Whistleblower

Hm, vllt. bleib ich auch bei 12.4, Flash-Upgrade vorausgesetzt...

Muss jetzt nicht das neueste IOS sein, ausser es geht damit dann QoS über Dialer-IF o.ä. :D

Oops, sorry, war ASA...

Mal sehen, ob ich schnell das Äquivalent fürn Router finde...

crypto ipsec nat-transparency udp-encapsulation

bzw.

no crypto ipsec nat-transparency udp-encapsulation

um NAT-T zu deaktivieren

Danke!

Letztere (15.1) würde passen, oder ich muss ein Flash-Upgrade machen, sofern das geht...

Hab allerdings noch keinerlei Erfahrung mit der 15.1 - gibt es da gravierende Änderungen?

Hm, hab ich beim Cisco Software Advisor nicht gesehen...

Danke für die Info!

Kannst mir vllt. noch kurz die Anforderungen (Flash/Ram) nennen?

Wie sind denn die Settings für Dead Peer Detection (DPD), da scheint was nicht zu passen...

Oder mit NAT, bzw. NAT-T, wie Wordo schon erwähnte?

Ist auf der Gegenseite evtl NAT-T aktiv?

#crypto isakmp nat-traversal

Moin,

sehe ich das richtig, dass es für die 870er Serie kein Advanced Enterprise Services IOS gibt?

Hatte vor kurzem genau das gleiche Phänomen - eins von 5 VPNs kam nicht mehr hoch, keine Änderungen durchgeführt und dem Debug nach zu urteilen ein Phase 1 Problem.

Sämtliche Einstellungen mit der Gegenstelle abgeglichen, keinen Fehler gefunden.

Dann einfach auf Verdacht einen neuen PSK generiert und auf beiden Seiten eingetragen, und es lief wieder... Vorher war der PSK aber auch auf beiden Seiten identisch...

Und check ansonsten nochmal, dass beide Router die korrekte Uhrzeit haben (allerdings sollten dann die anderen VPNs auch irgendwann down gehen, wenns da nicht passt)

Werte scheinen realistisch zu sein (i.d.R. 1%), allerdings liefert er scheinbar nur die (aufgerundeten) Vorkommastellen - ist also 'ne waagerechte Gerade... :D

Supi, Werte bekomme ich damit schon mal, muss ich mal beobachten, ob das passt...

Hi,

mein 871 litt einige Tage unter extremer CPU-Last (i.d.R. um die 97-99%), durch den HTTP CORE Prozess.

Ursache war vermutlich ein infizierter Client :mad:

Der ist jetzt bereinigt (neu installiert) und seitdem ist alles soweit wieder schick. Zukünftig möchte ich aber frühzeitig bemerken, wenn solche Probleme auftreten, und will daher per SNMP die CPU-Last periodisch abfragen, erstmal über PRTG, später auch mal mit Nagios. Leider pollt PRTG standardmäßig nur die Interfaces - gibt es Möglichkeiten, auch die CPU-Last abzufragen?

Das stimmt allerdings, ist nur nirgends so wirklich dokumentiert...

Klappte dann übrigens auch mit dem Cisco-Router, und auch die Einrichtung für dynDNS funktioniert soweit. :)

Okay, Problem gelöst:

Kabeldeutschland speichert scheinbar für eine gewisse Zeit bis zu 2 verbundene MACs ab, alles weitere bekommt dann keine neue IP.

Hab testhalber die MAC vom FastEth3 auf dem D-Link bei der Einrichtung der Internetverbindung eingetragen, und den Router dann für einige Minuten stromlos gemacht - und siehe da, beim Wiederinbetriebnehmen bekam der D-Link für die neue MAC auch eine (neue) IP. :)

Jetzt sollte das nur noch mit dem Cisco-Router klappen...

Hm, das Problem (Feature) scheint bei KabelDeutschland zu liegen... :mad:

Habe mit dem D-Link-Router (DIR-615) ein paar Tests gemacht - der bekommt nur eine IP zugewiesen, wenn z.B. die MAC eines verbundenen Rechners in den Einstellungen eingetragen wird...

Was ist das bitte ???

