Whistleblower

Das Thema "MCP und dann..." interessiert mich auch... Habe Anfang 2008 meinen MCP gemacht (79-270) und will dieses Jahr noch den MCSA machen, demnach fehlen mir also noch drei Prüfungen (70-290, 70-291 und Wahl)... Stimmt das denn nun, dass die Vista-Prüfung auch anstelle von z.B. Exchange entsprechend zählt? Wobei ich sowohl für Vista als auch für Exchange noch großen Lernbedarf habe...

Doch haben wir... Werd dann das dann mal in die Wege leiten, dass da ein Update draufkommt...

Show version: Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(9)T1, RELEASE SOFTWARE (fc2) Im Bugtracker hab ich noch nicht recherchiert...

Hi, unser 871er hängt sich von Zeit zu Zeit (ca. 2-3x im Jahr) auf, Fehlermeldung ist immer Memory Fragmentation. Aktuell z.B.: 2009-03-14 17:59:48 Local7.Critical 10.x.x.x 142543: 141969: Mar 14 17:59:47: %SYS-2-MALLOCFAIL: Memory allocation of 780 bytes failed from 0x80358720, alignment 32 2009-03-14 17:59:48 Local7.Critical 10.x.x.x 142544: Pool: I/O Free: 2480 Cause: Memory fragmentation 2009-03-14 17:59:48 Local7.Critical 10.x.x.x 142545: Alternate Pool: None Free: 0 Cause: No Alternate pool 2009-03-14 17:59:48 Local7.Critical 10.x.x.x 142546: -Process= "Pool Manager", ipl= 0, pid= 5 -Traceback= 0x8077C9F0 0x8003D314 0x80042320 0x80358724 0x8006A744 0x8006A99C 0x8002278C 0x80025A3C Das letzte Mal im November. Ausser IPACCESSLOG-Einträgen steht nichts im Syslog, was relevant sein könnte...

Hi, und wie kann ich das auf einem Router (871) ändern? [uPDATE] Okay, Info gefunden Allerdings kann ich crypto ipsec security-association idle-time nur global angeben, möchte es aber auf die Clients beschränken (L2L-VPNs sollen immer online sein). In der Map crypto dynamic-map dynmap 5 kann ich es aber nicht eingeben.

Dem stimm ich so zu ;-) Ich werde dann bei nächster Gelegenheit beide Optionen testen und dann Feedback geben!

D.h. "Best-Practice" wäre erstmal der Weg über ip tcp adjust-mss und nur wenn das nicht fruchtet ein crypto ipsec df-bit clear ? Ich hoffe, dass ich das mal in einem Wartungsfenster testen kann... Irgendwie taucht dieses Problem alle Jahre mal wieder auf... :mad:

Oops, ganz vergessen, sind jeweils zwei Cisco 871 Router... Muss ich mal recherchieren, ob es dieses Feature da auch gibt [uPDATE] Das Feature gibts scheinbar seit 12.2: DF Bit Override Functionality with IPSec Tunnels Hat jemand diesbezüglich positive Erfahrungen sammeln können?

Hi, Groundwork ist ebenfalls sehr gut gelungen und bietet auch ein einfaches Plugin für NagVis. Integriert ist bereits eine Auto-Discovery, die Deine Devices erfasst und in der Map darstellen kann. Mit NagVis kannst Du dann das ganze noch übersichtlicher gestalten. Basiert z.Zt. noch auf Nagios 2.x, sollte aber für nicht allzu riesige Umgebungen performant genug sein.

Hi Wordo, ping -f -l <size> <IP-Adresse> ergibt von 2 nach 1 allerdings einen Wert von 1200 Byte - stelle ich den dann für die MSS ein, oder muss ich da noch 40 Byte abziehen? Gibt es evtl. irgendwo mal eine Liste mit Erfahrungswerten zu den Größen?

