Martin Freiberg
-
Gesamte Inhalte
15 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Martin Freiberg
-
-
Hallo,
bei neu in die Domäne gestezten Clientrechnern hat sicg das Clientsetup aufgrund einer falsch zugewiesener Gatewayadresse aufgehängt.
Dieser Bug wurde behoben (siehe auch BUG!?!: Gateway wird auf SBS Clients und Servern per Loginskript überschrieben) , aber das Clientsetup ist nun nicht mehr dazu zu bewegen neu zu starten und die, nicht richtig installierten Anwendungen richtig zu installieren.
Was kann ich da machen? Da es nicht nur um Outlook geht, möchte ich die Anwendungen eigentlich nicht händisch installieren.
Ach ja, die Clients (WinXP SP2) sind in einer anderem Netzwerk als der SBS 2003 Server.
Und noch ein Problem. In der Client-Computerverwaltung des SBS kann ich zwar per Terminaldienste auf die Clients zugreifen, aber die Computerverwaltungskonsole der Clients bringt den Fehler "Netzwerkpfad nicht gefunden". Bei den Clients, die im gleichen Netzwerk sitzen wie der SBS geht das fehlerfrei.
-
O.K., hat sich erledigt. Lag nicht am Tunnel, sondern
BUG!?!: Gateway wird auf SBS Clients und Servern per Loginskript überschrieben
-
2013: Built outbound TCP connection 32609 for outside:<IPDummy3>/80 (<IPDummy3>/80) to inside:192.168.57.52/2645 (<IPDummy2>/15557)
5011: Built dynamic TCP translation from inside:192.168.57.52/2646 to outside:<IPDummy2>/15558
2013: Built outbound TCP connection 32610 for outside:<IPDummy3>/80 (<IPDummy3>/80) to inside:192.168.57.52/2646 (<IPDummy2>/15558)
2014: Teardown TCP connection 32608 for outside:<IPDummy3>/80 to inside:192.168.57.52/2644 duration 0:00:01 bytes 982 TCP FINs
2014: Teardown TCP connection 32607 for outside:<IPDummy3>/80 to inside:192.168.57.52/2643 duration 0:00:01 bytes 6139 TCP FINs
4001: 192.168.57.52 Accessed URL <IPDummy3>:/freenet/dsl2/src/nav_punkte_frn.gif
4001: 192.168.57.52 Accessed URL <IPDummy3>:/freenet/zugang/sourcen/bg05.gif
5011: Built dynamic TCP translation from inside:192.168.57.52/2647 to outside:<IPDummy2>/15559
2013: Built outbound TCP connection 32611 for outside:<IPDummy3>/80 (<IPDummy3>/80) to inside:192.168.57.52/2647 (<IPDummy2>/15559)
2014: Teardown TCP connection 32609 for outside:<IPDummy3>/80 to inside:192.168.57.52/2645 duration 0:00:01 bytes 966 TCP FINs
4001: 192.168.57.52 Accessed URL <IPDummy3>:/freenet/zugang/sourcen/reiter_bg_590.gif
5011: Built dynamic TCP translation from inside:192.168.57.52/2648 to outside:<IPDummy2>/15560
2013: Built outbound TCP connection 32612 for outside:<IPDummy3>/80 (<IPDummy3>/80) to inside:192.168.57.52/2648 (<IPDummy2>/15560)
2014: Teardown TCP connection 32610 for outside:<IPDummy3>/80 to inside:192.168.57.52/2646 duration 0:00:01 bytes 5041 TCP FINs
4001: 192.168.57.52 Accessed URL <IPDummy3>:/freenet/dsl/src/punkt.gif
5011: Built dynamic TCP translation from inside:192.168.57.52/2649 to outside:<IPDummy2>/15561
2013: Built outbound TCP connection 32613 for outside:<IPDummy3>/80 (<IPDummy3>/80) to inside:192.168.57.52/2649 (<IPDummy2>/15561)
5011: Built dynamic TCP translation from inside:192.168.57.52/2650 to outside:<IPDummy2>/15562
2013: Built outbound TCP connection 32614 for outside:<IPDummy3>/80 (<IPDummy3>/80) to inside:192.168.57.52/2650 (<IPDummy2>/15562)
2014: Teardown TCP connection 32612 for outside:<IPDummy3>/80 to inside:192.168.57.52/2648 duration 0:00:01 bytes 957 TCP FINs
altech# ar
altech#
-
mach ich gleich, ist grad jemand anderes am testen auf der PIX:
anbei ein sh log
slog logging: enabled
Facility: 20
Timestamp logging: disabled
Standby logging: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: level informational, 120385 messages logged
Trap logging: disabled
History logging: disabled
Device ID: disabled
32576 for outside:<IPDummy1>/80 to inside:192.168.57.52/2616 duration 0:00:01 bytes 3642 TCP FINs
5011: Built dynamic TCP translation from inside:192.168.57.52/2619 to outside:<IPDummy2>/15531
2013: Built outbound TCP connection 32579 for outside:<IPDummy1>/80 (<IPDummy1>/80) to inside:192.168.57.52/2619 (<IPDummy2>/15531)
4001: 192.168.57.52 Accessed URL <IPDummy1>:/images/360/3462360,h=86,pd=1,tlr=true,w=145.jpg
2014: Teardown TCP connection 32577 for outside:<IPDummy1>/80 to inside:192.168.57.52/2617 duration 0:00:01 bytes 3274 TCP FINs
4001: 192.168.57.52 Accessed URL <IPDummy1>:/images/324/3422324,h=86,pd=2,tlr=true,w=145.jpg
5011: Built dynamic TCP translation from inside:192.168.57.52/2620 to outside:<IPDummy2>/15532
