loopback_28 10 Geschrieben 22. Dezember 2005 Melden Teilen Geschrieben 22. Dezember 2005 Hallo, vielleicht kann mir jemand helfen. Folgendes Netzwerk ist gegeben: internet --> DSL-Router Cisco 836 --> IpCop Firewall --> LAN Der Kunde sagt das er hin und wieder Probleme hat mit E-mail verschicken bzw. abholen (das heisst manchmal geht es gar nicht und manchmal erst nach dem 3 oder 4 mal). Die Telekom scheint mal dagewesen zu sein und hat am Router was verändert (was weis ich nicht) danach ging e-mail wieder. Nun tritt das gleiche problem wieder auf. Hat jemand ne Idee was die Telekom verändert haben könnte, die wan Schnittstelle ist dialer1. Falls ich irgendwelche konfigurationen posten sollte sagt bescheid den ich habe einen Remotezugang zu diesem Router. bin dankbar über jede hilfe grüße loopback Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 22. Dezember 2005 Melden Teilen Geschrieben 22. Dezember 2005 evtl. den Wert von adjust-mss runtergesetzt, was aber nicht erklaert warum es erst beim 3ten mal funktioniert. Ich wuerde sagen die haben nen Kaltstart vom Geraet gemacht, mehr nicht. Vielleicht ist auch beim Mailserver ein Threshold fuer zu haeufige Logins eingerichtet? Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 22. Dezember 2005 Autor Melden Teilen Geschrieben 22. Dezember 2005 evtl. den Wert von adjust-mss runtergesetzt dieser Wert ist auf interface Ethernet0 und dort steht folgende Zeile ip tcp adjust-mss 1452 Ist dieser Wert ok? und falls ich im ändern soll wie lautet der Befehl? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 22. Dezember 2005 Melden Teilen Geschrieben 22. Dezember 2005 Sollte reichen. Da ich vermehrt RDP-Verbindungen hab isses bei mir 1300. Der Wert wird ueberschrieben, also einfach: conf t int eth0 ip tcp adjust-mss <value> Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 22. Dezember 2005 Melden Teilen Geschrieben 22. Dezember 2005 der mss wert ist die Maximum Segment Size um auf die MTU zu kommen muss man nochmal 4 byte dazu addieren (20TCP- + 20 IP-header) PPPoE belegt nochmal 8 byte. Dann hast du die MTU von 1500 auch schon erreicht. MTU Probleme können mitunter sehr seltsame auswirkungen haben. Zum Testen einfach mal auf einen niedrigen wert umstellen und wenn es hilft sich rantasten. Also MTU z.B. 1456 und MSS 1416 (bei cisco ist die MSS per default sogar 1380) Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 23. Dezember 2005 Melden Teilen Geschrieben 23. Dezember 2005 Hallo, vielleicht hat es auch was mit dem PAT zu tun (ich gehe davon aus dass du das mit IPCop machst un am 836er öffentliche IP adressen hast)? Schau dir mal die NAT Tabelle an, wenn das Problem auftaucht .. Oder sobald das Problem da ist, startest du IPcop neu, schauen ob es dann geht.. Grüsse Thomas Zitieren Link zu diesem Kommentar
rblasey 10 Geschrieben 27. Dezember 2005 Melden Teilen Geschrieben 27. Dezember 2005 poste doch mal die Config. Wenn das Phänomen mit den Änderungen der Telekom am Router zusammenhängen haben die ihre Config Änderungen vielleicht nicht abgespeichert (sh ver -> uptime?) ... Oder der "interesting traffic" deines Dialers reagiert nicht auf smtp/pop3 ... Gruss Robert Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 27. Dezember 2005 Autor Melden Teilen Geschrieben 27. Dezember 2005 hier meine config sh runnBuilding configuration...version 12.3no service padservice timestamps debug uptimeservice timestamps log uptime boot-start-markerboot-end-marker!no logging bufferedenable secret ********************************!no aaa new-model!resource manager!ip subnet-zero!!no ip dhcp use vrf connected!!ip cefip inspect name myfw cuseeme timeout 3600ip inspect name myfw ftp timeout 3600ip inspect name myfw rcmd timeout 3600ip inspect name myfw realaudio timeout 3600ip inspect name myfw smtp timeout 3600ip inspect name myfw tftp timeout 30ip inspect name myfw udp timeout 15ip inspect name myfw tcp timeout 3600ip inspect name myfw h323 timeout 3600no ip ips deny-action ips-interface!no ftp-server write-enableisdn switch-type basic-net3! interface Ethernet0 description CRWS Generated text. Please do not delete this:10.10.1.1-255.255.255.0 ip address 10.10.1.1 255.255.255.0 ip access-group 122 out ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452!interface Ethernet2 no ip address shutdown!interface BRI0 no ip address encapsulation ppp dialer pool-member 2 isdn switch-type basic-net3 isdn point-to-point-setup ppp authentication pap chap!interface ATM0 no ip address atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode annexb-ur2 pvc 1/32 pppoe-client dial-pool-number 1!!interface Dialer1 ip address negotiated ip