Whistleblower

Okay, ich gebe mich geschlagen...

Hab spaßeshalber das ganze jetzt mal über den SDM konfiguriert. Die Policies sind auf sämtlichen Interfaces aktiv, greifen aber nur jeweils auf denen zum internen Netz...

Für den Dialer geht es nicht, und scheinbar gibt es auch keine Kunstgriffe, um das ganze darauf zu aktivieren, jedenfalls nicht in der Konstellation... Schade...

Deine Antwort in Ehren, aber die Frage bezieht sich auf PIXen. Wenn ich mit einem DSL-Router arbeite, brauche ich keine PIX mehr...

Mit DSL-Router war kein Cisco gemeint... Ich habe bei Kunden schon Konstellationen gesehen, wo ein Netgear/D-Link/... SOHO-Router nur die PPPoE-Einwahl und DynDNS gemacht hat, und dahinter ne PIX stand, die entsprechend VPN und ACLs gemacht hat. Ob das sinnvoll ist, ist ne ganz andere Frage... :rolleyes:

Aber bei mir müssen noch andere Fehler drin sein, er zeigt ja gar keine Pakete als matched an...

router#sh policy-map int di1
Dialer1

 Service-policy output: test

   Class-map: icmp (match-all)
     0 packets, 0 bytes
     5 minute offered rate 0 bps, drop rate 0 bps
     Match: protocol icmp
     Queueing
       Strict Priority
       Output Queue: Conversation 264
       Bandwidth 200 (kbps) Burst 5000 (Bytes)
       (pkts matched/bytes matched) 0/0
       (total drops/bytes drops) 0/0

   Class-map: class-default (match-any)
     0 packets, 0 bytes
     5 minute offered rate 0 bps, drop rate 0 bps
     Match: any
     Queueing
       Flow Based Fair Queueing
       Maximum Number of Hashed Queues 256
       (total queued/total drops/no-buffer drops) 0/0/0
        exponential weight: 9

 class    Transmitted      Random drop      Tail drop    Minimum Maximum  Mark
          pkts/bytes       pkts/bytes       pkts/bytes    thresh  thresh  prob
     0       0/0               0/0              0/0           20      40  1/10
     1       0/0               0/0              0/0           22      40  1/10
     2       0/0               0/0              0/0           24      40  1/10
     3       0/0               0/0              0/0           26      40  1/10
     4       0/0               0/0              0/0           28      40  1/10
     5       0/0               0/0              0/0           30      40  1/10
     6       0/0               0/0              0/0           32      40  1/10
     7       0/0               0/0              0/0           34      40  1/10
  rsvp       0/0               0/0              0/0           36      40  1/10

Das Problem an sich ist, dass DialerIFs sein Queuing nicht an das Virtual-Access vererbt. Ich denke nicht das du damit Erfolg haben wirst

Geb ich Dir recht... Irgendwie funzt das alles nicht so... Aber mal gut zum Üben :D

