Whistleblower

Das Thema "MCP und dann..." interessiert mich auch... Habe Anfang 2008 meinen MCP gemacht (79-270) und will dieses Jahr noch den MCSA machen, demnach fehlen mir also noch drei Prüfungen (70-290, 70-291 und Wahl)...

Stimmt das denn nun, dass die Vista-Prüfung auch anstelle von z.B. Exchange entsprechend zählt?

Wobei ich sowohl für Vista als auch für Exchange noch großen Lernbedarf habe...

Doch haben wir... Werd dann das dann mal in die Wege leiten, dass da ein Update draufkommt...

Show version:

Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(9)T1, RELEASE SOFTWARE (fc2)

Im Bugtracker hab ich noch nicht recherchiert...

Hi,

unser 871er hängt sich von Zeit zu Zeit (ca. 2-3x im Jahr) auf, Fehlermeldung ist immer Memory Fragmentation.

Aktuell z.B.:

2009-03-14 17:59:48	Local7.Critical	10.x.x.x	142543: 141969: Mar 14 17:59:47: %SYS-2-MALLOCFAIL: Memory allocation of 780 bytes failed from 0x80358720, alignment 32
2009-03-14 17:59:48	Local7.Critical	10.x.x.x	142544: Pool: I/O  Free: 2480  Cause: Memory fragmentation
2009-03-14 17:59:48	Local7.Critical	10.x.x.x	142545: Alternate Pool: None  Free: 0  Cause: No Alternate pool
2009-03-14 17:59:48	Local7.Critical	10.x.x.x	142546:  -Process= "Pool Manager", ipl= 0, pid= 5 -Traceback= 0x8077C9F0 0x8003D314 0x80042320 0x80358724 0x8006A744 0x8006A99C 0x8002278C 0x80025A3C

Das letzte Mal im November.

Ausser IPACCESSLOG-Einträgen steht nichts im Syslog, was relevant sein könnte...

Hi,

und wie kann ich das auf einem Router (871) ändern?

[uPDATE]

Okay, Info gefunden

Allerdings kann ich

crypto ipsec security-association idle-time 

nur global angeben, möchte es aber auf die Clients beschränken (L2L-VPNs sollen immer online sein).

In der Map

crypto dynamic-map dynmap 5

kann ich es aber nicht eingeben.

Dem stimm ich so zu ;-)

Ich werde dann bei nächster Gelegenheit beide Optionen testen und dann Feedback geben!

Wenn du das DF-Bit weglaesst wird fragmentiert, das ist an sich schon mal schlecht, funktioniert aber. Fragmentierung sollte eigentlich gar nicht stattfinden.

D.h. "Best-Practice" wäre erstmal der Weg über

ip tcp adjust-mss

und nur wenn das nicht fruchtet ein

crypto ipsec df-bit clear

?

Ich hoffe, dass ich das mal in einem Wartungsfenster testen kann... Irgendwie taucht dieses Problem alle Jahre mal wieder auf... :mad:

Da Du nicht schreibst, was für ein VPN-Gateway Du nutzt, weiß ich natürlich nicht, ob´s dieses feature bei Dir gibt.

Oops, ganz vergessen, sind jeweils zwei Cisco 871 Router... Muss ich mal recherchieren, ob es dieses Feature da auch gibt

[uPDATE]

Das Feature gibts scheinbar seit 12.2:

DF Bit Override Functionality with IPSec Tunnels

Hat jemand diesbezüglich positive Erfahrungen sammeln können?

Hi,

Groundwork ist ebenfalls sehr gut gelungen und bietet auch ein einfaches Plugin für NagVis.

Integriert ist bereits eine Auto-Discovery, die Deine Devices erfasst und in der Map darstellen kann. Mit NagVis kannst Du dann das ganze noch übersichtlicher gestalten. Basiert z.Zt. noch auf Nagios 2.x, sollte aber für nicht allzu riesige Umgebungen performant genug sein.

Hi Wordo,

ping -f -l <size> <IP-Adresse>

ergibt von 2 nach 1 allerdings einen Wert von 1200 Byte - stelle ich den dann für die MSS ein, oder muss ich da noch 40 Byte abziehen?

Gibt es evtl. irgendwo mal eine Liste mit Erfahrungswerten zu den Größen?

Hi,

und wieder einmal kämpfe ich mit Problemen, die allem Anschein nach auf nicht passende MTU/MSS-Einstellungen zurückzuführen sind.

Folgende Randbedingungen:

VPN zwischen zwei Standorten, Standort 1 mittels PPPoE (ADSL, feste IP) Standort 2 mit SDSL, feste IP.

