DuneX

Hallo, ich habe das Problem, dass die Windows 7 Clients kein DHCP Lease bekommen. Dieses Problem ist bekannt und hängt mit dem "Broadcast flag" zusammen. Diese war in XP deaktiviert und ist ab Vista aktiviert. IP-Helper hat damit scheinbar Problem. ich habe schon recht viel gegooglet und auch hier im Forum gesucht. Leider habe ich keine Lösung gefunden, die auf den Routern oder Switches funktioniert. Es wird fast immer auf eine Client Lösung in Form eines Registry Key verwiesen ( MS KB 928233 Windows Vista cannot obtain an IP address from certain routers or from certain non-Microsoft DHCP servers Das ist keine wirkliche Lösung für uns, da wir z.B. auf Gäste Geräte keinen Zugriff haben usw. Für das SMB Switch Cisco Catalyst Express gibt es wohl eine Lösung ( Catalyst 500 Series Switches Troubleshooting* [Cisco Catalyst Express 500 Series Switches] - Cisco Systems ) Wir verwenden 3560er und 3750er als L3, die die einzelnen VLAN versorgen Als IOS läut 15.0(1)SE. So sieht der DHCP IP-Helper Teil der Config aus, . ip dhcp smart-relay (optional) interface Vlan2 ip address x.x.x.x x.x.x.x ip helper-address x.x.x.x ip helper-address x.x.x.x no ip forward-protocol udp netbios-ns no ip forward-protocol udp netbios-dgm Mit dieser Konfig ist das Verhalten der Windows Vista und Windows 7 Client so, dass sie die DHCP Server mit "BAD_ADDRESS" zu müllen und irgendwann ggf. die Fehlermeldung erhalten, dass ein IP-Adressenkonflikt besteht und die NIC deaktiviert wird. Es kommt auch vor, dass sie gleich eine APIPA bekommen. Um das Ganze noch etwas besser zu beschreiben möchte ich noch erwähnen, dass der Windows Vista/7 Client am Ende des DHCP Requests nochmal eine IP Prüfung vornimmt bevor er diese als gültig anerkennt. Dies wird über einen ARP Request gemacht und genau das klappt bei mir nicht sauber. Damit meine ich, es sollte als Antwort die MAC des Clients kommen ABER bei mit Antwortet das Switch mit seiner MAC und dies markt dann die IP als BAD. Auf den VLAN Interface hilft es nicht " no ip proxy-arp " zu setzten - oder ich habe ggf. nicht lange genug gewartet.... Ich hoffe Ihr hab eine Idee was ich machen kann um dies zu fixen ohne an den Clients Änderungen vorzunehmen. Grüße Dune

Hallo und frohe Weihnachten ich habe über Weihnachten mal mit einem Catalsyt 2970 rumgespielt. Lieder hat der das Phänomen, das er auf allen Gigabitports die auf Gigabit laufen %LINK-3-UPDOWN %LINEPROTO-5-UPDOWN Fehler unter Last bringt. Die IOS Version ist 12.2(44)SE6 ist letzte verfügbare. Diese Verhalten tritt wie gesagt unter Last auf d.h. an zwei Ports hängt FileServer (getrennte Netzte keine Channel o. ähnliches) wenn nun Daten von oder auf den Server geschoben werden kommt es zu diesen Fehlern. Diese treten auf den Serverports wie auch auch den Clientports auf. Die Netzwerkkarten sind entweder INTEL oder Broadcom. Stell ich nun diese Ports fix ein scheint es zu gehen (Duplex, Speed). Ich hab keine Idee woran es liegen könnte, da es nicht nur ein oder zwei Ports sind wo dieses Verhalten auftritt. Anbei eben die Config eines Ports. int gi 0/20 (z.B) speed 1000 duplex full spanning-tree portfast spanning-tree bpduguard enable Ich hoffe Ihr habt eine Idee was bei mir schief läuft auf dem Switch. Grüße Dune

Hallo, kann da nur beipflichten ein 3550 ist genau das was Du suchst. Wenn es etwas mehr kosten darf ca 2/3 mehr geht auch ein 3560 oder 3750 die können je nach IOS ein paar Dinge mehr. Diese werden aber soweit ich mich an meine Prüfung erinnere nicht gefragt. Der Vorteil wäre wenn nur der, dass das IOS von den nen noch weiter entwickelt wird und Du ggf. einige Dinge in Richtung CCSP später brauchen kannst. Gruß Dune

