blackbox

Hi debug doch mal den Crypto Phasen auf deiner Cisco - ob von der Gegenstelle was kommt und vor allem was.... Mit "Shows" denke ich kommst du da nicht weiter.

Da kann ich nur sagen - Daumen hoch ! PS: Warum nur 2 Prüfungen - sind das nicht eigentlich 3 ? (Oder hast du ne Abkürzung gefunden)

Der Server verhält sich nicht anderest wie sonst auch - ein Paket nach dem anderen wird versendet

Ne es ist nicht normal - dafür wäre es hilfreich die Config des Switches. Evtl. MAC Flooting ?

Ähh - fast Exempt Source (IP Drucker) -> Destination (IP Gegenseite) -> Interface Outbound. Das heißt - der der Drucker auf die Outside Adresse des Interfaces gelegt ist. Da kann so aber nix von aussen nach innen kommen. Da muß irgendwo noch Ports genattet für sein. Irgendwie verstehe ich nicht ganz was sich wo wie ändern soll.

Hallo, das mit dem Routing würde ja alles passen - aber wir haben das Problem die VPN Session zu schwenken - und das geht so nicht.

Warum soll das nicht funktionieren ? - der Server hört auch auf die 192.168.10.2 auf der anderen Netzwerkkarte.

Es gibt keinen Schalter - baue VPN Session x auf - die baut sich auf - sobald der passende Traffik dafür da ist. Und der wird in Phase 2 definiert - und ist nunmal gleich. Dann hast du die beiden ISPs - da hast du ja auch 2 Default Gateways - und da darf das Paket ja nur über den X und nicht über Y gehen. Es wird immer Geräte anderer Hersteller geben die etwas besser als Cisco machen - Cisco ist halt Mainstream und decken ein ganzes Netz ab. PS.: Vom Design - wenn du schon mit 2 ISP´s arbeitest - dann auch mit mehreren Geräten - den der Point of Failure bleibt.

hi, genau das wird so nicht gehen - man kann die VPN Sessions mit Backup IP´s austatten - dann sollte es gehen - dann hast du nur wieder auf der anderen Seite das Problem - wie er das wissen soll welche - mit Wizards geht es auf keinen Fall. Hätte per Hand nen paar Ideen müsste ich auch durchspielen und schaun was wann passiert. Es ist im VPN so nicht so einfach vorgesehen. Man könnte es versuchen mit mehren Routern aufzubauen und dann per Ping checken welche da ist und daraus resultieren das Routing drehen - wenn man mehrere Kisten hat - sonst geht es nur mit Backup IP´s Das nächste Problem was du bekommst - ist bei 2 ISPs auf einer Kiste = 2 Default GW nach draussen. Also zaubern ist da angesagt.

Hi, weil in der Phase 2 - der "Interestet Traffik" definiert wird und an welche IP auf der anderen Seite gesendet wird - und der "Interestet Traffik" ist ja der selbe. Man kann mit Backup IPSec Tunneln arbeiten - aber das ist auch nicht mal eben

Hi, du kannst es mit Agressive Mode bauen - das wäre "wie ein Client" - du brauchst das aber eigentlich nicht. Das andere wäre ein 2tes VPN und genau da ist ja das Problem - den die Phase 2 würde für beide "gleich" sein. Daher kannst du nicht beide gleichzeitig aufmachen.

Aber SMTP & POP3 überwacht er per default auf Viren.

Und ganz nebenbei - überwacht der auch SMTP & POP3 - daher kommen deine Falschmeldungen.

Hi, DMVPN hat bei einer S2S VPN nix mit Redundanz zu tun. Die Aufgabe ist eher eine Vermaschung.

Hallo, du meinst sowas Shortcut Redirect - Cisco Systems - das gibt es auch für den Router. Der kann sicher ne Config bauen - aber Redundanz wird damit nix werden. Ansonsten kann ich dir gerne div. Links geben wo du sample Configs für S2S VPN findest. Hier dürfte auch was für dich dabei sein : Samples Oder hier S2S VPN

Was hast du für nen Virenscanner auf deinem Client ?

Hi, wenn die Ports auf "einmal" deaktiviert werden - solltest du das Log im Auge behalten und mal schauen was ihn dazu veranlasst.

Normales VPN mit jeweils einer festen ist kein Problem - Dynamische IP ist immer so ne Sache - bei Router kann man mit Dyndns tricksen (aber alles andere als schön) - aber dann ne Redundanz wird schwierig werden - da ja beiden "Dial" Up Leitungen sozusagen sind - da mit nem Routing Protokoll zu arbeiten - man kann es auf Basis von "Test" Pings bauen - ist aber auch etwas "testen" angesagt

Und der taucht bei sh vlan nicht unter VLAN 27 auf ?

das hört sich sehr danach an, das auf dem Port ein "VLAN-Trunk" ist - dann trauchen die da nicht mehr auf - da es ja kein VLAN zugeordnet ist.

Hi, so ganz habe ich nicht verstanden - was du da baust. Du hast den 6500er als Core - und hast da dann x Switche (per Stern) dran - jeder Switch hat ein eigenes VLAN zur Zeit ? Dann kannst du das mit Routet Ports machen - da hast du dann auch pro Netz nen Broadcast Domain - das Default GW ist immer der zugehörige Port im 6500er.

Hi, mit VPN sollte es kein Problem geben - das mit der Redundanz denke ich wird schwieriger - da ja sich bei dir dann die IP´s ggf. auf beiden Seiten ändert.

Hi, erstmal kannst du das mit den "Dingern" machen - die Frage ist noch - was für ein IOS auf den "Dingern" drauf ist (Version & Feature Set). Dann die Frage - was willst du mit den "E1" Modulen ? Das hört sich nach "Ebay" Geräten an - die an ner 2 MBit Standleitung gehangen haben - häufig nen Smallspur ISP IOS haben. Was verstehst du unter - redundanten VPN ? Hast du feste IP´s ? Von welchen Bandbreiten reden wir ? Den man kann ja auf Interfacen auch VLAN´s fahren - falls du mit je 50 MBit hinkommst (dann brauchst du aber noch nen Switch dahinter - da ist evtl. nen weiteres Interface günstiger).

Hi, mein Glaskugel kann leider deine Konfig nicht per VPN auslesen - daher würde es sicherlich zuträglich sein - wenn du uns die beiden Configs (Passworts ausgeblendet) hier zukommen lassen würdest - den sonst wird es sehr schwierig. Und keine Angst - Glaskugeln beissen nicht.

Hi, Performance