Hallo zusammen,

habe momentan ein kleines Problem (oder nur einen Denkfehler):

Will einen 871er am KD-Anschluss betreiben, da FastEth4 bereits für ein (späteres) DSL-Backup reserviert ist (s.a. http://www.mcseboard.de/cisco-forum-allgemein-38/ha-vpn-cisco-871-moeglich-166093.html), soll FastEth3 mit über ein zweites VLAN-Interface für KD genutzt werden.

Allerdings bekomme ich leider keine IP vom Netz zugewiesen.

Der Anschluss an sich funktioniert (z.B. an D-Link-Router).

Auszug der Config:

sh run int fast 3
Building configuration...

Current configuration : 102 bytes
!
interface FastEthernet3
description *** Link KabelDeutschland ***
switchport access vlan 199
end

sh run int vlan 199
Building configuration...

Current configuration : 327 bytes
!
interface Vlan199
description VLAN_fuer_KabelDeutschland-Link
ip ddns update hostname xxx.dyndns.org
ip ddns update xxx_dyndns
ip address dhcp
ip access-group outside_rule in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
crypto map staticmap
end

Leider keine IP:

sh int vlan 199
Vlan199 is up, line protocol is up
 Hardware is EtherSVI, address is 0019.55f3.e80b (bia 0019.55f3.e80b)
 Description: VLAN_fuer_KabelDeutschland-Link
 Internet address will be negotiated using DHCP
 MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
    reliability 255/255, txload 1/255, rxload 1/255
 Encapsulation ARPA, loopback not set
 ARP type: ARPA, ARP Timeout 04:00:00
 Last input 00:00:00, output never, output hang never
 Last clearing of "show interface" counters never
 Input queue: 1/75/0/0 (size/max/drops/flushes); Total output drops: 0
 Queueing strategy: fifo
 Output queue: 0/40 (size/max)
 5 minute input rate 20000 bits/sec, 32 packets/sec
 5 minute output rate 0 bits/sec, 0 packets/sec
    33868 packets input, 2049237 bytes, 0 no buffer
    Received 33868 broadcasts, 0 runts, 0 giants, 0 throttles
    0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
    237 packets output, 146466 bytes, 0 underruns
    0 output errors, 5 interface resets
    0 unknown protocol drops
    0 unknown protocol drops
    0 output buffer failures, 0 output buffers swapped out

Kann es sein, dass ich irgendwo noch eine MAC durchreichen muss? Beim D-Link musste ich eine eintragen, erst dann bekam der auch eine IP zugewiesen...

Nachtrag:

Auch mit konfiguriertem ETH4 (Dialer-Konfig gelöscht) keine IP...

Richtig, HA-VPN ist (erstmal) außen vor, wäre aber sicherlich eine interessante Erweiterung... Ich stehe der Verfügbarkeit von KabelDeutschland immer noch relativ skeptisch gegenüber... :D

Teil 4 (von 3 :D ):

ip access-list extended outside_rule
remark ### NTP-Server ###
permit udp host 192.53.103.104 eq ntp host dyn_pubIP_Kabel eq ntp
permit udp host 192.53.103.108 eq ntp host dyn_pubIP_Kabel eq ntp
permit udp host 194.25.2.129 eq domain any
remark ### VPN vpn2_ ###
permit ahp host IP_vpn2 host dyn_pubIP_Kabel
permit esp host IP_vpn2 host dyn_pubIP_Kabel
permit udp host IP_vpn2 host dyn_pubIP_Kabel eq isakmp
remark ### VPN vpn4_ ###
permit esp host IP_vpn4 host dyn_pubIP_Kabel
permit udp host IP_vpn4 host dyn_pubIP_Kabel eq isakmp
remark ### VPN vpn3_ ###
permit esp host IP_vpn3 host dyn_pubIP_Kabel
permit udp host IP_vpn3 host dyn_pubIP_Kabel eq isakmp
remark ### VPN vpn1_ ###
permit esp host IP_vpn1 host dyn_pubIP_Kabel
permit udp host IP_vpn1 host dyn_pubIP_Kabel eq isakmp
remark ### VPN vpn5_ ###
permit esp host IP_vpn5 host dyn_pubIP_Kabel
permit udp host IP_vpn5 host dyn_pubIP_Kabel eq isakmp
permit udp host IP_vpn5 host dyn_pubIP_Kabel eq non500-isakmp
remark ### Anti-Spoofing ###
deny   ip 10.150.0.0 0.0.255.255 any
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 10.48.0.0 0.15.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip host 255.255.255.255 any
deny   ip host 0.0.0.0 any
deny   ip any any log
ip access-list extended vpn_vpn1_
permit ip 10.150.1.0 0.0.0.255 192.168.93.0 0.0.0.255
deny   ip any any
ip access-list extended vpn_vpn4_
permit ip 10.150.1.0 0.0.0.255 192.168.1.0 0.0.0.255 log
permit ip 10.150.1.0 0.0.0.255 192.168.85.0 0.0.0.255 log
deny   ip any any
ip access-list extended vpn_vpn5
permit ip 10.150.0.0 0.0.255.255 10.160.0.0 0.0.255.255
permit ip 10.150.0.0 0.0.255.255 192.168.60.0 0.0.0.255
permit ip 192.168.50.0 0.0.0.255 10.160.0.0 0.0.255.255
ip access-list extended vpn_vpn2
remark IPSec Rule
permit ip 10.150.0.0 0.0.255.255 10.120.0.0 0.0.255.255
deny   ip any any
ip access-list extended vpn_vpn3
remark IPSec Rule
permit ip 10.150.0.0 0.0.255.255 10.170.0.0 0.0.255.255
deny   ip any any
!

