DocZenith

Hallo, ich hab eine Verständnisfrage. Ich möchte mit einem 871 Cisco Router, der im internen LAN platziert ist, eine IPSec Verbindung zu einem anderen Standort aufbauen. Das das möglich ist, daran hab ich keine Zweifel, nur weiß ich nicht genau, ob das etwas anders konfiguriert werden muss als wenn der Router selbst das Gateway bzw. die Firewall ist. In dem LAN ist das Gateway ein simpler Netgear Router. Hier habe ich einmal IPSec Passthrough (Port 500) sowie eine statische mit dem zu tunnelnden Netz mit Ziel auf den Cisco Router eingerichtet. Der Cisco macht derzeit leider noch gar keine Reaktion, wenn ich das Zielnetz von einem Host anpinge. Gruß.

15.0.1 und 12.4.24T kann ich nicht installieren, die Memory Spezifikationen sind hier höher (256/64). Was bedeuten denn die ganzen anderen IOS Releases von 12.4? XY? XW? XJ? XC? SNMP könnte ich testen, kannst du ein Programm empfehlen, mit dem ich das aufzeichnen könnte?

Hallo, leider muss ich hier nochmal nachhaken :-( Ich habe nun folgendes Problem. Der Router läuft soweit in der Außenstation, baut brav seine VPN auf, wenn entsprechender Traffic die ACL durchläuft. Nur nach ca. zwei, drei Tagen bricht der Router zusammen. Es wird dann meist auch ein Crashinfo File im Flash erzeugt. Wenn der Router dann neu gestartet wird, läuft es erstmal wieder (bzw. startet sich der Router selbst neu). Ich habe zwei Vermutungen, entweder Hardwarefehler, weil der Router mehrmals unter Last gecrasht ist, oder das IOS hat einfach Probleme. Folgende Infos zum Router (sh ver): Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(15)T1 3, RELEASE SOFTWARE (fc3) Technical Support: Cisco - Shortcut Copyright © 1986-2010 by Cisco Systems, Inc. Compiled Wed 07-Apr-10 16:42 by prod_rel_team ROM: System Bootstrap, Version 12.3(8r)YH6, RELEASE SOFTWARE (fc1) ROUTER uptime is 18 minutes System returned to ROM by power-on System restarted at 09:25:53 GMT1 Thu Apr 22 2010 System image file is "flash:c181x-advipservicesk9-mz.124-15.T13.bin" ... Cisco 1812 (MPC8500) processor (revision 0x400) with 118784K/12288K bytes of mem ory. Wenn der Router gecrasht ist und selbstständig neustartet, steht hierunter (sh version) etwas mit ERROR und einem Hexwert. Leider hab ich den genauen Fehler nicht. Ich habe das neueste IOS aus der T Serie drauf gespielt (c181x-advipservicesk9-mz.124-15.T13.bin). Habt ihr eine Empfehlung für mich, läuft ein anderes IOS vielleicht stabiler? Es gibt da ja bei cisco die unterschiedlichsten Releases, ich hab da leider keinen richtigen Durchblick.

ja, ich habs gerade gemerkt. internet läuft schon mal :-) danke nochmals.

Hi, woran erkenne ich das mein Internetverbindung steht? Sh interface dialer 1 zeigt: Dialer1 is up, line protocol is up (spoofing) Das Interface hat auch eine öffentl. IP erhalten, nur mich wundert das spoofing?!

was ist mit crypto map und service-policy? die auch ins dialer if packen?

Danke für eure schnellen antworten. Nun benötige ich dennoch eure Hilfe. Zuvor war an dem Standord ein ADSL angeschlossen, demnach war im Router ein Dialer Int welches an einem ATM0 Interface konfiguriert war. Ich kann das aber nicht 1zu1 auf das Ethernet Interface übernehmen :-( Ich bin mir unsicher mit den PVC Kommandos ob ich die zwingend benötige. Ich über das Interface soll später auch QoS laufen. Ich weiß nicht was ich alles übernehmen sollte und kann damit PPPoE auf dem E0 läuft.

Hallo ich habe hier ein SDSL Anschluss (2MB T-Com). Dazu habe ich ein simples SDSL Modem bekommen. Kann ich hier direkt an den LAN Port des Modem einen einfachen 1812 am Ethernet Interface anstöpseln und den Router sich einwählen lassen? Wenn ja, muss es am Router etwas speziellen konfigurieren? Steh gerade echt auf dem Schlauch :-(

Klasse Antwort! :-(

Ich habe hierzu noch eine Frage, ist es über normale Outlook Wege auch möglich NUR den Anhang auszudrucken, also ohne Nachrichtenteil? Die oben genannte Lösung druckt beides aus. Gruß.

Also nutzt du keinerlei Ebooks oder richtige Bücher zur Vorbereitung? die CBTs sind ja schön und gut, aber die vermittlen dir wahrscheinlich auch nicht 100%ig den Stoff, der für die Prüfung abverlangt wird. Gruß.

@ Otaku19: Hast du deine Prüfung nun gemacht? Welche Unterlagen hast du genutzt? Ich bin zurzeit auch auf der Suche nach guten Büchern für ASA Specialist. (SNAF, SNAA). Gruß.

jepp, funktioniert. Vielen Dank.

