Joerg Wiessner

Du kannst sowas auch gut über nen "fake" DNS Server machen, der leitet halt alle Domainanfragen auf die IP Deines Webservers um. Nach Anmeldung teilst Du dem Client dann nen neunen DNS Server zu...

Da Du davon sprichst, das Du den 800er als "Firewall" betreibst, hast Du vielleicht noch ACLs gebunden die noch erweitert werden müssen?

Hast Du NAT/PAT im Einsatz, dann müsste die neue Route evtl. exkludiert werden.

Am einfachsten wäre es wenn Du mal die komplette Konfig ohne Passwörter postet.

Gruß Joerg

Die Route für den Rückweg Deiner IP Packete auf dem/den Gegenstellen Router(n) setzten...!

Du musst in allen 3 Routern einen entsprechenden Routingeintrag setzen. Im 800er geht das in Config Modus über

ip route 10.200.0.0 255.255.255.0 NextHopIP

Wichtig ist aber das ALLE Router auch den Rückweg kennen.

Gruß Joerg

Ola,

gut... ;) Auf Seite 1-6 ist auch ein schönes Bild dazu.

Demnach Shaping für COS0 und eine Prio Queue für COS1,3,5. wobei COS1 meist eher Scavenger Class ist, was zumindest per Definition dann nicht in die Prio Queue gehört. "Normalerweise" wäre das nur COS5.

Dann kannst Du auch nur Skavanger verlangsamen, wobei eine etwas detailierte Priorisierung meist mehr gewünscht ist.

@hkahmann

Schau Dir in dem Zusammenhang auf jeden Fall auch mal das Thema WRED an, das gibt Dir zusammen mit CBWFQ noch eine feinere Tuningmöglichkeit und ist im Designguide auch beschrieben.

Schönen Feiertag und Gruß

Joerg

Ola,

Fu ich wollt Dir da keines falls zu nahe treten. Mit "stimmt nicht ganz" hab ich ja nicht gesagt das es falsch ist; es passt nurmeiner Meinung nach im Kontext nicht ganz.

Er sprach ja davon, das er die Festlegung durch das Bandwidth Statement eher als zuviel betrachtet, da er die Bandbreitenreservierung nicht braucht. Durch die Nutzung von LLQ bevorzugst Du ja nur exakt 1 einzige Queue, was Dich bzw. Ihn an der Stelle nicht weiter bringt, da er ja nur über die COS Werte Queue-Limits setzt.

Priority macht aus CBWFQ durch das zufügen von EINER Priority Queue LLQ und das bevorzugt eben alle Packte in der Priority Klasse OHNE das die Packete durch den CBWFQ Scheduler verarbeitet werden. Also eine typische Voice bzw. Realtime Anwendung.

Gruß Joerg

Hat sich geklärt. Es scheint wohl ein Problem innerhalb der Zertifikate von Startcom zu sein. Hier scheint es wohl eine Extension zu geben die der Cisco nicht mag.

Workaround: Cert von CAcert.org holen, ist auch kostenlos... ;)

Gruß Joerg

Ola,

Du reservierst mit dem "bandwidth" Statement nur eine garantierte Bandbreite für die Traffic-Klasse. Wenn diese Klasse die Bandbreite nicht "abruft" wird sie auch nicht reserviert, somit würdest Du auch keine 5% "verschwenden", wenn man das so sagen kann.

Der Hinweiß von Fu zum "priority" Statement stimmt nicht ganz. Durch die Verwendung dieses Statements kommt automatisch LLQ Low Latency Queing zum Einsatz, das allerdings keine Auswirkung für Deine Problemstellung hat. LLQ ist dazu da z.B. bei Voice viele kleine Packte zu bevorzugen.

Gruß Joerg

hmm... ich hatte einen neuen RSA Keypair mit 2048 Bit erstellt.

Key name: sslvpn
Storage Device: private-config
Usage: General Purpose Key
Key is exportable.

Das ist das was ich auch nicht wirklich verstehe, denn das Zertifikat ist defenitiv base64 codiert.

Ich bin leider mit den Zertifikaten noch nicht so bewandert, aber sollte das nicht Grundsätzlich BASE64 sein?

Ok, dann mach mal auf dem 26er die folgenden Debugs an und poste das Ergebnis nach dem nächsten Ausfall.

debug crypto isakmp
debug crypto ipsec

Hallo Dirk,

schau Dir mal an ob die ISAKMP/IPSEC Parameter bei beiden Büchsen identisch sind. Ich würde tippen, das hier bei der Lifetime differenzen vorliegen.

Wer baut denn die Verbindung auf, der Bintec oder der Cisco?

Gruß Joerg

Hallo Forengemeinde,

ich kämpfe zur Zeit mit der Bereitstellung von SSLVPN auf einem 1800er Testrouter.

Das SSLVPN habe ich ohne Probleme zum laufen bekommen aber um das ganze "rund" zu bekommen wollte ich gerne ein gültiges SSL Zertifikat verwenden. Aktuell verwendet ich die IOS PKI mit einem Selfsigned Zertifikat, wobei das eben nur eine Zwischenlösung sein soll, da das Zertifikat auf jedem neuen PC verständlicherweise eine Fehlermeldung bringt... ;)

Durch die ct bin ich auf Startcom.org gekommen, die kostenlose Zertifikate nur über die Domainprüfung erteilen, was für mich allerdings vollkommen ausreicht.

crypto pki trustpoint sslvpn
enrollment terminal
fqdn ****
subject-name cn=****,o=****.CC,c=DE, st=NRW
revocation-check none
rsakeypair sslvpn 

Nach dem enrollment von diesem Trustpoint hatte ich das passende CRL mit dem ich dann auch von Startcom das benötigte Zertifikat erhalten habe.

Das einlesen des Zertifikats schlägt aber im Debug mit den folgenden Meldungen fehl:

Sep 16 15:16:38.259: Read 2185 bytes as CA certificate:
Sep 16 15:16:38.259: ../cert-c/source/certobj.c(1505) : E_INPUT_DATA : invalid encoding format for input data
Sep 16 15:16:38.259: ../cert-c/source/certobj.c(1517) : E_CERT_EXTENSIONS : invalid encoded format for extensions
Sep 16 15:16:38.259: ../cert-c/source/certobj.c(874) : E_CERT_EXTENSIONS : invalid encoded format for extensions
Sep 16 15:16:38.259: CRYPTO_PKI: status = 0x72A(E_CERT_EXTENSIONS : invalid encoded format for extensions): BER/DER decoding of certificate has failed
Sep 16 15:16:38.259: CRYPTO_PKI: status = 65535: failed to get key usage from cert
Sep 16 15:16:38.259: CRYPTO_PKI: status = 65535: failed to verify or insert the cert into storage

Die Trustpoints mit den Zertifikaten der Startcom_Root_Ca und der Startcom_Intermediate_Ca existieren und langsam habe ich keine Ahnung mehr wo ich noch suchen soll.

Unter dem folgenden Link habe ich zusammen mit einem Leidensgenossen schon das ein oder andere mit den Jungs von Startcom getestet. Aber leider kommen wir nicht wirklich weiter.

StartCom :: View topic - Import certificate in Cisco router ( 2821 , IOS 12.4.15T1 )

Vielleicht hat ja jemand von Euch den heißen Tip.

Danke und Gruß

Joerg