RangeMethod

Ja, es gibt einen extra Pool für IPTV, bei mir 93.x.x.x, sollte bei dir nciht anders sein! Hast du einen Switch davor hängen oder hängst du direkt am DSL Modem? grüße Sebastian

Hallo Goldio, ansich sieht die Config gut aus (aber nur wenn du VDSL hättest!) du brauchst das Interface FastEthernet0.8 (IPTV), sprich der Dialer bleibt auf FastEthernet0, Vlan7 brauchst du nur bei VDSL! VLAN 8 sollte dann auf DHCP stehen PLUS du musst die IGMP Config vom Dialer auf das VLAN 8 legen, dann solltest du eine IP bekommen und Fernsehen können! Übrigens, wenn du dann eine IP auf Interface FastEthernet0.8 bekommen hast, kannst du mit show arp den PIM Neighbour bestimmen! Ich hoffe du hast noch die möglichkeit den Router umzukonfigurieren! Grüße Sebastian

Ah OK, wie gesagt hab keine Erfahrungen mit 16000 DSL. Aber ich denke VLAN 8 solltest du trotydem brauchen um IPTV zu empfangen! Die Architektur verlangt dies. Versuch doch mal ein Subinterface auf deinem Outside Interface anzulegen und die IP auf DHCP stellen, dann sollte es eigentlich hinhauen, Dann musst du allerdings die IGMP/Multicast COnfig auf das Interface verlagern. Gruesse Sebastian

Hallo Goldio, Hast du VDSL oder normales DSL? Wenn du VDSL hast wundert es mich etwas das du ueberhaupt was siehst, geschweige denn ins Internet kommst. Denn bei VDSL benoetigst du VLAN 7 UND VLAN 8. Daher gehe ich mal davon aus das du normales DSL hast. Mit normalem DSL und T/Home kenne ich mich leider nicht aus.

Du könntest das ganze auch über sogenannte AAA Rules auf deiner ASA lösen, Dort kannst du beispielsweise eine ACL definieren die den Zugriff auf Port 80 erst erlaubt wenn sich der User gegenüber der ASA authetifiziert hat! Das ganze kann man auch Zeitgesteuert machen, das heisst die regel bleibt dann für 30 min aktiv -> Danach wäre eine erneute anmeldung erforderlich. Grüße Range

Danke Otaku, das war ein sehr hilfreicher Trick Dickes Merci :-) Mein Daily Businness ist es VPNs einzurichten und zu debuggen, daher komme ich meistens um den ASDM nicht herum (bzw um den CiscoSecurityManager) bei der Menge an Firewalls die wir im Einsatz haben einfach der bessere um ACLs anzulegen (Nur einmal anlegen für alle FWs, voraussgesetzt der CSM ist richtig konfiguriert (Device Overrides(z.B. ASA_1 10.0.0.x --> ASA_2 10.2.0.x) etc.) selbst VPNs lassen sich damit sehr schnell einrichten, zudem bietet der CSM auch den von CIsco WOrks bekannten Performance Monitor (Dort lassen sich sehr gut VPNs monitoren). Also alles in allem ein sehr mächtiges Werkzeug Greetz

Ich musste die Access-Liste auf dem Outside anpassen, da das Rück-NAT jetzt dirket auf das im Inside befindliche Device geroutet wird (vorher auf das Oustide Interface

Also ich hab die neue Software bei mir drauf (Privat) und ich muss sagen es funktioniert erst mal alles genauso wie vorher --> Bis auf einige Statische NAT Regeln, die muss man anpassen, damit sie wie vorher funktionieren. Die neuen NAT regeln sind jetzt bidirectional!! Die 5505 funktioniert definitv ohne RAM Upgrade! AB 5510 werden 1024MB RAM vorausgesetzt! Speicher kann man ganz normalen DDR RAM mit vorher genannten Spezifikationen verwenden ( Haben wir bei uns in der Firma bei unsere Firewalls so im einsatz! und das ohne Performance Verluste etc.) Das NAT ist auf jeden FALL transparenter geworden, vor allem für Leute die eigentlich nur im ASDM konfiguriert haben! Man muss sich aber trotzdem auskennen, sprich man muss wissen was man tut, sonst kann ganz schnell was in die Hose gehen! Mit CSM ist die neue SOftware noch nciht kompatibel, wird wohl mit dem nächsten Update implementiert! Grüße Sebastian

