DocZenith
-
Gesamte Inhalte
235 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von DocZenith
-
-
Servus!
Ich weiß nicht genau, ob es in die Rubrik "Tipps & Links" passt, aber ich versuchs trotzdem mal.
Weiß jemand, ob man BB CALs, die auf einem bestehenden BB Server in einer Domäne eingetragen wurden, dort löschen kann und auf einen BB Server einer anderen Domäne wieder eintragen kann. Der Versionsstand beider BB Server ist unterschiedlich. Bei einem ersten Test hat es zumindest schon mal nicht funktioniert.
Ich kenne mich hier leider nicht wirklich sehr aus, kenne die Lizenzpolitik von RIM nicht, google hat mir bisher nur sehr wenig helfen können :-(
Hoffe einer hat eine Info für mich.
Gruß.
-
Hey!
Bekommst du die Sachen alle über die Firma finanziert?
-
Wer gerne Putty nutzt, es gibt auch Putty Connection Manager. Auch sehr interessant.
Gruß.
-
Hallo,
wollte mal in die Runde fragen, welcher CLI Client denn so am beliebtestens ist, für die Arbeit an Cisco Equipment.
Es gibt ja etliches wie Putty, Windows Telnet, HyperTerminal,....
Gruß.
-
Hi,
du könntest hier nachfragen.
Com training and services |Partner for Learning Solutions
Je nach Niederlassung kann man bei denen auch Cisco Exams ablegen, über PersonVUE.
Gruß.
-
Wow!
Ich hab das Problem gerade gelöst! Unglaublich, es lag am Routing! Eine statische Route hat gefehlt. Wie kann sowas einfach verwinden, am Tag, während der Arbeitzeit...?!?!
Habe es rausgefunden über einen eingerichteten Debug:
access-list 188 permit ip any a.b.c.ddebug ip packet detail 188
Hier konnte ich sehen, dass der Router die VPN über einen bereits vorhandenen GRE Tunnel aufbauen wollte und nicht über das Dialer Interface, wie es sonst richtig ist!
In so fern hatte Wordo dann auch recht, mit dem NAT Problem ;-)
Vielen Dank für die Tipps und Unterstützung.
Gruß.
-
Hallo Wordo,
naja, nicht wirklich Comprende :-(
Es gibt kein physikalisches NAT-Device. Es gibt an jedem Ende ein Router, der direkt am Company Connect des rosa T's hängt, mit öffentl. IP. Auf dem Router selbst ist das NAT konfiguriert, so wie es schon immer konfiguriert war:
IP NAT INSIDE, IP NAT OUTSIDE an den Interfaces und...
ip nat inside source route-map NATLIST interace FastEthernet0/0 overload
route-map NATLIST permit 10
match ip address NONAT
ip access-list extended NONAT
...
Ich kenne sonst keine weitere NAT Einstellung die evtl. explizit für VPN Konfigurationen genutzt wird. Vielleicht reden wir aneinander vorbei.
Aber ich schau weiter die Konfig durch, hoffe noch etwas zu finden...
-
Nabend!
Ich hab jetzt mal das Debug geprüft und etwas eingegrenzt, ich schätze es hängt an folgender Sache:
Jun 28 23:31:38.487 GMT1: ISAKMP: constructed NAT-T vendor-07 ID
Jun 28 23:31:38.487 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 ® MM_SA_SETUP
Jun 28 23:31:38.487 GMT1: ISAKMP: Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jun 28 23:31:38.487 GMT1: ISAKMP: Old State = IKE_R_MM1 New State = IKE_R_MM2
Jun 28 23:31:48.467 GMT1: ISAKMP: received packet from 192.168.1.1 dport 500 sport 500 Global ® MM_SA_SETUP
Jun 28 23:31:48.467 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet.
Jun 28 23:31:48.467 GMT1: ISAKMP: retransmitting due to retransmit phase 1
Jun 28 23:31:48.967 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP...