2013: Built outbound TCP connection 32580 for outside:<IPDummy1>/80 (<IPDummy1>/80) to inside:192.168.57.52/2620 (<IPDummy2>/15532)
5011: Built dynamic TCP translation from inside:192.168.57.52/2621 to outside:<IPDummy2>/15533
2013: Built outbound TCP connection 32581 for outside:<IPDummy1>/80 (<IPDummy1>/80) to inside:192.168.57.52/2621 (<IPDummy2>/15533)
2014: Teardown TCP connection 32578 for outside:<IPDummy1>/80 to inside:192.168.57.52/2618 duration 0:00:01 bytes 3148 TCP FINs
4001: 192.168.57.52 Accessed URL <IPDummy1>:/images/190/3462190,h=86,pd=2,tlr=true,w=303.jpg
2014: Teardown TCP connection 32579 for outside:<IPDummy1>/80 to inside:192.168.57.52/2619 duration 0:00:01 bytes 2902 TCP FINs
4001: 192.168.57.52 Accessed URL <IPDummy1>:/images/336/3422336,h=86,pd=2,tlr=true,w=145.jpg
Built dynamic TCP translation from inside:192.168.57.52/2645 to outside:<IPDummy2>/15557
-
Die Einstellungen der PIX NICs
Servseitig:
intern 100full 1500 LAN
extern auto 1456 (Telekom Vorgabe) DSL
Clientseitig:
extern 100full 1500 LAN?
intern auto 1500 LAN
-
Kann ja sein, das du immer vom gleich Client aus testest und der das Problem mit der Karte hat.
Fu
Der Internetzugriff geht ja fehlerfrei und flott. Damit kann ich ja Hardwarefehler auf allen beteiligten Schnittstellen ausschließen, sprich auf allen Schnittstellen da ja sowohl vomn Server aus, als auch vom Client aus der Zugriff ins Internet flott geht.
-
Bin gleich wieder da, muss mal mit Hundi raus ;-)
-
PIX auf Serverseite
-------------------------------------
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
access-list inside_outbound_nat0_acl permit ip 192.168.137.0 255.255.255.0 LAN_AndesnichtinBetrieb 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 192.168.137.0 255.255.255.0 LAN-VomCLIENT 255.255.255.0
access-list inside_outbound_nat0_acl permit ip host SBS 192.168.136.0 255.255.255.224
access-list outside_cryptomap_20 permit ip 192.168.137.0 255.255.255.0 LAN_AndesnichtinBetrieb 255.255.255.0
access-list inside_access_in permit ip any any
access-list outside_cryptomap_40 permit ip 192.168.137.0 255.255.255.0 LAN-VomCLIENT 255.255.255.0
access-list outside_access_in permit ip LAN_AndesnichtinBetrieb 255.255.255.0 any
access-list outside_access_in permit ip LAN-VomCLIENT 255.255.255.0 any
access-list outside_access_in permit icmp 192.168.136.0 255.255.255.224 host SBS
access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq 3389
access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq 445
access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq www
access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq https
access-list outside_access_in permit udp 192.168.136.0 255.255.255.224 host SBS eq domain
access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq domain
access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq 4125
access-list outside_cryptomap_dyn_20 permit ip any 192.168.136.0 255.255.255.224
access-list VPNGroupServer_splitTunnelAcl permit ip host SBS any
pager lines 24
icmp permit any outside
icmp permit any inside
mtu outside 1456
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.137.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPNServerIP 192.168.136.1-192.168.136.30
..
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
..
floodguard enable
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer <IP-Dummy-1>
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 40 ipsec-isakmp
crypto map outside_map 40 match address outside_cryptomap_40
crypto map outside_map 40 set peer <IP-Dummy-2>
crypto map outside_map 40 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address <IP-Dummy-2> netmask 255.255.255.255 no-xauth no-config-mode
isakmp key ******** address <IP-Dummy-1> netmask 255.255.255.255 no-xauth no-config-mode
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup VPNGroupServer address-pool VPNServerIP
vpngroup VPNGroupServer dns-server SBS
vpngroup VPNGroupServer wins-server SBS
vpngroup VPNGroupServer split-tunnel VPNGroupServer_splitTunnelAcl
vpngroup VPNGroupServer idle-time 1800
vpngroup VPNGroupServer password ********
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname *********
vpdn group pppoe_group ppp authentication pap
vpdn username ********* password *********
-
PIX auf Clientseite
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
.....
hostname MyDomainClientseitig
domain-name myDomainClient
...
...