- VPN steht, alle Rechner via ICMP erreichbar

- RDP von 1 nach 2 funktioniert

- RDP von 2 nach 1 funktioniert nicht

- http-Server 1 (Linux) am Standort 1 von 2 erreichbar

- http-Server 2 (Windows, VMWare) am Standort 1 von 2 nicht erreichbar

- http/hfs-Server 3 (Windows native) am Standort 1 von 2 nicht erreichbar

- wird von 2 nach 1 eine Verbindung mittels Cisco VPN-Client aufgebaut, sind alle Server erreichbar

MTU-Size (WAN) an Standort 2 auf 1400 eingestellt

ip mtu 1400

MSS (WAN) an Standort 2 auf 1360 eingestellt

ip tcp adjust-mss 1360

Anschließend per

clear crypto session

den Tunnel neu aufgebaut und mittels

show crypto ipsec sa

die neuen Werte verifiziert.

Rechnerseitig habe ich noch mit DrTCP auf den beteiligten Rechnern die MTU-Size bis auf 1300 heruntergedreht.

Alles bisher ohne Erfolg.

Ist es realistisch, dass die Werte noch niedriger sein müssen? Oder gibt es evtl. doch noch andere Quellen für dieses Fehlerbild (aber warum komme ich z.B. auf den Linux Web-Server?) ...?

Liefert mir der Test mit

ping -f -l <size> <IP-Adresse>

zuverlässige Werte? Und wenn ja, kann ich die ermittelten max. Werte dann als MSS oder MTU-Size auf dem Interface eintragen?

Hi,

beim CiscoVPN-Client (bzw. in der crypto isakmp client configuration group) ist standardmäßig ein Timer aktiv, der nach einer bestimmten Zeit (glaube nach 1 Stunde) eine Reauthentifizierung des Users verlangt, und ansonsten die Verbindung trennt. An welcher Stelle kann ich diesen Zeitraum ändern?

Moin,

Vielleicht ein Problem, dass

pppoe-client dial-pool-number 1

sowohl im ATM0 als auch im VLAN20-If steht (auch wenn's ATM0 in shutdown ist)?

Nur mal so'n Ansatzpunkt, sonst auch noch mal die Hinweise von bookweb beachten

Hier kommt sie: :)

PIX Version 6.3(5)125
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxx
passwd xxx encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list vpn_remote_splitTunnelAcl permit ip 192.168.4.0 255.255.255.0 any 
access-list inside_outbound_nat0_acl permit ip 192.168.4.0 255.255.255.0 192.168.104.0 255.255.255.224 
access-list outside_cryptomap_dyn_20 permit ip any 192.168.104.0 255.255.255.224 
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.4.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn_pool 192.168.104.10-192.168.104.20 mask 255.255.255.224
pdm location 192.168.104.0 255.255.255.224 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
http server enable
http 192.168.4.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL 
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup vpn_remote address-pool vpn_pool
vpngroup vpn_remote split-tunnel vpn_remote_splitTunnelAcl
vpngroup vpn_remote idle-time 1800
vpngroup vpn_remote password xxx
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname feste-ip6/xxx
vpdn group pppoe_group ppp authentication chap
vpdn username feste-ip6/xxx password xxx
dhcpd address 192.168.4.2-192.168.4.33 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
username vpnadmin password xxx encrypted privilege 15
terminal width 80
: end

Hi,

habe auf einer "nackten" PIX501 PPPoE (mit fester IP) und ein Remote Access VPN eingerichtet. Split-Tunnel ist aktiv.

Das Verbinden des Clients funktioniert einwandfrei, allerdings kann ich anschließend nicht zwischen den Netzen kommunizieren.

Netz der PIX (inside): 192.168.4.0/24

Remote-Access-Netz: 192.168.104.0/27

Eine NAT-Ausnahme ist entsprechend angelegt, und auch sonst wird nichts geblockt...

Wo kann der Fehler liegen? Die Pakete werden auf der PIX auch de- und encrypted, insofern muss es doch noch irgendwo am NAT o.ä. liegen?

Schönen Dank für die Infos! Wird jetzt ein 861er.

Ist leider auch eine Preisfrage, und bei einem 851/861 kann ich zudem bestehende 871er Konfigs als Vorlage nutzen.

Hallo,

Ich suche gerade für die Anbindung eines kleinen Standortes (5 Mitarbeiter) über VPN einen Cisco-Router. Bisher nutzen wir in anderen Standorten 871er (24/128MB, IOS C870-ADVSECURITYK9-M, Version 12.4(9)T1) und sind damit auch sehr zufrieden.