Hallo blackbox, danke erstmal für die Antwort. Soweit ist das korrekt wie du es schreibst. Nur was ist mit der Schnittstellendefinition von IP NAT INSIDE und IP NAT OUTSIDE? Kann ich diese bedenkenlos an meine Internetschnittstelle, wo auch der VPN Traffic drüber läuft sowie an meine interne Schnittstelle anhängen? Gruß.

Hallo Cisco Fans! :-) Ich steh vor einem evtl. kleinen Problem. Ich habe ein Router der mehrere IPSec Verbindungen zu verschiedenen Standorten aufbaut, alles über das selbe Ausgangsinterface. Nun soll eine weitere IPSec Verbindung hinzukommen. Hier müssen aber zwingend vorher die IP Adressen auf einen anderen Adressbereich genattet werden, bevor sie durch die IPSec Verbindung gehen. Es betrifft meherere interne Subnetze, die mit verschiedenen VPNs kommunizieren. Ich weiß nicht so genau, wie ich das realisiere. Von der Config her weniger ein Problem. Nur an welches Interface hänge ich den Befehl "ip nat outside"? Wenn ich den Befehl an das normale Ausgangsinterface hänge, befürchte ich, dass mehr genattet wird, als sollte. Ich spiele mit dem Gedanken, GRE Tunnels einzusetzen, und es damit zu testen. Ich würde den NAT Befehl an einen GRE Tunnel hängen. Ist das die richtige Lösung, oder gibt es etwas einfacheres? Gruß.

Dein CCNA würde um genau 3 Jahre (Prüfungsdatum) verlängert.

Hallo, ich übe mich gerade in folgender Konstellation, leider noch erfolglos. Ich hab hier in meinem Lab ein Server 2008, mit zwei Netwerkkarten. Der Server ist Mitglied einer Domäne. Die erste NIC hat ihr Beinchen ins LAN, mit z.B. IP 192.168.1.1/24. Darüber ist der Server auch erreichbar und über DNS registriert. Das zweite Beinchen soll nun über ein Crosslink Kabel an einen anderen Server verbunden werden, mit einer anderen IP, z.B. 172.16.0.1/16. Eingestellt ist, das auf der Netzwerkkarte keine IP Adressen ans DNS gemeldet werden. Der Plan ist, das der Server später über dieses zweite Beinchen seine täglichen ach so großen Backups wegsichert. Das Phänomen ist nun, sobald ich die zweite NIC online bringe, also ein Netzwerkkabel einstecke, ist der Server über die reguläre IP nicht mehr im LAN erreichbar :-( Allerdings kann ich vom Server ausgehend andere Gerät im Netz erreichen. Ziehe ich das Kabel aus der zweiten NIC wieder raus, ist alles wieder i.O. Auf dem Server wurde nichts groß konfiguriert an Features oder Rollen. Hat einer eine Idee oder Tip? Gruß.

Verrätst du mir auch, warum du zweifelst? :-)

mh... schlechte News :-( Ich hatte es mir einfacher vorgestellt. Alternative wäre evtl. ein Load Balacing mit zwei ISA als Cluster, einer übernimmt die Webveröffentlichungen und was dazugehört, und der andere macht nur Internet (WebProxy etc. ). Gruß.

Hallo, erstmal danke für die tolle Diskussion. Meine einleitende Frage hat sich somit wohl geklärt. Die Performance, also die Latenzzeiten bei einer Site2Site Verbindung verändern sich wohl nicht so arg, dass es ein User beim arbeiten merkt ob seine Daten mit AES oder 3DES verschlüsselt wurden. Wegen HW oder Software integriert, bei Cisco Routern (1700er oder 2600er 2800er) ist das ja alles wahrscheinlich innerhalb des IOS. Gruß.

Hallo Community! Ist es möglich (bestimmt ist es das), dass ich bei dem oben genannten ISA 2006 Server zwei externe Netzwerkkarten so nutzen kann, das ich über eine Netzwerkkarte den normalen Internettraffic schicke und die andere Karte nutze für den Traffic meiner Webserver, also die ganzen Webseitenaufrufe (intern wie extern)? Gruß.

Hallo, würde man es beim täglichen arbeiten merken, wenn ich auf einer 2MB Leitung bei einer Site2Site Verbindung anstelle 3DES oder SHA1 den performanteren AES als Encryption nutze? Habe gelesen, das der Algorithmus sehr viel schneller sein soll. Gruß.

Die PCs und Server sind in der Domäne.

Guten Morgen, in meinem Lab läuft eine ASA5510, wenn ich mich mit Cisco VPN Client darauf connecte (über Radius Auth. mit Domänenserver), muss ich mich dennoch auf jedem Server, den ich über UNC Pfad (Windowsfreigaben) aufrufe, authentifizieren. Kann man was in der Firewall einstellen, damit das ausbleibt? Gruß.

Nabend! Ich habe das Problem gelöst! Es war nicht die LifeTime. Sehr kurios, ich musste auf der ASA unter Site-to-Site VPN im Connection Profil unter Connection Name den selben Namen eintragen, wie auf dem Bintec unter IKE Phase 1 die Local ID. Ist beides identisch, verbindet sich der Bintec mit dyn IP direkt! Mit der PIX war das alles anders... Naja, danke für eure Tipps. Gruß und Happy Halloween.