Wordo

Wenn die 192.168.3.2 ne Cisco is kannst dir ja mal n "sh int" anschaun ob da Errors/CRSs/Collisions drauf sind.

Was passiert denn von du aus der crypto config "acl VPNROUTES-CLIENTS" rausnimmst. Das kann doch jetzt nur noch das einzige sein warums nicht geht.

Vielleicht weil er dauernd einen Reverselookup von den IP's versucht? Probier mal traceroute ip X.X.X.X numeric. Das da ein Paket verloren geht ist komisch, schau mal obs dauernd so ist

Dann hat aber die andere 836 das Problem in der Konfiguration.

Ja wie jetzt, Gateway ist die 1720, aber der Windowsserver hat die Linuxkiste als Gateway drin?

Dann kommt deine Fehlermeldung von oben bei der 1?! Poste doch mal die Config von der 3, wenns nicht Kiel schon ist.

Wie sieht denn die Route ins 4er Netz vom Server aus? Ist die Linuxkiste das Gateway? Liegen ja nicht im selben Netz die beiden.

Also so wie du das schreibst, sagt Astaro dir, du sollst statt dem FQDN die IP vom Remote-Gateway angeben. Klingt b***d, aber sonst postest du besser die Originalfehlermeldung. Und schau mal auf der PIX mit "sh logg" was kommt, paar debugs waeren auch nicht schlecht.

SRC IP und DST IP (Ping) waeren schon nicht schlecht ...

http://www.cisco.com -> Downloads -> VPN Software ... musst aber glaub ich registriert sein.

Hmm, dann wirklich mal Ethereal installieren und schauen ob die Pakete dort angekommen. EDIT: Man muss Windows auch nicht neu starten :D :p

Stimmt, hab ich nicht aufgepasst, sorry. http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_data_sheet0900aecd800fd118.html

Und von wo nach wo geht der Ping jetzt nicht und von welchem Router kommt der Fehler?

Vielleicht hast du dich nur ausgesperrt. Wenn du sowas remote machst dann immer erst die crypto map aus den Interfaces raus. Und am besten noch ein "reload in 010". Wenn was schief geht startet der Router nach 10 Minuten neu mit der alten Konfiguration. Und wenn doch geklappt hat natuerlich "reload cancel" nich vergessen ;)

Der Router muss irgend ne 10er IP haben und der Webserver drauf laufen. Dann Setup auf deinem Rechner starten und wenn SDM auf der Cisco noch nich drauf ist, dem Setup sagen er soll das erst mal machen. Das dauert dann ewig und dann halt noch den SDM lokal installieren. Irgendwo siehste auch welche IP der genau braucht, habs nich mehr im Kopf (10.0.0.1?).

Das hoert sich so an, als wuerde das VPN nach max-bytes was irgendwann erreicht ist, neu ausgehandelt werden. Nach dem rekey ist der Counter auf 0 und weiter gehts. Frag mal deinen Admin ob er das nicht abstellen kann und nur eine Lifetime setzt.

crypto isakmp client configuration group VPN-Client key sfsdfsfsdfsdf pool vpn max-logins 10 netmask 255.255.255.0 crypto ipsec security-association lifetime seconds 28800 crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac crypto dynamic-map VPN-Client 20 set transform-set 3des-md5 crypto map VPN isakmp authorization list VPN-Client crypto map VPN client configuration address respond crypto map VPN 20 ipsec-isakmp dynamic VPN-Client ip local pool vpn 10.2.7.1 10.2.7.254 Pool bleibt dir ueberlassen, ob WIC, PPPoE und was auch immer sollte egal sein. Bei mir isses eine von ner 831er die auch NAT macht, allerdings ohne Dialer, aber sollte kein Problem sein (Username im CiscoClient waere dann "VPN-Client")

Hmmm ... jetzt waers mal Zeit auf einer Windowskiste Ethereal zu installieren und schaun ob die SYN Pakete von VNC oder SSH ankommen und es evtl falsch geroutet wird, bzw falsche Absendeadresse (wg. NAT).

Aber Inet geht? Hauptsache alles unwichtige erst mal raus damit die Konfiguration mal sauber wird.

Stimmt, in meiner Config stehts genauso, aber das mit dem NAT wundert mich schon. Schau mal was passiert wenn du RIP rausnimmst, das andere aber so laesst. Dann machen wir halt immer eins nach dem anderen :)

Ist die wirklich dynamisch von oben bis unten? Dann waers: access-list 100 permit tcp interes-net subnet any range 1024 65535 access-list 100 permit udp interes-net subnet any range 1024 65535 ip nat inside source list 100 interface dialeroderwasauchimmer overload

Echt? Komisch, dann musste wohl bei ETH0 ip unnumbered dialer 1 machen, dann das Dialer1 resetten und dann sollte es auch ohne dem nat auf ETH0 klappen. Hast du das RIP auch wieder rein?

Brauchst du RIP2? Wenn nein, raus damit ... und nimm mal den ip inspect auf dem Dialer1 raus, und dann noch diese FIREWALL_OUTGOING. Ah ja, und ip nat outside kannste vom ETH0 wegnehmen, weils bei Dialer1 drinsteht und an ETH0 gebunden wird. Sollte fuer die crypto map eigentlich auch gelten.

Aber warum an allen Clients das aendern? Dafuer gibts adjust-mss und ICMP. Vielleicht ist ja die ICMP-Nachricht auf der Cisco geblockt, oder es fehlt ne Route zum Client. So Sachen hatte ich schon mal mit Checkpoints z.B.

Wo ist denn dein Problem? Was geht nicht? Beim Ping kannst du ja die Paketgroesse selbst angeben, dann machste mal weniger und schaust obs geht. Und wo liegt der Vorteil drin die MTU auf 1262 zu legen? Dieser "Dr." TCP scheint mir ein Scharlatan zu sein :D :D :D