das? Vielleicht ist das auch der Grund für die Verzögerungen bei den Citrix-Sessions.
-
Fu, welches Gerät meinst Du, was ich beschreiben soll?
Kann man das ganz auf den Cisco's auch mit einer Weboberfläche verwalten?
Hat jemand diese Features schon am Laufen? Ich mache mir sorgen, dass das über CLI zum konfigurieren ausartet (Länge und Umfang der Konfig.)
-
no ip http server
no ip http secure-server
!
ip access-list standard route_list_in_allow
remark default
permit xxx 0.0.3.255
permit xxx 0.0.0.255
permit xxx 0.0.7.255
permit xxx 0.0.255.255
!
ip access-list extended internet_in
permit icmp any any administratively-prohibited
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any time-exceeded
permit icmp any any traceroute
permit icmp any any unreachable
permit esp xxx 0.0.0.127 any
permit udp xxx 0.0.0.127 any eq isakmp
deny ip any any
ip access-list extended routemap-clear-df
permit ip xxx 0.0.255.255 any
permit ip any xxx 0.0.255.255
!
logging trap debugging
access-list 10 permit xxx 0.0.0.255
access-list 10 permit xxx 0.0.0.255
access-list 10 permit xxx 0.0.0.255
access-list 10 permit xxx 0.0.0.255
access-list 10 permit xxx 0.0.255.255
access-list 10 permit xxx 0.0.255.255
access-list 10 deny any log
access-list 120 deny udp any eq syslog any
access-list 120 deny udp any eq snmp any
access-list 120 deny udp any eq snmptrap any
access-list 120 deny udp any eq ntp any
access-list 120 deny udp any eq netbios-dgm any
access-list 120 deny udp any eq netbios-ns any
access-list 120 deny udp any eq netbios-ss any
access-list 120 deny udp any range snmp snmptrap any
access-list 120 deny udp any range bootps bootpc any
access-list 120 deny tcp any eq 137 any
access-list 120 deny tcp any eq 138 any
access-list 120 deny tcp any eq 139 any
access-list 120 permit ip any any
dialer-list 1 protocol ip list 120
snmp-server community xxx RO
no cdp run
!
!
!
route-map Clear-DF permit 10
match ip address routemap-clear-df
set ip df 0
!
!
control-plane
!
!
line con 0
password xxx
login
no modem enable
line aux 0
password xxx
login
line vty 0 4
access-class 10 in
exec-timeout 300 0
password xxx
login
!
scheduler max-task-time 5000
ntp clock-period 17179558
ntp source Loopback0
ntp server xxx
end
-
Passt die Konfiguration?
version 12.4
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname xxx
!
boot-start-marker
boot-end-marker
!
logging buffered 40000 debugging
enable secret xxx
!
no aaa new-model
!
resource policy
!
clock timezone MEZ 1
clock summer-time MESZ recurring last Sun Mar 1:00 last Sun Oct 2:00
no ip source-route
ip cef
!
!
!
!
ip tftp source-interface Loopback0
no ip domain lookup
ip host tftp xxx
!
!
isdn switch-type basic-net3
!
key chain key1
key 1
key-string xxx
!
!
username xxx password xxx
!
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key xxx address xxx no-xauth
crypto isakmp key xxx address xxx no-xauth
crypto isakmp key xxx address xxx no-xauth
!
!
crypto ipsec transform-set 3dessha esp-3des esp-sha-hmac
!
crypto ipsec profile P-3dessha
set transform-set 3dessha
!
!
!
!
!
interface Tunnel10
bandwidth 2000
ip address xxx 255.255.255.252
delay 15
tunnel source Dialer1
tunnel destination xxx
tunnel mode ipsec ipv4
tunnel protection ipsec profile P-3dessha
!
interface Tunnel20
bandwidth 2000
ip address xxx 255.255.255.252
delay 10
tunnel source Dialer1
tunnel destination xxx
tunnel mode ipsec ipv4
tunnel protection ipsec profile P-3dessha
!
interface Loopback0
ip address xxx 255.255.255.255
!
interface BRI0
description backup
bandwidth 64
no ip address
encapsulation ppp
dialer pool-member 10
isdn switch-type basic-net3
isdn point-to-point-setup
ppp authentication chap
!
interface ATM0
no ip address
ip mtu 1492
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address xxx 255.255.255.0
ip helper-address xxx
ip authentication mode eigrp 1 md5
ip authentication key-chain eigrp 1 key1
ip tcp adjust-mss 1452
ip policy route-map Clear-DF
!
interface Dialer1
ip address negotiated
ip access-group internet_in in
ip mtu 1492
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxx@qsc-tdsl.de
ppp chap password xxx
ppp pap sent-username xxx@qsc-tdsl.de password xxx
!
interface Dialer10
description eigene rufnummer xxx
bandwidth 64
ip address xxx 255.255.255.252
encapsulation ppp
dialer pool 10
dialer remote-name xxx
dialer idle-timeout 300
dialer string xxx
dialer caller xxx
dialer hold-queue 30
dialer-group 1
no cdp enable
ppp authentication chap
ppp multilink
!