Hallo, nach längerer Zeit und viel gebastel lag es an der ADSL FW und am HVT der T-Com. Nun läuft wieder alles wie wie vorher. Als FW setzten wir die 5er nun ein. Grüße Dune

Hallo, ich habe seit einiger Zeit das Problem, dass meine Gruppenrichtlinien nicht oder sehr schlecht übernommen werden. Die Meisten sind entweder User oder Computer GPOs wo jeweils der andere Teil deaktiviert ist und zusätzlich auch der Objectstatus des nicht verwedendeten. Kurz zum Umfeld. In der Domäne gibt es 2 DC und einige Memberserver. Die DCs laufen unter Win2k8R2 alle andern Server laufen auf Win2k3 oder Win2k8R2. Alle Clients laufen auf Windows XP Prof. mit Sp3. Nun zu meinem Problem. Ich habe mit einem frisch aufgesetzen PC die selben Probleme wie mit einem bestehenden. Unzwar werden nicht alle Teile der Gruppenrichtlienen übernommen sondern nur teile oder gar nicht. Nach länger Zeit (meist ein paar tage) scheints dann doch zu klappen. Auf den frisch installierten Client werden die Gpo selbst nach mehrmaligem gpupdate /force nicht ins Userprofil übernommen. Bei den Computereinstellungen seint es aber auch nicht zu klappen, da eine alte GPO funktioniert und eine neue mit ähnlichen einstellungen an einer anderen OU nicht. Vielleicht hat ja jemand eine idee woran es liegen könnte. Grüße Dune

Hallo, danke Xor für das Angebot, ich werde darauf zurück kommen falls T-Com das Problem nicht löst. Inzwischen habe ich erfahren, dass Wartungsarbeiten am DSLAM waren und es wurde auch mein Port neu konfiguriert. Das brachte nichts. Dann habe ich FritzBoxen, 7170 und 2170, als Modem genutzt, die aber die stürzen nach einigen Tagen ab. Was auffällig ist, ist das die meisten Verbinungsabbrüche unter Last am Nachmittag zwischen 15 und 21 Uhr sind. Die Abbrüche führen auch teilweise zum Absturz der Fritzbox und dauern grob 2-3 Minuten bis es dann kurz wieder geht. Grüße Dune

Hallo, davon gehe ich auch aus. Leider läuft der Anschluss noch immer nicht stabil. Inzwischen habe ich die Firmware 4.0.15 und 4.0.17 getestet. Bei beide Versionen ist das DSL Modem syncon. Aber in gewissen Abständen und bei Last über 50% legt der Dialer einfach auf und kommt nicht wieder hoch. Ein shut auf dem ATM interface hilft meist nicht. Wenn das passiert ist bekomm ich im debug pppoe padi timer expired Meldungen. Anbei habe ich noch ein Debug der DSL/PPPoE Connection. Grüße Dune log.txt

Hallo, habe am Wochenende ein bissel rum gestestet. Es scheint so das die 16k Anschlüsse mit der 4.0.0.017 laufen. Zumindest hats an meinem Anschluss dann geklappt. Grüße Dune

Hi, kann diese Info's erst am Di posten wenn ich wieder vor Ort war. Ich vermute das es ein neues VDSL DSLAM ist mit den'nen solls ja öfter Probleme geben. Das Komische ist nur dass er ein DSL Sync hinbekommt (die LED leutet nur noch und blickt nicht mehr - sieht man auch unter sh int atm0.1 up up und werte) aber der Dialer kommt nicht hoch. Leider konnte ich kein pppoe debug - hab in dem moment nicht dran gedacht :( FW auf den Ciscos 3.0.14 Grüße Dune

Hallo ich hoffe jemand hat einen Tipp woran es liegen könnte. Der Router lief bis vor ca. 2 Wochen ohne Probleme über ein Jahr druch. Ich habe den Router schon mal gegen einen anderen getauscht daran lag es auch nicht. Beides Cisco 876 mit IOS 12.4 (15) T9. ATM wird syncron aber der Dialer kommt nicht hoch. An dem Anschluss läuft ein billig Router ohne Problem. Die Router laufen beide mit der selben Konfiguration an einem anderen DSL Anschluss problemlos. Laut T-Kom ist der Anschluss aber i.O. Ich habe im moment keine wirkliche Idee wie ich das Problem beheben kann. Grüße Dune