Jun 28 23:31:48.967 GMT1: ISAKMP: incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
Jun 28 23:31:48.967 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP
Jun 28 23:31:48.967 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 ® MM_SA_SETUP
Jun 28 23:31:58.468 GMT1: ISAKMP: received packet from 192.168.1.1 dport 500 sport 500 Global ® MM_SA_SETUP
Jun 28 23:31:58.468 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet.
Jun 28 23:31:58.468 GMT1: ISAKMP: retransmitting due to retransmit phase 1
Jun 28 23:31:58.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP...
Jun 28 23:31:58.968 GMT1: ISAKMP: incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
Jun 28 23:31:58.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP
Jun 28 23:31:58.968 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 ® MM_SA_SETUP
Jun 28 23:32:08.468 GMT1: ISAKMP: received packet from 192.168.1.1 dport 500 sport 500 Global ® MM_SA_SETUP
Jun 28 23:32:08.468 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet.
Jun 28 23:32:08.468 GMT1: ISAKMP: retransmitting due to retransmit phase 1
Jun 28 23:32:08.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP...
Jun 28 23:32:08.968 GMT1: ISAKMP: incrementing error counter on sa, attempt 3 of 5: retransmit phase 1
Jun 28 23:32:08.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP
Jun 28 23:32:08.968 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 ® MM_SA_SETUP
Der Router versucht 5 mal hintereinander die Verbindung aufzubauen, scheitert aber immer wieder an dem was hier im Debug steht. Danach läuft eigentlich alles wieder von vorne ab. Leider hab ich noch nicht genau rausfinden können, was es sein kann.
Vielleicht hat jemand einen Gedankenblitz, ein Tipp oder ne Idee.
Gruß.
-
Kann es denn sein, dass sich die Verbindungsaufbauversuche beider Router überschneiden, und dadurch Duplikate erzeugt werden und dadurch der Tunnel nicht aufgebaut wird?
Gruß
Ein Verzweifelter
-
Wie sind denn die Settings für Dead Peer Detection (DPD), da scheint was nicht zu passen...
Oder mit NAT, bzw. NAT-T, wie Wordo schon erwähnte?
Ist auf der Gegenseite evtl NAT-T aktiv?
#crypto isakmp nat-traversal
mh...dieser Befehl gibt es bei den Router nicht.
-
Danke für den Hinweis, hat aber leider nicht zum Erfolg geführt.
1) anderer PSK = kein Erfolg
2) Urzeit und Datum sind gleich
-
Router HH2:
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key 12345 address A.B.C.D no-xauth
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set ESP_3DES_SHA1 esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto map MERLIN-AUSSEN 20 ipsec-isakmp
description HH2 <-> HH1
set peer A.B.C.D
set security-association lifetime seconds 28800
set transform-set ESP_3DES_SHA1
match address CRYPTOLIST-HH
qos pre-classify
!
interface Dialer1
description TDSL
bandwidth 927
ip address negotiated
ip access-group INTERNET_IN in
no ip unreachables
ip mtu 1492
ip nat outside
ip inspect LAN out
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1300
load-interval 30
dialer pool 1
dialer remote-name dummy
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname ...
ppp chap password ...
ppp ipcp dns request
crypto map MERLIN-AUSSEN
max-reserved-bandwidth 100
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.100.0.0 255.255.0.0 Dialer1
ip route 10.101.110.0 255.255.255.0 10.101.100.2
!
ip nat inside source route-map NATLIST interface Dialer1 overload
!
ip access-list extended CRYPTOLIST-HH
permit ip 10.101.0.0 0.0.255.255 10.100.0.0 0.0.255.255
!