router eigrp 1
passive-interface default
no passive-interface Vlan1
no passive-interface Tunnel10
no passive-interface Tunnel20
network xxx 0.0.0.0
network xxx 0.0.0.0
network xxx 0.0.0.0
network xxx 0.0.0.0
distribute-list route_list_in_allow in Tunnel10
distribute-list route_list_in_allow in Tunnel20
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 Dialer1
-
Hallo,
Kunden melden sporadisch Tastaturverzögerungen über ihre Citrixsessions. Die Umgebung sieht folgendermaßen aus:
In der Zentrale VPN-Router mit VPN-VTI-Konfiguration, 34Mbit Internetanschluss
Aussenstelle C876 mit VPN-VTI-Konfiguration, Internetanschluss theoretisch 6Mbit Download/660Kbit Upload, tatsächlich 2,7Mbit Download/395 Kbit Upload (sh dsl interface atm0).
Ich lasse einen Dauerping von der Zentrale auf das Router-Lan-Interface mit Timestamp laufen. Die Antwortzeiten sind gut. Mit FTP Down- und Upload zur Aussenstelle wird ca. 70-75% der tatsächlichen Bandbreite erreicht.
Hat jemand eine Idee woran die Tastaturverzögerungen im Citrix liegen könnte bzw. wie man die Routerkonfiguration tunen könnte?
Grüße
Glady
-
Ein 2x34Mbit Internetzugang wird für folgendes verwendet:
- Internetzugriff mit mehreren Proxyservern
- Mailversand in/out mit mehreren SMTP-Servern
- VPN-Verbindungen zu vielen Kunden über 3 zentrale VPN-Router
- VPN Remoteeinwahl über mehrere Concentrator
Nun geht es darum, die Internet-Bandbreite intelligent zu priorisieren.
Mögliche Anforderungen wären:
- Variable "Mindestbandbreite" für die einzelnen VPN-Verbinungen. z.B. 512KB, aber auch mehr, wenn es der Gesamtzustand erlaubt
- Fetter Download von den Proxyservern darf die Performance der VPN-Tunnel nicht beeinflussen
- Accounting, Reporting wieviel Bandbreite und Traffic von welchen Geräten benutzt wurde, ServiceLevel Berichte
- Redundante Hardware für die in Frage kommende Hardware
Habe ich etwas vergessen?
Hat jemand Erfahrung mit sowas? Ist das mit Cisco-Routern möglich, falls ja, welche Router kämen in Frage und wie wird das konfiguriert? Falls Cisco, welchen Kurs sollte man besuchen, um das selber konfigurieren und betreuen zu können?
Oder sollte man auf andere Hersteller zurückgreifen? Ich habe gehört, Packeteer soll in die Richtung gehen.
Grüße
Glady
-
Auf TCP-Ebene sieht die PIX die MAC nicht und kann das deswegen nicht. Ob Du per MAC den Zugriff steuerst oder IP ist wurscht, meine ich. Die Mac kann man mit einfachen Tools auch ändern...
Glady
-
Hi Fu!
Danke für Deine Informationen. Da ich nicht weiß, ob irgendeine Anwendung auf irgendeinem Server vielleicht Multicast macht oder in Zukunft machen wird, gebe ich glaube ich vorsorglich den gesamten Multicast-Range frei. Oder spricht sicherheitstechnisch etwas dagegen?
Ich bin nicht gerade der MS-Spezi. Warum versuchen die Server ständig mit den Netbios-Ports ihre Broadcast Adresse zu erreichen? Was ist die Auswirkung, wenn diese Anfragen "unterdrückt" werden (deny per ACL)?
Glady
-
Für Easy-VPN brauchst Du kein "DYNDNS". Das Easy-VPN gibt es schon eine Ewigkeit. Ich würde mal prüfen, ob das nicht doch geht mit Deinem Router.
-
Warum Mac-Adressen und nicht IP-Adressen?
-
Für eine saubere Verbindung hätte ich gesagt entweder machst Du GRE und beauftragst auf der anderen Seite eine feste IP oder Du konfigurierst Easy-VPN mit dyn. IP.
-
Habe deny's drin und weiss die Auswirkung nicht:
Protokoll udp Port 137 & 138 auf die Broadcastadresse des jeweiligen Netzes
Protokoll udp Port 42 auf 224.0.1.24
Protokoll udp Port 67 & 68 auf die Broadcastadresse des jeweiligen Netzes
Protokoll pim auf 224.0.0.13
Protokoll igmp auf 239.255.255.7/24
Protokoll igmp auf 224.0.0.0/23
Protokoll udp auf 239.255.255.250
Verschiedene Server versuchen permanent die Zugriffe teilweise auf ihre eigene Broadcast-IP, teilweise auf Multicast-IP's und werden denied. Ich kann das sehen, anhand der letzten Zeile "deny ip any any log-input".
Muss ich diese Protokolle/Ports frei geben? Kann ich einfach eine Zeile vorher deny auf diese Zugriffe geben ohne log-input und danach die Zeile mit "deny ip any any log-input" schreiben? Was wäre dann die Auswirkung? Ich könnte auch erlauben, aber aus Sicherheitsgründen sollte man ja eher verbieten, da wo's geht.