router#sh int di1

Dialer1 is up, line protocol is up (spoofing)
 Hardware is Unknown
 Description: Einwahl DSL
 Internet address is x.x.x.x/32
 MTU 1500 bytes, BW 3000 Kbit, DLY 20000 usec,
    reliability 255/255, txload 49/255, rxload 1/255
 Encapsulation PPP, loopback not set
 Keepalive set (10 sec)
 DTR is pulsed for 1 seconds on reset
 Interface is bound to Vi2
 Last input never, output never, output hang never
 Last clearing of "show interface" counters 02:29:45
 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
 Queueing strategy: Class-based queueing
 Output queue: 0/1000/64/0 (size/max total/threshold/drops)
    Conversations  0/0/256 (active/max active/max total)
    Reserved Conversations 0/0 (allocated/max allocated)
    Available Bandwidth 2050 kilobits/sec
 5 minute input rate 0 bits/sec, 7 packets/sec
 5 minute output rate 582000 bits/sec, 58 packets/sec
    121212 packets input, 12057844 bytes
    209477 packets output, 191585350 bytes
Bound to:
Virtual-Access2 is up, line protocol is up
 Hardware is Virtual Access interface
 MTU 1500 bytes, BW 3000 Kbit, DLY 20000 usec,
    reliability 255/255, txload 53/255, rxload 3/255
 Encapsulation PPP, LCP Open
 Open: IPCP
 PPPoE vaccess, cloned from Dialer1
 Vaccess status 0x44, loopback not set
 Keepalive set (10 sec)
 Interface is bound to Di1 (Encapsulation PPP)
 Last input 00:00:02, output never, output hang never
 Last clearing of "show interface" counters 01:18:28
 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
 Queueing strategy: fifo
 Output queue: 0/40 (size/max)
 5 minute input rate 37000 bits/sec, 47 packets/sec
 5 minute output rate 635000 bits/sec, 94 packets/sec
    116162 packets input, 11569367 bytes, 0 no buffer
    Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
    0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
    204598 packets output, 191287642 bytes, 0 underruns
    0 output errors, 0 collisions, 0 interface resets
    0 output buffer failures, 0 output buffers swapped out
    0 carrier transitions
router#

Hi,

so, habe jetzt folgenden Aufbau, und bis jetzt siehts ganz gut aus:

Netz 10.1.0.0/16

PC-A

|

|

Cisco1751-A ----------------------Cisco 1720-------------------Cisco 1751-B-----PC-B

.......FastEth0/0...................Eth0/0......FastEth0/0..........FastEth0/0...Eth0/0

......(Dialer1).....3MBit/384KBit..............................4Mbit

Router A wählt sich über PPPoE auf dem 1720 ein, Router B ist direkt mit dem 1720 über FastEth0/0 verbunden. Router A baut mit Router B eine VPN-Verbindung auf.

PC-B pingt PC-A, und macht parallel 2 http-Downloads von PC-A.

Die ping-Zeiten liegen ohne Last bei 10ms und mit http-Transfer jetzt bei ca. 60ms.

Die http-Transferrate entspricht ungefähr den 384KBit.

Jetzt werde ich die Policies entsprechend eintragen, und schauen, was es bringt...

Hi,

ich kann zur PIX leider auch nichts sagen, über Umwege (DSL-Router mit DynDNS, dahinter PIX) könnte es evtl. (!) gehen. Eine sichere und zuverlässige Lösung ist das aber nicht.

Auf Cisco-Routern kann man mit keyrings arbeiten, ich nutze das, um z.B. VPN-Clients und eine Lokation mit dyn. IP terminieren zu können (sonst ging immer nur eins -VPN-Client oder dyn.IP). Damit könnte evtl. auch ein L2L mit 2 dyn. IPs möglich sein.

Der Einfachheit halber würde ich aber immer empfehle, mind. eine feste IP zu nutzen. Der Aufpreis ist meist gering, oder z.T. schon im Tarif enthalten.

Mist, in meinem Lab nutze ich ja gar keine Dialer, sondern arbeite mit festen IPs auf den "WAN"-Interfaces...

Ist es aufwendig, einen PPPoE-Server auf nem 1720er zu konfigurieren? Sonst muss ich das ganze mal tatsächlich übers Internet testen... Hab aber nur ein DSL-Schluss zum testen hier, und müsste dann von zuhause testen... :-(

Wie siehts eigentlich bei der PIX damit aus - hätte ich da Vorteile gegenüber den 1751er?

Hab hier noch ne kleine 501 rumliegen...

Hi Wordo,

hab mir grad mal den Beitrag durchgelesen:

http://www.mcseboard.de/cisco-forum-allgemein-38/voip-qos-vpn-dann-noch-adsl-122738.html

Werd ich wohl noch mal alles auf Herz und Nieren testen müssen... So tief war ich bisher noch nicht im Thema drin, aber so langsam reizt es mich ;-)

Hi Wordo,

mindestens auf einer Seite muss ich ein Dialer-IF nehmen, ja... Auf der anderen Seite habe ich ne feste IP. Also keine Chance?