Hi, und wieder einmal kämpfe ich mit Problemen, die allem Anschein nach auf nicht passende MTU/MSS-Einstellungen zurückzuführen sind. Folgende Randbedingungen: VPN zwischen zwei Standorten, Standort 1 mittels PPPoE (ADSL, feste IP) Standort 2 mit SDSL, feste IP. - VPN steht, alle Rechner via ICMP erreichbar - RDP von 1 nach 2 funktioniert - RDP von 2 nach 1 funktioniert nicht - http-Server 1 (Linux) am Standort 1 von 2 erreichbar - http-Server 2 (Windows, VMWare) am Standort 1 von 2 nicht erreichbar - http/hfs-Server 3 (Windows native) am Standort 1 von 2 nicht erreichbar - wird von 2 nach 1 eine Verbindung mittels Cisco VPN-Client aufgebaut, sind alle Server erreichbar MTU-Size (WAN) an Standort 2 auf 1400 eingestellt ip mtu 1400 MSS (WAN) an Standort 2 auf 1360 eingestellt ip tcp adjust-mss 1360 Anschließend per clear crypto session den Tunnel neu aufgebaut und mittels show crypto ipsec sa die neuen Werte verifiziert. Rechnerseitig habe ich noch mit DrTCP auf den beteiligten Rechnern die MTU-Size bis auf 1300 heruntergedreht. Alles bisher ohne Erfolg. Ist es realistisch, dass die Werte noch niedriger sein müssen? Oder gibt es evtl. doch noch andere Quellen für dieses Fehlerbild (aber warum komme ich z.B. auf den Linux Web-Server?) ...? Liefert mir der Test mit ping -f -l <size> <IP-Adresse> zuverlässige Werte? Und wenn ja, kann ich die ermittelten max. Werte dann als MSS oder MTU-Size auf dem Interface eintragen?

Hi, beim CiscoVPN-Client (bzw. in der crypto isakmp client configuration group) ist standardmäßig ein Timer aktiv, der nach einer bestimmten Zeit (glaube nach 1 Stunde) eine Reauthentifizierung des Users verlangt, und ansonsten die Verbindung trennt. An welcher Stelle kann ich diesen Zeitraum ändern?

Moin, Vielleicht ein Problem, dass pppoe-client dial-pool-number 1 sowohl im ATM0 als auch im VLAN20-If steht (auch wenn's ATM0 in shutdown ist)? Nur mal so'n Ansatzpunkt, sonst auch noch mal die Hinweise von bookweb beachten

Hier kommt sie: :) PIX Version 6.3(5)125 interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password xxx passwd xxx encrypted hostname pixfirewall domain-name ciscopix.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list vpn_remote_splitTunnelAcl permit ip 192.168.4.0 255.255.255.0 any access-list inside_outbound_nat0_acl permit ip 192.168.4.0 255.255.255.0 192.168.104.0 255.255.255.224 access-list outside_cryptomap_dyn_20 permit ip any 192.168.104.0 255.255.255.224 pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside pppoe setroute ip address inside 192.168.4.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool vpn_pool 192.168.104.10-192.168.104.20 mask 255.255.255.224 pdm location 192.168.104.0 255.255.255.224 outside pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_outbound_nat0_acl nat (inside) 1 0.0.0.0 0.0.0.0 0 0 timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 192.168.4.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20 crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map client authentication LOCAL crypto map outside_map interface outside isakmp enable outside isakmp policy 20 authentication pre-share isakmp policy 20 encryption 3des isakmp policy 20 hash sha isakmp policy 20 group 2 isakmp policy 20 lifetime 86400 vpngroup vpn_remote address-pool vpn_pool vpngroup vpn_remote split-tunnel vpn_remote_splitTunnelAcl vpngroup vpn_remote idle-time 1800 vpngroup vpn_remote password xxx telnet timeout 5 ssh timeout 5 console timeout 0 vpdn group pppoe_group request dialout pppoe vpdn group pppoe_group localname feste-ip6/xxx vpdn group pppoe_group ppp authentication chap vpdn username feste-ip6/xxx password xxx dhcpd address 192.168.4.2-192.168.4.33 inside dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd auto_config outside dhcpd enable inside username vpnadmin password xxx encrypted privilege 15 terminal width 80 : end

Hi, habe auf einer "nackten" PIX501 PPPoE (mit fester IP) und ein Remote Access VPN eingerichtet. Split-Tunnel ist aktiv. Das Verbinden des Clients funktioniert einwandfrei, allerdings kann ich anschließend nicht zwischen den Netzen kommunizieren. Netz der PIX (inside): 192.168.4.0/24 Remote-Access-Netz: 192.168.104.0/27 Eine NAT-Ausnahme ist entsprechend angelegt, und auch sonst wird nichts geblockt... Wo kann der Fehler liegen? Die Pakete werden auf der PIX auch de- und encrypted, insofern muss es doch noch irgendwo am NAT o.ä. liegen?

Schönen Dank für die Infos! Wird jetzt ein 861er.

Ist leider auch eine Preisfrage, und bei einem 851/861 kann ich zudem bestehende 871er Konfigs als Vorlage nutzen.