Danke!
Glady
-
WOOOW 20 Sekunden !!! Super! Danke!
Was ist denn das für ein Befehl?
Hast Du eine Idee wie ich den Verbindungsaufbau selber tunen kann? Im Moment gehen 2-3 Pings verloren.
glady
-
Hi,
hast Du im Interesting-Traffic zum Router das IP-Netz des Clients eingetragen? Siehst Du unter Sessions Pakete raus- oder reingehen?
glady
-
servergespeicherte profile sind zwar auch im Spiel, aber der Tip von Necron wars! Ist Wahnsinn, wieviel das ausgemacht hat.
Danke!:jau:
-
Hallo,
ich habe ein frisch installiertes Win XP Prof. SP2 alle Patches. Hochfahren ist sehr schnell. Nur beim Beenden bracht der sehr lange, merhrere Minuten.
Habe schon die Parameter in der Registry angepasst, Programme "hart" beenden, wenn keine Reaktion, und schnelles runterfahren. Hat aber nichts genutzt. Im Eventlog steht auch nichts falsches.
Hat mir jemand einen Tip, wie ich vorgehen muss, um rauszukriegen, woran das liegt? Bzw. wie kriege ich das runterfahren beschleunigt?
Glady
-
Nachdem ich die Befehle load threshold und load interval auf Router 2 eingetragen habe, habe ich das Problem mit dem "Busy" nicht mehr.
Beide Router benötigen exakt 4 Minuten bis alle Kanäle aufgebaut sind. Mit den Debugs kann ich sehen, dass der Router jedesmal 30 Sekunden wartet, bis er den nächsten Kanal aufbaut. Und 8x 30 sind 240 Sekunden, die hier nicht gewünscht sind.
Weiss jemand warum der Router die 30 Sekunden abwartet, bevor er weitermacht?
-
Ich habe jetzt gedebuggt und festgestellt, dass der Router1 innerhalb der 5 Minuten 12 mal ein Besetzt-Zeichen kriegt, bis mal alle Kanäle aufgebaut sind. Das wird der Grund für die Verzögerung sein. D.h., der Router wählt gleichzeitig jede Rufnummer mehrmals, biss dann mal alle Verbindungen stehen. Nur, wie kann ich das beeinflussen, dass der Router eine Rufnummer (von den Vieren) mit der er schon eine Verbindung hat nicht nochmal anwählt? Evtl. einen Dialer für jede Rufnummer?
Nov 23 12:44:44: Channel ID i = 0xA98398
Nov 23 12:44:44: ISDN Se1/0:15: LIF_EVENT: ces/callid 1/0x8159 CALL_SETUP_ACK
Nov 23 12:44:44: ISDN Se1/0:15: PRI Event: 16, bchan = 23, call type = DATA
Nov 23 12:44:45: ISDN Se1/0:15: RX <- FACILITY pd = 8 callref = 0x8156
Nov 23 12:44:45: Facility i = 0x91A116020200E0020122300DA1053003020103820100830100
Nov 23 12:44:46: - ETSI Supplementary Service, Invoke, AOC-D Charging Units: 3
Nov 23 12:44:46: ISDN Se1/0:15: LIF_EVENT: ces/callid 1/0x8156 CALL_FACILITY_INVOKE
Nov 23 12:44:46: Serial1/0:24: AOC-D Recorded Units = 3
Nov 23 12:44:46: ISDN Se1/0:15: LIF_EVENT: ces/callid 1/0x8156 CALL_FACILITY
Nov 23 12:44:47: ISDN Se1/0:15: RX <- DISCONNECT pd = 8 callref = 0x8159
Nov 23 12:44:47: Cause i = 0x8291 - User busy
Nov 23 12:44:47: Facility i = 0x91A10C020200E10606040082670206
Nov 23 12:44:47: - ETSI Supplementary Service, Invoke, Unsupported operation
Nov 23 12:44:47: Facility i = 0x91A116020200E2020122300DA1053003020100820101830100
VPN über DSL: Citrix, Tastaturverzögerungen
in Cisco Forum — Allgemein
Geschrieben
>Die ICMP Kommunikation von Client zu Server ist fuer das "Aushandeln" der MTU Werte nicht wichtig. Eher ICMP von Gateway zu Client
Wo muss ich dann in so einer Umgebung prüfen:
Server-MLS-Firewall-Firewall-VPN-Router1<-Internet->VPN-Router2-Client
Was ist beim DF-Bit lsöchen der Unterschied zu diesem Verfahren:
Cisco IOS Security Configuration Guide, Release 12.4 - DF Bit Override Functionality8 with IPSec Tunnels [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems
Da steht folgender Hinweis:
Performance Impact
Because each packet is reassembled at the process level, a significant performance impact occurs at a high data rate. Two major caveats are as follows:
•The reassemble queue can fill up and force fragments to be dropped.
•The traffic is slower because of the process switching.
Was habt ihr für Erfahrungen?