access-list 1 remark INSIDE_IF=vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.150.0.0 0.0.255.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 10.150.0.0 0.0.255.255
access-list 106 remark Client_Split
access-list 106 permit ip 10.150.0.0 0.0.255.255 any
access-list 106 permit ip 10.160.0.0 0.0.255.255 any
access-list 106 permit ip 10.120.0.0 0.0.255.255 any
access-list 110 permit ip 10.150.0.0 0.0.255.255 192.168.15.0 0.0.0.255
no cdp run

!
!
!
route-map TDSL permit 1
match ip address NAT_rule
!
route-map Kabel permit 1
match ip address NAT_rule
!
!
control-plane
!
!
line con 0
logging synchronous
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
session-timeout 60
access-class mgmt_rule in
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

Sind wahrscheinlich noch einige Fehler drin, muss ich dann vor Ort anpassen.

Aber vom Prinzip richtig gedacht? Alles ausser Traffic für vpn1 soll über's "Kabel"-Interface rausgehen...

Teil 3:

interface Dialer1
description tdsl_flat$FW_OUTSIDE$
bandwidth 2048
ip address negotiated
ip access-group outside_rule in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxx
ppp chap password 7 xxx
crypto map staticmap
!
ip local pool clientpool 192.168.50.240 192.168.50.254
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet3
ip route 10.150.4.0 255.255.255.0 10.150.1.254
ip route 10.150.5.0 255.255.255.0 10.150.1.254
ip route 10.150.14.0 255.255.255.0 10.150.1.254
ip route 192.168.93.0 255.255.255.0 Dialer1
ip route IP_vpn1 255.255.255.255 Dialer1
ip route 192.168.99.0 255.255.255.0 10.160.1.1
no ip http server
ip http secure-server
ip http secure-port 50443
!
ip nat inside source route-map KABEL interface FastEthernet3 overload
ip nat inside source route-map TDSL interface Dialer1 overload
ip nat inside source static tcp 10.150.1.210 80 dyn_pubIP_Kabel 80 route-map NAT_rule extendable
ip nat inside source static tcp 10.150.1.210 443 dyn_pubIP_Kabel 443 route-map N-rule extendable
!
ip access-list extended NAT_rule
remark NAT-Ausnahme Site2Site
deny   ip 10.150.0.0 0.0.255.255 10.160.0.0 0.0.255.255
deny   ip 10.150.1.0 0.0.0.255 192.168.99.0 0.0.0.255
deny   ip 10.150.0.0 0.0.255.255 10.120.0.0 0.0.255.255
deny   ip 10.150.0.0 0.0.255.255 10.170.0.0 0.0.255.255
deny   ip 10.150.1.0 0.0.0.255 192.168.93.0 0.0.0.255
deny   ip 10.150.1.0 0.0.0.255 192.168.1.0 0.0.0.255
deny   ip 10.150.0.0 0.0.255.255 192.168.210.0 0.0.0.255
deny   ip 10.150.1.0 0.0.0.255 192.168.85.0 0.0.0.255
deny   ip 10.150.0.0 0.0.255.255 192.168.60.0 0.0.0.255
deny   ip 10.150.0.0 0.0.255.255 192.168.50.0 0.0.0.255
remark Alles andere natten
permit ip 10.150.0.0 0.0.255.255 any
ip access-list extended inside_rule
remark ### Traffic_Site2Site ###
permit ip 10.160.0.0 0.0.255.255 any
permit ip 192.168.99.0 0.0.0.255 10.150.1.0 0.0.0.255
permit ip 10.170.0.0 0.0.255.255 10.150.0.0 0.0.255.255
permit ip 192.168.93.0 0.0.0.255 10.150.0.0 0.0.255.255
permit ip 192.168.1.0 0.0.0.255 10.150.1.0 0.0.0.255
permit ip 192.168.85.0 0.0.0.255 10.150.1.0 0.0.0.255
permit ip 10.120.0.0 0.0.255.255 10.150.0.0 0.0.255.255
permit ip 192.168.210.0 0.0.0.255 10.150.0.0 0.0.255.255
permit ip 192.168.60.0 0.0.0.255 any
permit ip 192.168.50.0 0.0.0.255 any
permit ip 192.168.15.0 0.0.0.255 host 10.150.4.108
permit gre any any log
permit icmp any any
deny   ip any any
ip access-list extended mgmt_rule
remark VTY Access-class list
[..]
deny   ip any any