Router HH:
!
crypto keyring aussenstellen
pre-shared-key address 0.0.0.0 0.0.0.0 key 12345
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp keepalive 10
!
crypto isakmp profile aussenstellen
description LANtoLAN IPSec-Verbindungen zu dynamischen DSL-Aussenstellen
keyring default
keyring aussenstellen
match identity address 0.0.0.0
!
crypto ipsec transform-set ESP_3DES_SHA1 esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto dynamic-map dynmap 10
description Terminierung dynamischer DSL-Aussenstellen
set transform-set ESP_3DES_SHA1
set isakmp-profile aussenstellen
!
crypto map MERLIN-AUSSEN 65535 ipsec-isakmp dynamic dynmap
!
interface FastEthernet0/0
description WAN-Interface
bandwidth 10240
ip address A.B.C.D 255.255.255.248
ip access-group INTERNET_IN in
no ip unreachables
ip nat outside
ip inspect LAN out
ip virtual-reassembly
ip tcp adjust-mss 1300
load-interval 30
duplex full
speed 100
no cdp enable
crypto map MERLIN-AUSSEN
max-reserved-bandwidth 100
service-policy output QoS-CC10-Mother
!
ip classless
ip route 0.0.0.0 0.0.0.0 A.B.C.D
ip route 10.100.110.0 255.255.255.0 10.100.100.2
ip route 10.101.0.0 255.255.0.0 A.B.C.D
ip route 10.101.100.0 255.255.255.0 A.B.C.D
ip route 10.101.110.0 255.255.255.0 A.B.C.D
!
ip nat inside source route-map NATLIST interface FastEthernet0/0 overload
!
ip access-list extended INTERNET_IN
...
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any time-exceeded
...
permit ip 10.101.0.0 0.0.255.255 10.100.0.0 0.0.255.255
...
permit udp any host A.B.C.D eq isakmp
permit esp any host A.B.C.D
permit udp any host A.B.C.D eq non500-isakmp
!
-
davor ist keine Firewall. von daher wird also nichts geblockt. es laufen weitere VPNs auf dem Router, NUR diese eine klappt nicht mehr :-(
gibt es denn bestimmte NAT einstellungen die ich für VPNs beachten muss?
Gruß.
-
Hier mal ein Debug des zweiten Routers, etwas abgekürzt:
Jun 28 11:17:42.734 GMT1: ISAKMP: : success
Jun 28 11:17:42.734 GMT1: ISAKMP:found peer pre-shared key matching
A.B.C.D
Jun 28 11:17:42.734 GMT1: ISAKMP: local preshared key found
Jun 28 11:17:42.734 GMT1: ISAKMP: Scanning profiles for xauth ... vpnclients
Jun 28 11:17:42.734 GMT1: ISAKMP: Authentication by xauth preshared
Jun 28 11:17:42.734 GMT1: ISAKMP: Checking ISAKMP transform 1 against priority 10 policy
Jun 28 11:17:42.734 GMT1: ISAKMP: encryption 3DES-CBC
Jun 28 11:17:42.734 GMT1: ISAKMP: hash SHA
Jun 28 11:17:42.734 GMT1: ISAKMP: default group 2
Jun 28 11:17:42.734 GMT1: ISAKMP: auth pre-share
Jun 28 11:17:42.734 GMT1: ISAKMP: life type in seconds
Jun 28 11:17:42.734 GMT1: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
Jun 28 11:17:42.734 GMT1: ISAKMP: atts are acceptable. Next payload is 0
Jun 28 11:17:42.742 GMT1: ISAKMP: processing vendor id payload
Jun 28 11:17:42.742 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 69 mismatch
Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 245 mismatch
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v7
Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 157 mismatch
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v3
Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 123 mismatch
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v2
Jun 28 11:17:42.746 GMT1: ISAKMP: Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jun 28 11:17:42.746 GMT1: ISAKMP: Old State = IKE_R_MM1 New State= IKE_R_MM1
Jun 28 11:17:42.750 GMT1: ISAKMP: constructed NAT-T vendor-07 ID
Jun 28 11:17:42.750 GMT1: ISAKMP: sending packet to A.B.C.D my_port 500 peer_port 500 ® MM_SA_SETUP
Jun 28 11:17:42.750 GMT1: ISAKMP: Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jun 28 11:17:42.750 GMT1: ISAKMP: Old State = IKE_R_MM1 New State= IKE_R_MM2
Jun 28 11:17:52.723 GMT1: ISAKMP: received packet from A.B.C.D dport 500 sport 500 Global ® MM_SA_SETUP
Jun 28 11:17:52.723 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet.