Hi,

wenn's nicht unbedingt Cisco sein soll, aber auch kein SOHO sein soll:

Von 3Com gibt es seit kurzen die 4210er-Serie in den Ausbaustufen 9, 18, 26 Port (8, 16, 24x 10/100 und 1 bzw 2x 1000BaseT/Combo-SFPs).

Der 9-Port Switch liegt bei 250,-- brutto. Das ganze gibt es auch mit PoE und ist recht preiswert (ca. 500-600 für den 9-Port). 19" Einbau ist ebenfalls möglich. Die Non-PoE Variante ist zudem lüfterlos.

Als Gigabit-Variante gibt's noch den 4200G mit 12 Ports.

Link 3Com 4210 Wir haben damit bisher gute Erfahrungen gemacht, gerade im VoIP- (PoE) Umfeld.

Hi,

mal ne dumme Frage: Du willst nicht Telnet auf den zweiten Router machen, sondern ne serielle Verbindung, oder? Telnet kannst Du während des Bootvorgangs doch noch nicht nutzen... Oder nutzt du dann ein Loopback-IF (ist das während des Bootens verfügbar?)?

Vielleicht hilft Dir ja der Artikel hier weiter:

http://www.ciscopress.com/articles/article.asp?p=27650&seqNum=5

Ich persönlich nutze für solche Zwecke allerdings immer einen Management-PC, wo der Router dann direkt seriell dranhängt.

Hi,

ich mache hier gerade mal einen Testaufbau zum Thema VoIP.

Vorhanden sind 2 Cisco 1751 (IOS Adv. Sec 12.4(12)), sowie ein 1750 für den Lab-Aufbau.

In der Praxis sollen die zwei 1751 ein VPN herstellen, Anbindung erfolgt über 4Mbit SDSL und 3MBit/384Kbit ADSL.

Wenn ich jetzt entsprechend QoS-Policies einrichte, wirkt sich dass dann auch direkt auf VoIP über die VPN-Verbindung aus, und muss ich da zusätzlich noch etwas berücksichtigen?

Bevor das ganze in die Praxis geht, will ich noch einen Test im Lab machen, indem ich einen 1750 als "Internet" dazwischen hänge und Traffic-Shaping auf den Ports mache.

Hat jemand schon mal so einen oder einen ähnlichen Aufbau gemacht?

Hab sicherheitshalber nochmal kontrolliert, dass es auch wirklich ein ADSL2+ Modem ist... ;)

Ist ein Siemens ADSL Plus C2-010-I, hatte erst den Verdacht, dass es ein E-010-I wäre...

Hm, dann müsste ich das Modem nochmal separat testen, oder einfach mal tauschen.

Kannst Du ein bestimmtes ADSL+ Modem empfehlen?

Es sind zwar zwei VPNs immer aktiv, aber da geht i.d.R. nicht so viel Traffic drüber.

Kann sonst höchstens nochmal die MSS erhöhen, steht glaube ich aktuell auf 1300.

Hi,

wie ist denn der Wissensstand?

Unabhängig davon ist es auch immer eine Frage vom Einsatzgebiet - Für kleine Unternehmen mit ein-zwei Standorten spricht sicher auch nichts gegen eine Opensource-Lösung, wenn man mit kleinen Einschränkungen leben kann.

In Sachen Konnektivität würde ich aber Cisco bevorzugen, weil es meiner Ansicht deutlich flexibler ist, was verschiedenste VPN-Konstellationen angeht, und zudem wird Cisco i.d.R. auch immer von anderen Herstellern unterstützt.