access-group 112 in ip mtu 1492 ip nat outside ip inspect myfw out ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 ppp authentication pap chap callin ppp chap hostname ppp chap password ppp pap sent-username !interface Dialer2 ip unnumbered Ethernet0 encapsulation ppp dialer pool 2 dialer-group 1 peer default ip address pool isdnpool ppp authentication pap chap!ip local pool isdnpool 10.10.1.2ip classlessip route 0.0.0.0 0.0.0.0 Dialer1!ip http serverno ip http secure-server!ip nat inside source list 102 interface Dialer1 overloadip nat inside source static tcp 10.10.1.2 4444 interface Dialer1 4444!access-list 102 permit ip 10.10.1.0 0.0.0.255 anyaccess-list 111 permit tcp any any eq telnetaccess-list 111 permit icmp any any administratively-prohibitedaccess-list 111 permit icmp any any echoaccess-list 111 permit icmp any any echo-replyaccess-list 111 permit icmp any any packet-too-bigaccess-list 111 permit icmp any any time-exceededaccess-list 111 permit icmp any any tracerouteaccess-list 111 permit icmp any any unreachableaccess-list 111 permit udp any eq bootps any eq bootpcaccess-list 111 permit udp any eq bootps any eq bootpsaccess-list 111 permit udp any eq domain anyaccess-list 111 permit esp any anyaccess-list 111 permit udp any any eq isakmpaccess-list 111 permit udp any any eq 10000access-list 111 permit tcp any any eq 1723access-list 111 permit tcp any any eq 139access-list 111 permit udp any any eq netbios-nsaccess-list 111 permit udp any any eq netbios-dgmaccess-list 111 permit gre any anyaccess-list 111 deny ip any anyaccess-list 112 permit tcp any any eq 4444access-list 122 deny tcp any any eq telnetaccess-list 122 permit ip any anydialer-list 1 protocol ip permit!control-plane!line con 0 exec-timeout 120 0 login local no modem enable transport preferred all transport output all stopbits 1line aux 0 transport preferred all transport output allline vty 0 4 exec-timeout 120 0 login local length 0 transport preferred all transport input all transport output all!scheduler max-task-time 5000no rcapi server!end ein copy runn start habe ich gemacht, ein paar unwichtige zeilen habe ich hier rausgemacht, sonst komme ich über 4000 Zeichen Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 28. Dezember 2005 Melden Teilen Geschrieben 28. Dezember 2005 Hi, versuch mal folgendes: no ip inspect name myfw smtp CBAC und smtp machten mir schon öfters Probleme... Gruss Thomas Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 28. Dezember 2005 Autor Melden Teilen Geschrieben 28. Dezember 2005 Ich werde erstmal abwarten bis zur ersten Januarwoche, habe den Technicker von T-Systems ausfindig gemacht, der is gerade im Urlaub, werde aber berichten was er damals verändert hat. grüße loopback und einen guten Rutsch ins neue Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 2. Januar 2006 Autor Melden Teilen Geschrieben 2. Januar 2006 Hallo, habe jetzt mit dem Telekommenschen gesprochen, der hat damals folgende Zeile entfernt aus der Config ip inspect name myfw smtp timeout 3600 wie es schon @tom12 vermutet hat, und das Problem war behoben. grüße loopback Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 Der ip inspect smtp reicht auch nicht bei allen SMTP Verbindungen. Die meisten Verbindungen benötigen esmtp. Habe das selbe Problem. Also wenn Ihr den Inspect trotzdem wollt, dann aktiviert mal ip inspect esmtp und ip inspect smtp, dass soltte auch gehen. Da der Router ja aber von meinen Kollegen betreut wird, müssen die das wohl machen. Zitieren Link zu diesem Kommentar
Alex_K._aus_M. 10 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 @ Klettermaxx Hallo wir sind also Kollegen :wink2: Ich hatte auch immer Probleme mit smtp, tatsächlich mit esmtp da gehts :) nur zusammen geht es nicht. Siehe Fehlermeldung. Router(config)#ip inspect name myfw Smtp %SMTP cannot coexist with ESMTP, please unconfigure ESMTP and try again... Zitieren Link zu diesem Kommentar
Alex_K._aus_M. 10 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 @ Klettermaxx Hallo Kollege :wink2: Ich hatte auch immer Probleme mit smtp, tatsächlich mit esmtp da gehts :) nur zusammen geht es nicht. Siehe Fehlermeldung. Router(config)#ip inspect name myfw Smtp %SMTP cannot coexist with ESMTP, please unconfigure ESMTP and try again... Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 3. Januar 2006 Melden Teilen Geschrieben 3. Januar 2006 Das kann sein, dass nicht beides geht. Bin mir jetzt nicht ganz sicher und müsste es ausprobieren. Schön zu wissen, dass es hier noch mehr magentafarbene Leute gibt. Schöne Grüße von der TSI aus Hannover. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.