Teil 2:

crypto isakmp profile allusersprofile
  description Remote access users profile
  match identity group allusers
  client authentication list remoteaccess
  isakmp authorization list allusers
  client configuration address respond
crypto isakmp profile vpn1_profile
  description Tunnel vpn1_zuNiederlassung
  keyring vpn1_keyring
  match identity address IP_vpn1 255.255.255.255
crypto isakmp profile vpn2_profile
  description Tunnel vpn2_zuNiederlassung
  keyring vpn2_keyring
  match identity address IP_vpn2 255.255.255.255
crypto isakmp profile vpn3_profile
  description Tunnel vpn3_zuNiederlassung
  keyring vpn3_keyring
  match identity address IP_vpn3 255.255.255.255
crypto isakmp profile vpn4_profile
  description Tunnel vpn4_zuNiederlassung
  keyring vpn4_keyring
  match identity address IP_vpn4 255.255.255.255
crypto isakmp profile vpn5_profile
  description Tunnel vpn5_zuNiederlassung
  keyring vpn5_keyring
  match identity address IP_vpn5 255.255.255.255
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set VPN_vpn1_ esp-3des esp-md5-hmac
crypto ipsec transform-set VPN_vpn1_2 esp-aes 256 esp-sha-hmac
crypto ipsec transform-set VPN_vpn4 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES192-SHA esp-aes 192 esp-sha-hmac
!
crypto dynamic-map dynmap 5
set transform-set ESP-3DES-SHA
set isakmp-profile allusersprofile
!
!
crypto map ext_staticmap 1 ipsec-isakmp
description Tunnel to vpn1
set peer IP_vpn1
set transform-set VPN_vpn1_
set isakmp-profile vpn1_profile
match address vpn_vpn1_
!
crypto map staticmap 1 ipsec-isakmp
description Tunnel to vpn5_
set peer IP_vpn5
set transform-set ESP-3DES-SHA
set pfs group2
set isakmp-profile vpn5_profile
match address vpn_vpn5
crypto map staticmap 4 ipsec-isakmp
description Tunnel to vpn4_
set peer IP_vpn4
set transform-set VPN_vpn4
set pfs group2
set isakmp-profile vpn4_profile
match address vpn_vpn4_
crypto map staticmap 5 ipsec-isakmp
description Tunnel to vpn2_
set peer IP_vpn2
set transform-set ESP-3DES-SHA
set pfs group2
set isakmp-profile vpn2_profile
match address vpn_vpn2
crypto map staticmap 7 ipsec-isakmp
description Tunnel to vpn3_
set peer IP_vpn3
set transform-set ESP-3DES-SHA
set isakmp-profile vpn3_profile
match address vpn_vpn3
crypto map staticmap 65535 ipsec-isakmp dynamic dynmap
!
archive
log config
 hidekeys
!
!
ip tcp synwait-time 10
ip tftp source-interface Vlan1
ip ssh authentication-retries 2
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
description *** Link KabelDeutschland ***
switchport access vlan 199
!
interface FastEthernet4
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan1
description LAN_inside$FW_INSIDE$
ip address 10.150.1.1 255.255.255.0
ip access-group inside_rule out
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect ethernet_0 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1300
no ip mroute-cache
!
interface Vlan199
description VLAN_fuer_KabelDeutschland-Link
ip address dhcp client-id FastEthernet3
ip access-group outside_rule in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
crypto map ext_staticmap
!