Hallo, Ich suche gerade für die Anbindung eines kleinen Standortes (5 Mitarbeiter) über VPN einen Cisco-Router. Bisher nutzen wir in anderen Standorten 871er (24/128MB, IOS C870-ADVSECURITYK9-M, Version 12.4(9)T1) und sind damit auch sehr zufrieden. Bei der Recherche ist mir aufgefallen, dass Cisco mittlerweile auch etwas leistungsschwächere Geräte (max. 5 Tunnel) wie den 851 und 861 anbietet. Habt Ihr damit schon Erfahrungen gemacht, und was muss ich evtl. beachten? Eingesetzt werden sollen das Advanced Security Feature-Set für Firewall und VPN. Bezieht sich die "fixed" configuration beim 861 auf die Hardware, d.h. Flash/Ram ist nicht nachträglich erweiterbar? Danke schon mal vorab!

In der Regel spricht die Stabilität und Perfomance entsprechender Tools dagegen. Hatten z.T. AllSync im Einsatz, an sich ein sehr gutes Tool, leider als Dienst zu häufig abgestürzt. [uPDATE] Sorry, kannte SyncToy von MS noch nicht - ist ja vielleicht einen Blick wert. Läuft es auch stabil unter Server 2003? Steht ja nur XP und Vista als supported drin.

Hi, ich plane derzeit ein paar Sync-Tasks zwischen zwei Fileservern. Auf beiden Servern werden unabhängig voneinander Dateien abgelegt. Der Datenbestand soll stets auf beiden Servern gleich gehalten werden. Lässt sich soweit ja alles mit robocopy gut realisieren. ABER: Wie verhält sich robocopy beim Verschieben von Verzeichnissen oder Umbenennen von Dateien? Kann ich irgendwie verhindern, dass ich dann durch das Syncen Duplikate erzeuge? Bin für jeden Tipp dankbar!

Nunja, bei zwei Anschlüssen insgesamt ... ;-) Problem ist aber jetzt behoben, und zwar in zweierlei Hinsicht: - BIOS-Update und neues Kabel hat für USB 2.0 Tempo gesorgt - Mit der Option /SOU /IS scheint es doch möglich zu sein, nur die Berechtigungen neu zu kopieren - werde es aber nochmal im Detail prüfen!

40 Stunden sind korrekt... Leider... :( Das Board hat USB 2.0 (Supermicro P8SCT) und die Platte (Freecom) ist ebenfalls mit USB 2.0... Und wir sprechen nicht von Terrabytes sondern läpischen 150-160Gig... :D Will das USB-Kabel auch nochmal austauschen und das BIOS überprüfen... Und zum Berechtigungen setzen müssen wirklich nochmal die kompletten Daten übertragen werden? Hm, dassa ungünstig...

Hallo zusammen, habe eine Frage zu Robocopy. Habe mittels "robocopy C: D: /[optionen]" Daten auf USB-Platte (NTFS-Partition) kopiert, aber den Parameter "Copyall" dabei vergessen... Jetzt habe ich erstmal wieder nur "jeder" in den Berechtigungen auf dem Ziel liegen. Gibt es eine Möglichkeit, nur die Berechtigungen nochmal zu kopieren? Standardmäßig kopiert Robocopy ja nur, wenn sich Größe oder Datum geändert haben. Habs erstmal mit /SOU versucht, aber ohne Erfolg, der Schalter /IS (include same) hat auch nichts gebracht? Irgendwelche Ideen? Will mir eigentlich den mehrstündigen Kopiervorgang ersparen (dauert sonst nochmal so um die 40 Stunden...)... :(

Hm, mit servergespeicherten Profile haben wir bisher nicht so gute Erfahrungen gemacht, evtl. aufgrund der bisherigen ADS-Probleme, zum anderen aber auch dadurch, dass dann wieder viele Feinheiten wie beispielsweise Speicherort von Outlook pst usw anzupassen sind ... Überlegt habe ich es auch schon öfters, aber es gab bisher immer zuviele Stolperfallen in der Praxis. Beispielsweise auch, dass ich (zum jetzigen Zeitpunkt mit nur einem DC) Ausnahmen für unseren zweiten Standort definieren müsste. Zukünftig soll dort auch ein DC stehen, bevorzugt mit R2 und erweitertem DFS...

Hm, stimmt, das werde ich mir mal näher anschauen und mit einem Client testen. Danke erstmal für den Tip!!