...
access-list outside_access_in permit icmp host <IP-AdresseDummy5>any
access-list outside_access_in permit icmp any any echo
access-list outside_access_in permit icmp any any echo-reply
access-list outside_access_in permit ip 192.168.58.0 255.255.255.192 192.168.57.0 255.255.255.0
access-list outside_access_in permit ip host <IP-AdresseDummy5>any
access-list outside_access_in permit tcp <IPAdresseDummy10> 255.255.255.252 host <IP-AdresseDummy3> eq 3299
access-list outside_access_in permit ip 192.168.137.0 255.255.255.0 any
access-list inside_outbound_nat0_acl permit ip 192.168.57.0 255.255.255.0 192.168.58.0 255.255.255.192
access-list inside_outbound_nat0_acl permit ip 192.168.57.0 255.255.255.0 192.168.137.0 255.255.255.0
access-list outside_cryptomap_dyn_20 permit ip any 192.168.58.0 255.255.255.192
access-list vpnclients_splitTunnelAcl permit ip 192.168.57.0 255.255.255.0 192.168.58.0 255.255.255.192
access-list outside_cryptomap_20 permit ip host <IP-AdresseDummy3> <IPAdresseDummy10> 255.255.255.252
access-list outside_cryptomap_40 permit ip 192.168.57.0 255.255.255.0 192.168.137.0 255.255.255.0
..
logging on
logging buffered informational
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
ip address outside <IP-AdresseDummy4> 255.255.255.248
ip address inside 192.168.57.254 255.255.255.0
..
ip local pool vpncippool 192.168.58.1-192.168.58.32
.....
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 192.168.57.0 255.255.255.0 0 0
static (inside,outside) <IP-AdresseDummy3> 192.168.57.10 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 <IPAdresseDummy11> 1
...
......
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer <IP-AdresseDummy1>
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 40 ipsec-isakmp
crypto map outside_map 40 match address outside_cryptomap_40
crypto map outside_map 40 set peer <IP-AdresseDummy2>
crypto map outside_map 40 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address <IP-AdresseDummy1> netmask 255.255.255.255 no-xauth no-config-mode
isakmp key ******** address <IP-AdresseDummy2> netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup vpnclients address-pool vpncippool
vpngroup vpnclients split-tunnel vpnclients_splitTunnelAcl
vpngroup vpnclients idle-time 1800
vpngroup vpnclients password ********
...
username ************ password ************* encrypted privilege 15
username *********** password ************* encrypted privilege 3
-
Ich habe die beiden PIXen per PDM konfiguriert. Soll ich die Konfig posten?
-
außerdem habe ich ja icmp komplett erlaubt auf den PIXen. Die Fragmentierung dürfte dann doch nicht so das Problem sein??
-
und wo kann ich die NIC-Fehler überprüfen?? von wegen kapuutes Interface??
-
An welchen NICs soll ich das Autosensing überprüfen, an den der PIXen, intern oder extern, oder an den lokalen NIC der Clients oder des Servers??
Und surfen geht flott, auch der Zugriff per RemoteVPN auf die PIXen und dann auf den Server oder einen Client in beiden Netzen geht flott.
ALLES geht flott, nur die Net-to-Net VPN-Verbindung macht Ärger.
-
Hallo,
ich habe hier einen VPN Fehler der mich zur Verzweiflung treibt. Ich weis das das eigentlich die falsche Gruppe ist, aber es gibt ja keine allg. Netzwerk-Gruppe und keine für Cisco.
Es geht um eine Net-to-Net Verbindung zwischen zwei Cisco PIXen. Auf der einen Seite ist ein SBS 2003, auf der anderen Seite ein LAN mit 5 Domänenclients (WinXP SP2). Die LANs haben unterschiedliche IP-Adressbereiche.
Diese Verbindung ist viel zu langsam. Vor allem wenn Datnverkehr über die Leitung geht, fangen die Ping-Zeiten an zu hopsen, ala
3000ms
220ms
2800ms
300ms
4200ms
120ms
....
Im Leerlauf liegt der Ping bei ca. 60ms. Bei den Remote-VPN Verbindungen zu den einzelnen PIXen liegt der Leerlaufwert so bei 40ms.
Die Verbindung so langsam das es fast unmöglich ist Daten über die Datei-Freigabe auszutauschen. Auch der Zugriff auf comanyweb, OWA etc. ist sehr langsam, abewr eigentlich funktionieren alle Anwendungen zumindest mal grundsätzlich irgendwie.
RDP über die VPN-Verbindung geht aber relativ flott, auf jedenfall kann man dran arbeiten.
Manchmal geht auch die DNS-Namensauflösung nicht, meist aber doch.
IPconfig /all zeigt nichts an was nicht sein sollte.
Die Clients beziehen ihre IP von der PIX, DNS-Server ist der SBS durch den Tunnel.
ICMP wurde auf allen NIC der beiden PIXen komplett erlaubt.
Kann mir bitte jemand weiterhelfen?? Wir können hier fast nicht arbeiten.
Fehler bei Clientsetup
in Windows Server Forum
Geschrieben
Kann mir niemand weiterhelfen?