Jo, Blog war wohl nur temporär offline...

Anbei mal die Konfig, basierend auf aktuellen Einstellungen - hoffentlich nicht zu konfus, musste natürlich einiges durch Suchen&Ersetzen ändern... ;)

Teil 1 von 3:

!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot system flash c870-advsecurityk9-mz.124-24.T.bin
boot-end-marker
!
logging message-counter syslog
no logging buffered
logging rate-limit 1
logging console critical
enable secret 5 xxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login remoteaccess local
aaa authorization exec default local
aaa authorization network allusers local
!
!
aaa session-id common
clock timezone CET 1
clock summer-time CEST recurring
clock save interval 24
!
crypto pki trustpoint TP-self-signed-2481874788
[..]
!
!
crypto pki certificate chain TP-self-signed-2481874788
certificate self-signed 01
 [..]
       quit
dot11 syslog
no ip source-route
!
!
ip cef
ip inspect name ethernet_0 tcp router-traffic
ip inspect name ethernet_0 ftp
ip inspect name ethernet_0 udp
ip inspect name ethernet_0 realaudio
ip inspect name ethernet_0 h323
ip inspect name ethernet_0 sip
ip inspect name ethernet_0 sip-tls
ip inspect name ethernet_0 fragment maximum 256 timeout 1
ip inspect name ethernet_0 pptp
no ip bootp server
ip domain name irgendwas.local
ip name-server 217.237.149.205
ip name-server 217.237.151.51
ip name-server 194.25.2.129
!
!
vpdn enable
!
!
!
username xxx
!
crypto keyring L2Lkeyring
 description PSK for L2L peers with dynamic addressing
crypto keyring vpn1_keyring
 description PSK for vpn1
 pre-shared-key address IP_vpn1 key xxx
crypto keyring vpn2_keyring
 description PSK for vpn2
 pre-shared-key address IP_vpn2 key xxx
crypto keyring vpn3_keyring
 description PSK for vpn3
 pre-shared-key address IP_vpn3 key xxx
crypto keyring vpn4_keyring
 description PSK for vpn4
 pre-shared-key address IP_vpn4 key xxx
crypto keyring vpn5_keyring
 description PSK for vpn5
 pre-shared-key address IP_vpn5 key xxx
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp policy 4
encr 3des
authentication pre-share
group 2
lifetime 7200
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group allusers
key xxx
dns 10.x.x.x
wins 10.x.x.x
domain irgendwas.local
pool clientpool
acl 106
split-dns irgendwas.local
split-dns irgendwas2.local
pfs

Hm, nach wie vor bin ich mir nicht sicher, ob sich EasyVPN mit der bestehenden Config verträgt.

Deswegen wird wohl erstmal der Router auf den KabelDeutschland-Anschluss umkonfiguriert, und der DSL-Anschluss nur für ein einziges VPN genutzt, alles andere soll dann über Kabel gehen...

Ein Backup von Kabel auf DSL wird dann später nachträglich konfiguriert.

Am meisten stört mich die dynIP bei der Geschichte, aber da gibt's momentan leider keine Alternative zu ...:(

Ich poste hier nachher mal die Konfig, wie ich mir das vorgestellt habe (testen kann ich leider erst später...)

PS: Der obige Blog ist leider grad offline... :(

Hi,

ein grundlegendes Backup (erstmal nur für reinen Internetzugang) über Tracking sollte doch auch mit PBR und Multiple Tracking möglich sein, oder?

Policy Based Routing with the Multiple Tracking Options Feature Configuration Example [iP Routed Protocols] - Cisco Systems

Leider kann ich dem nicht entnehmen, ob das auch mit Dialer Interfaces funktioniert... Ich such nochmal weiter...

Ja, eigentlich...