Jun 28 11:17:52.723 GMT1: ISAKMP: retransmitting due to retransmit phase 1
Jun 28 11:17:53.223 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP...
Jun 28 11:17:53.223 GMT1: ISAKMP: incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
Jun 28 11:17:53.223 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP
Jun 28 11:17:53.223 GMT1: ISAKMP: sending packet to A.B.C.D my_port 500 peer_port 500 ® MM_SA_SETUP
-
Hallo!
Ich bin gerade am verzweifeln, vielleicht kann mir hier jemand weiterhelfen. Heute Mittag ist ohne Einwirkung, oder Konfigurationsänderung eine VPN Strecke zwischen zwei Standorten ausgefallen. die Verbindung läuft sonst ohne Probleme rund um die uhr. Ich hab beide Router schon neu gestartet; unter sh crypto isakmp sa sieht man kurz, dass die Connection "IDLE" ist, danach direkt wieder down :-(
Befehle wie
clear crypto session remote A.B.C.D oder
clear crypto isakmp ... halfen nicht
Das Debug ist angehängt.
Hoffe das hilft.
Gruß.
-
ok, aber bekomme ich ein vorkonfigurierten Router vom Provider gestellt oder geben die mir Daten vor und ich konfiguriere mein Endgerät?
-
Hallo,
wie kann man sich das vorstellen, was letztendlich beim Kunden aufgestellt wird? Ein Router der dem Provider gehört mit einer öffentl. IP und der nur von diesem konfiguriert werden kann? Hab etwas von Ingress-/Egress-Router gelesen, wird das der Router sein? Oder muss es ein Router geben, der an diesem angeschlossen wird und den wir als Eingangspunkt in die MPLS nehmen, den wir dann auch selbst konfigurieren können (evtl. mit beispielsweise statischen Routen oder simples QoS)?
Zurzeit weiß ich leider nur, dass wir eine MPLS Anbindung bekommen und diese wird über VERIZON verwaltet, welche MPLS-Technologie dahinter steht, weiß ich leider noch nicht.
Gruß.
-
Funktioniert, super Danke!
-
Gibt es irgendwo im Web ne anständige Doku zu IP source Routing?
-
Schade, dennoch Danke für die schnelle Antwort.
-
Hallo!
Ist es möglich, auf einer ASA eine statische Route für eine bestimmte Source IP zu reservieren. Ich möchte das bestimmte Server im LAN die als Default Gateway die ASA eingetragen haben, nicht das Default-Gateway der ASA nutzen, sondern was separates. Der Traffic soll ein anderes Interface nutzen (DMZ). Ich hab in der ASA bisher nur die Option "Tracked" gefunden, was mir in dem Fall nicht weiter hilft.
Gruß.
-
Ok, cool. Danke.
-
Also es sind schon alle Daten die darüber geschickt werden sollen. Lokal steht nur ein weiterer Router mit DMVPN, der über ein virtuelles Defaultgateway per HSRP einspringen soll. Ich lass das jetzt mal konzeptionieren. War ja klar, das das so nicht mit den 10Mbit auf 2Mbit funktionieren wird.
Habt ihr sonst Erfahrungswerte mit MPLS Verbindungen, evtl. sogar vom Anbieter Verizon? Nutzt vielleicht jemand Cisco VoIP in Zusammenspiel mit MPLS?
Gruß.
-
nee, ernsthaft, 10Mbit IPSec VPN sollen durch 2 MBit MPLS ersetzt werden. Ich kann das nicht nachvollziehen :-(
Blackberry Lizenzen übertragen
in Windows Server Forum
Geschrieben
Hi,
- es sind 5er und 10er CALs
- BBES ist 4.1.6.10, auf beiden Seiten
Mein Telco-Provider ist in der hinsicht leider nicht sehr kompetend :-(
Egal, schauen wir mal. In einer Woche bin ich schlauer.
Danke.