Bei der Recherche ist mir aufgefallen, dass Cisco mittlerweile auch etwas leistungsschwächere Geräte (max. 5 Tunnel) wie den 851 und 861 anbietet.

Habt Ihr damit schon Erfahrungen gemacht, und was muss ich evtl. beachten? Eingesetzt werden sollen das Advanced Security Feature-Set für Firewall und VPN.

Bezieht sich die "fixed" configuration beim 861 auf die Hardware, d.h. Flash/Ram ist nicht nachträglich erweiterbar?

Danke schon mal vorab!

In der Regel spricht die Stabilität und Perfomance entsprechender Tools dagegen. Hatten z.T. AllSync im Einsatz, an sich ein sehr gutes Tool, leider als Dienst zu häufig abgestürzt.

[uPDATE]

Sorry, kannte SyncToy von MS noch nicht - ist ja vielleicht einen Blick wert.

Läuft es auch stabil unter Server 2003? Steht ja nur XP und Vista als supported drin.

Hi,

ich plane derzeit ein paar Sync-Tasks zwischen zwei Fileservern.

Auf beiden Servern werden unabhängig voneinander Dateien abgelegt.

Der Datenbestand soll stets auf beiden Servern gleich gehalten werden.

Lässt sich soweit ja alles mit robocopy gut realisieren.

ABER:

Wie verhält sich robocopy beim Verschieben von Verzeichnissen oder Umbenennen von Dateien? Kann ich irgendwie verhindern, dass ich dann durch das Syncen Duplikate erzeuge?

Bin für jeden Tipp dankbar!

Hallo,

nur weil das Board USB2.0 Anschlüsse hat, musst das ja nicht heißen, dass Du einen davon erwischt hast :D

Grüße, Robert

Nunja, bei zwei Anschlüssen insgesamt ... ;-)

Problem ist aber jetzt behoben, und zwar in zweierlei Hinsicht:

- BIOS-Update und neues Kabel hat für USB 2.0 Tempo gesorgt

- Mit der Option /SOU /IS scheint es doch möglich zu sein, nur die Berechtigungen neu zu kopieren - werde es aber nochmal im Detail prüfen!

40 Stunden sind korrekt... Leider... :( Das Board hat USB 2.0 (Supermicro P8SCT) und die Platte (Freecom) ist ebenfalls mit USB 2.0... Und wir sprechen nicht von Terrabytes sondern läpischen 150-160Gig... :D

Will das USB-Kabel auch nochmal austauschen und das BIOS überprüfen... Und zum Berechtigungen setzen müssen wirklich nochmal die kompletten Daten übertragen werden? Hm, dassa ungünstig...

Hallo zusammen,

habe eine Frage zu Robocopy.

Habe mittels "robocopy C: D: /[optionen]" Daten auf USB-Platte (NTFS-Partition) kopiert, aber den Parameter "Copyall" dabei vergessen...

Jetzt habe ich erstmal wieder nur "jeder" in den Berechtigungen auf dem Ziel liegen. Gibt es eine Möglichkeit, nur die Berechtigungen nochmal zu kopieren? Standardmäßig kopiert Robocopy ja nur, wenn sich Größe oder Datum geändert haben.

Habs erstmal mit /SOU versucht, aber ohne Erfolg, der Schalter /IS (include same) hat auch nichts gebracht? Irgendwelche Ideen?

Will mir eigentlich den mehrstündigen Kopiervorgang ersparen (dauert sonst nochmal so um die 40 Stunden...)... :(

Hallo Bnice,

 

Bei der Gelegenheit würde ich dann auch gleich Servergespeicherte Profile implementieren.

Hm, mit servergespeicherten Profile haben wir bisher nicht so gute Erfahrungen gemacht, evtl. aufgrund der bisherigen ADS-Probleme, zum anderen aber auch dadurch, dass dann wieder viele Feinheiten wie beispielsweise Speicherort von Outlook pst usw anzupassen sind ... Überlegt habe ich es auch schon öfters, aber es gab bisher immer zuviele Stolperfallen in der Praxis. Beispielsweise auch, dass ich (zum jetzigen Zeitpunkt mit nur einem DC) Ausnahmen für unseren zweiten Standort definieren müsste. Zukünftig soll dort auch ein DC stehen, bevorzugt mit R2 und erweitertem DFS...

Hm, stimmt, das werde ich mir mal näher anschauen und mit einem Client testen. Danke erstmal für den Tip!!