Wir haben aber eine vermaschte VPN-Struktur, da alle Niederlassungen relativ selbstständig sind, und zudem einige Niederlassungen noch VPN-Verbindungen zu Dritten betreiben, die nicht über die Zentrale laufen müssen/sollen. Dadurch auch die gemischte VPN-Landschaft...

Ist Easy-VPN denn ein Muss dafür?

Hi Wordo,

um EasyVPN habe ich bisher immer einen Bogen gemacht, weil auch VPNs zu Nicht-Cisco Endpunkten aufgebaut werden (z.B. Astaro, Juniper, Nokia), auch von dieser Niederlassung aus.

Vermutlich wird das also nicht ohne größere Änderungen möglich sein, ich werd mich aber mal in das Thema einlesen...

Hi,

wir stehen vor der Herausforderung, eine Niederlassung mit denkbar ungünstigen Rahmenbedingungen zuverlässig an eine Zentrale (ASA 5505) anzubinden.

Der Standort der Niederlassung erlaubt leider keinen brauchbaren ADSL-Anschluss, so dass bisher nur eine 1-2MBit ADSL-Leitung (mit fester IP über PPPoE) vorhanden war, mit einem Upload von 96-128 KBit... :(

Dass darüber weder RDP-Sessions von VoIP annehmbar möglich sind, brauche ich nicht zu erwähnen.

Folglich gibt es jetzt eine zweite Anbindung über Kabel, die auch ziemlich performant ist (32MBit, in der Praxis ca. 20-25 downstream), allerdings keine feste IP beinhaltet.

Um eine grundsätzliche Erreichbarkeit des Standortes sicherzustellen, würde jetzt im Idealfall die Kabelstrecke hauptsächlich genutzt werden, und nur bei Ausfall ein Backup über die langsame Anbindung erfolgen.

Lässt sich das mit dem 871 der Niederlassung und der ASA 5505 in der Zentrale realisieren? VPN-Verbindung müsste von der Niederlassung initialisiert werden oder über dyndns laufen.

Gibt es noch andere Wege, beide Leitungen sinnvoll zu nutzen? Hatte auch schon an eine einfache Lastverteilung anhand des Zielnetzes (VPN über eine Strecke, Internet über andere) nachgedacht, aber performant sollte am besten beides sein, somit bleibt eigentlich nur der Aufbau mit Backup...

Hat jemand so ein Konstrukt am laufen?

Hi Rolf,

hilfreich bei der Fehlersuche ist es, im Hinterkopf zu haben, worum es sich bei discarded pakets eigentlich handelt - wir hatten auch mal bei einem Kunden eine große Zahl an discards (received). Gleichzeitig waren aber keinerlei signifikante FCS, CRC oder andere Fehler auf den Interfaces zu erkennen.

Grundsätzlich sind Discards Pakete, die nicht an eine höhere Schicht weitergegeben werden konnten, Ursache meist Überlastung oder eine hohe Fehlerrate.

Im Gegensatz zu reinen lost pakets waren discards aber bereits "auf der Leitung" brauchten aber zu lange zum Ziel (oder zur höheren Schicht), so dass sie -weil inzwischen nutzlos- verworfen wurden.

In unserem Fall lag das Problem nicht in erster Linie am Netzwerk, sondern an falschen TTLs einer Anwendung, die regelmäßig dafür sorgten, dass Pakete verworfen wurden.

Hier auch nochmal eine gute Erklärung zum Thema:

Packet Loss and Discards

Zur Fehlersuche in Deinem Fall würde ich auch erstmal alle anderen Fehler (CRCs usw.) eliminieren und (wenn dann noch vorhanden) die Clients und Applikationen an den betroffenen Ports untersuchen.

Und die Speed/Duplex-Einstellungen an Switchports und Clients sorgen erfahrungsgemäß immer wieder für interessante Fehlerbilder, inbesondere seit Gigabit. Wenn Auto/Auto und 100FD/100FD nicht sauber laufen, liegts oftmals noch am Treiber der Netzwerkkarte.

Ich hatte auch schon den Fall, dass eine (Broadcom) GBit-NIC unter Linux bei jeglicher Speed-Duplex Konfiguration mit Gigabit empfing, aber nur mit gefühlt 1 MBit sendete - ein anderer Treiber löste das Problem...

Kannst dann ja mal berichten, ob nach Umstellung auf Auto/Auto alles schick war... :)