Hallo, du kannst Dir die Interface anschaun mit "sh int xyz" am Ende sind 5min Werte. Die bessere Lösung wäre eine Auswertung mit Netflow oder NBar. Wenn's nur um um das reine Traffic-Volumen pro Interface zu bestimmten Zeiten geht nicht nimm SNMP in Verbindung mit Cacti. Da kann ich Dir auch eine paar Seiten empfehlen. Grüße Dune

Hallo, ich hab den Fehler gefunden, es lag an einer distribute-list out im OSPF. Nun geht alles so wie's soll. @blackbox Habs grad gesehen. Ich hab's unglücklich beschrieben. Die zu übersetzenden Packte kommen über VLAN 70 rein und gehen über VLAN 10 genatet wieder aus. Das alles läuft über einen Trunkport der beide VLAN beinhaltet. Die Lösung ist nicht schön aber leider im Moment nicht besser lösbar für mich. Vielen Dank Euch Beiden Grüße Dune

Hi, sh ip route ip vom proxy zeigt auf VLAN 70 d.h. auf 172.18.0.1 somit schickt er's direckt wieder übers VL70 zurück ohne es zu NATen. bei ip nat translastion - steht nix Mein Problem ist nun das ich die nicht gerouteten Netze NATen muss um über die FW in die weiteren Netze zu kommen. Vom meinem Verständnis her sollte das nur mit eine static route oder vielleicht mit einer weiteren route-map auf dem router hier gehen. Oder liege ich damit falsch? Grüße Dune

Hallo, Hat jemand vielleicht eine Idee wie ich das NAT erzwingen kann. Hintergrund ist das die FW nur bestimmte IP Addressen zu läßt und ich ein Teilnetz anbinden soll. Ich kann leider nicht im Backbone NATen, da dort 3560er sind. Aus diesem Grund muss ich den Umweg über einen 28er Router machen. Und bei dem liegt das Problem. Ich leite den Traffic vom Backbone per Route-Map auf den Router um der dort auch ankommt. Auf diesem Trunk liegen noch weitere VLANs an. In einem "transfer VLAN" wird OSPF gesprochen und dort das Netz Richtung FW und die Zeilnetze dahinter bekannt gegeben. Nun steht ein SubInt in einem Teilnetz das über die FW kommt. Über dieses Interface soll bestimmter Traffic geNATet werden um druch die FW zu kommen. Ich vermute nun, dass der Traffic gleich wieder über das "transfer VLAN" zurück geschickt wird. Mit einer statischen Route hatte ich leider keinen Erfolg. Interface-Teilkonfig: FastEthernet0/1 no ip address duplex auto speed auto FastEthernet0/1.10 <- traffic soll über dieses Interface genatet werden und ann über VLAN 70 zurück encapsulation dot1Q 10 ip addess 10.1.1.10 255.255.255.0 ip nat outside ip virtual-reassembly in FastEthernet0/1.70 <- transfer VLAN encapsulation dot1Q 70 ip addess 172.18.0.2 255.255.255.252 ip nat inside ip virtual-reassembly in ip ospf 1 area 0 Grüße Dune

Hi, kommt mir auch so vor. Wie gesagt leider weiß ich nicht was der ISP hier macht. Die Cfg kann ich erst nächste Woche posten, da ich sie im Moment nicht einsehen kann. Auf dem OutSide Interface <- ISP gibt's eine IN ACL die alles ICMP außer echo-reply geblockt hat. zB. interface FastEthernet0/0.65 encapsulation dot1Q 65 ip address xxx.xxx.xxx.xxx 255.255.255.0 ip access-group mpls_in in ip nat outside ip virtual-reassembly ip access-list extended mpls_in permit icmp any any echo-reply > sonst nur IPs, Ports usw nichts mehr mit ICMP Wenn ich nun in diese ACL die ISP Router mit ICMP full zugelassen hab funktioniert die Application wie gewünscht. Leider bin ich mit debug ip icmp nichts gesehen und im SYSlog taucht auch nur auf deny ICMP von IP xyz. Grüße Dune