VLAN ist nicht gleich VLAN, also ich habe auch das 15er Image, kann aber auch nur 4 VLANs anlegen --> Ist eine Beschränkung auf den 876 Kisten. VLAN Interface kannst du so viele anlegen wie du willst, aber das heisst noch nicht das du es auch als echtes VLAN nutzen kannst, dazu müsstest du es erst in der VLAN Database eintragen, dort bekommst du aber die Fehlermeldung wie oben beschrieben. Grüße RangeMethod

Hallo Miteinander, ich habe folgendes Problem: ich habe mir einen Microsoft Server für Radius Auth installiert: Windows Server 2008R2 mit NAP/Radius Nun kann ich mich zwar authentifizieren aber meine Befehle werden nicht authoriesiert. Woran könnte das liegen? ich denke ich hab eine Einstellung im Radius vergessen, ich weiss aber leider nicht wo sich diese befinden soll. Weiss von euch vll. jemand wo diese sich befindet? Oder hat jemand von euch ein ähnliches Problem? Danke schon mal Sebastian

Also wenn ich einen Download mache bekomme ich knapp 1,5MB/s wenn ich mehrere Downloads mache, dann komme ich auf knapp 3,2MB/s Nebenbei läuft MTVNHD mit kleineren Aussetzern... Und das show Proc cpu hist schaut auch bescheiden aus, dann ist er ganz schnell ausgelastet, und zwar zu 99%. Range-Router#show processes cpu history Range-Router 08:31:43 AM Wednesday Feb 3 2010 Range 999999999999999999999999999999999999999999999999999999999999 888666669999988888999999999999999999999999999999666663333300 100 ***************************************************** 90 ************************************************************ 80 ************************************************************ 70 ************************************************************ 60 ************************************************************ 50 ************************************************************ 40 ************************************************************ 30 ************************************************************ 20 ************************************************************ 10 ************************************************************ 0....5....1....1....2....2....3....3....4....4....5....5....6 0 5 0 5 0 5 0 5 0 5 0 CPU% per second (last 60 seconds) 11 999990099998433323233333332333333333323233223333333333111 11 939990099992923283823224329322134422091923662423100291667662 100 # *#####*#* 90 ##*######## 80 ##*########* 70 ###########* 60 ###########* 50 ############* 40 ############* * 30 #############***************************************** 20 #####################################################**** * 10 #########################################################*## 0....5....1....1....2....2....3....3....4....4....5....5....6 0 5 0 5 0 5 0 5 0 5 0 CPU% per minute (last 60 minutes) * = maximum CPU% # = average CPU% 1 1 0111222229911111111120122211111111193 0999998989994857969570902344455445444 100 * ** * 90 * ** * * 80 * ** * * 70 * ** * * 60 * ** * * 50 * ** * * 40 * ** * * 30 * ******* ** ** 20 #*********** ************* ** * ** 10 ###########**********#*************## 0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.. 0 5 0 5 0 5 0 5 0 5 0 5 0 CPU% per hour (last 72 hours) * = maximum CPU% # = average CPU% Wie sieht das denn bei dir mit dem 881 aus? Und wegen deinem Perimeter-Switch: Also wenn du OnlineGames mit immer wechselnden Ports spielst, dann wird es nicht anders gehen als alles zu erlauben, aber generell würde ich schon dazu raten eine Access-Liste einzubauen. Besser doppelt...

Hier der Auszug: Also mir kommt es nicht so vor als ob er sehr ausgelastet wäre. Range-Router#show proc cpu history Range-Router 06:31:08 PM Tuesday Feb 2 2010 Range 11111 11111 0000044444 11111 100 90 80 70 60 50 40 30 20 10 ***** 0....5....1....1....2....2....3....3....4....4....5....5....6 0 5 0 5 0 5 0 5 0 5 0 CPU% per second (last 60 seconds) 1111 111 1 11 11111 11 11 111 11111 11111 111 111 11 1 022273039789282277142237732513823383332185222229532604392092 100 90 80 70 60 50 40 30 20 * 10 ************************************************************ 0....5....1....1....2....2....3....3....4....4....5....5....6 0 5 0 5 0 5 0 5 0 5 0 CPU% per minute (last 60 minutes) * = maximum CPU% # = average CPU% 1 11111120122211111111193 57969570902344455445444 100 * 90 * * 80 * * 70 * * 60 * * 50 * * 40 * * 30 ** ** 20 ************ ** * ** 10 *******#*************## 0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.. 0 5 0 5 0 5 0 5 0 5 0 5 0 CPU% per hour (last 72 hours) * = maximum CPU% # = average CPU% Aber mal was anderes: Wie viel Bandbreite kannst du denn effektiv für Downloads nutzen?

Ich habe VDSL50 und ich bin mittlerweile auch im ZielNetz! Ich habe eine ASA zwischen dem Router und meinen Clients, deswegen lasse ich alles durch! Sebastian

Ok, ich war der Meinung das sich das nicht viel gibt, da ich davon ausgegangen bin das die 880Series eigentlich die NachfolgeSerie der 870 Series ist, genauso wie die 870 Series die nachfolgeReihe der 830Series war/ist. Also ich habe bis jetzt keine Probleme, läuft aber auch erst seit gestern ;-) Und ja bei mir steht IPTV Status: Verbunden! Evtl hat es was mit deinen Access-listen zu tun, denn ich lasse alle Pakete durch! Ist einen Versuch wert denke ich Danke und Grüße Sebastian

2. Teil ! interface Dialer1 description PPPoE to T-Online ip ddns update DynDNS host members.dyndns.org ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly max-reassemblies 512 encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer idle-timeout 0 dialer persistent dialer-group 1 keepalive 20 ppp authentication pap callin ppp pap sent-username xxxxxxxxxxxxxxx0001@t-online.de password x ppp ipcp dns request ! ! router eigrp 1 network 192.168.0.0 network 192.168.10.0 redistribute static auto-summary passive-interface Dialer1 ! ip forward-protocol nd ip http server ip http authentication local ip http secure-server ip http secure-client-auth ! ip pim rp-address 93.213.223.254 ip nat translation tcp-timeout 3600 ip nat translation udp-timeout 3600 ip nat inside source static tcp 192.168.0.1 20 interface Dialer1 20 ip nat inside source static tcp 192.168.0.1 3389 interface Dialer1 3389 ip nat inside source static tcp 192.168.0.1 443 interface Dialer1 443 ip nat inside source static udp 192.168.0.1 10000 interface Dialer1 10000 ip nat inside source static udp 192.168.0.1 500 interface Dialer1 500 ip nat inside source static esp 192.168.0.1 interface Dialer1 ip nat inside source static udp 192.168.0.1 4500 interface Dialer1 4500 ip nat inside source static tcp 192.168.0.1 21 interface Dialer1 21 ip nat inside source static tcp 192.168.0.1 444 interface Dialer1 444 ip nat inside source static tcp 192.168.0.1 1723 interface Dialer1 1723 ip nat inside source static tcp 192.168.0.1 80 interface Dialer1 80 ip nat inside source static tcp 192.168.0.1 445 interface Dialer1 445 ip nat inside source static tcp 192.168.0.1 5900 interface Dialer1 5900 ip nat inside source static tcp 192.168.0.1 990 interface Dialer1 990 ip nat inside source static tcp 192.168.0.16 25 interface Dialer1 25 ip nat inside source route-map check->NAT interface Dialer1 overload ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 192.168.3.3 255.255.255.255 192.168.0.1 permanent ! ip access-list extended PUBLIC-VDSL -- Ist nicht aktiv! Wegen ASA permit tcp any any established permit udp any eq domain any permit udp host 192.43.244.18 eq ntp any permit icmp any any echo-reply permit udp any any gt 1023 permit tcp any any gt 1023 permit icmp any any permit esp any any permit igmp any any permit pim any any deny ip any any log ! access-list 123 permit ip any any dialer-list 1 protocol ip permit ! route-map check->NAT permit 10 match ip address 123 ! control-plane ! scheduler max-task-time 5000 ntp server 192.43.244.18 prefer end