Und ansonsten die üblichen Argumente: Marktführer, extremst lange Erfahrung, bester Support durch Partner, Cisco und Foren :-) darüber hinaus sind die Geräte für Dauerbetrieb unter Last ausgelegt (davon kann man bei einem PC mit OpenSource-Lösung nicht immer ausgehen), ausgereifte Adminstration (über Web/SDM/PDM/CLI...), einfacher Austausch im Falle eines Falles (Konfig in neues Gerät rein und fertig) usw...

Hi,

ist vielleicht kein reines Cisco-Phänomen, aber ich wundere mich hier gerade, dass unser 16MBit DSL seit der Umstellung auf unseren Cisco 871-Router (vorher nur Testbetrieb mit Siemens DSL-Router) nur noch 8MBit Downstream schafft.

Vorher hatten wir mit dem Siemens-Router im Schnitt ca. 12 MBit tatsächlichen Downstream (mit mehreren Downloads von ISO-Files verifiziert).

Jetzt hängt der Anschluss an einem Siemens ADSL+ Modem und dem Cisco.

Können die Probleme am Cisco liegen (evtl. sind 8 MBit maximaler Routingdurchsatz?), oder müsste das ADSL-Modem noch "getunt" werden?

Hat sich jemand schon mal mit so einem Problem beschäftigt?

Problem gelöst - Auf dem PC war die falsche (aktuelle) Java-Version installiert.

Jetzt ist JRE 1.4.2 drauf, und der pdm hängt sich nicht mehr weg.

Okay, den zahlreichen Antworten hier entnehme ich, dass die Kiste kein neueres Release unterstützt... Ist die PDM-Version ebenfalls die letzte unterstützte?

Irgendwie verabschiedet sich der PDM bei mir hier regelmäßig, und ich muss den Browser komplett neu starten (IE und FF getestet)... :-(

Hallo,

laut Cisco wird die PIX 501 nicht mehr von Release 7.x und 8.0 unterstützt.

Ich hatte trotzdem irgendwo gelesen, dass es möglich wäre, die 7.2 auf die 501 zu bügeln, ist das richtig?

Derzeit habe ich Version 6.3(5) und PDM 3.0.4 drauf - gibt es da noch Möglichkeiten für ein Update, oder ist das der letztmögliche Versionsstand?

Ah, sehr schön! Danke!

Hi,

gibt es von Cisco mittlerweile außerhalb der 6500er Serie eine Unterstützung für Multi Supplicant Mode? Wir benötigen dies, um an einem Port IP-Telefone, als auch evtl. dahinter hängende PCs zu authentifizieren...

Hi Wordo,

klar, NAT ist aktiv, aber auch mit entsprechender ACL.

Das Problem hat sich aber mittlerweile gelöst - Auf der anderen Seite war noch eine ACL auf dem CoreSwitch, die unsere Zugriffe geblockt hat...

Jetzt funzt es soweit, konnte auch wieder die "Host-Matrix-ACL" in Betrieb nehmen...

PFS werde ich dann auch nochmal testen und nach Möglichkeit wieder aktivieren.

Trotzdem Danke für die Tipps!! :-)

Wieso steht denn da "des"?

Habe ich auch erst überlegt.

So wie ich das sehe, steht das "des" da für "decrypt sa" oder ähnliches, nicht für den verwendeten Algorithmus, der richtigerweise 3DES lauten sollte...

Zumindest gibt es bei Cisco auch nur diese Fehlermeldung "IPSEC(epa_des_crypt)" und keine mit 3DES.

Hi,

konnte mich zwischenzeitlich wieder mit dem Thema befassen.

PFS ist jetzt auf beiden Seiten abgeschaltet.

Ausserdem haben wir uns jetzt auf einen Tunnel beschränkt, also in der Art

"permit ip host 172.16.1.1 host 192.168.123.1"

Hat leider keine Verbesserung gebracht, bekomme immer noch die Meldung

000539: Oct 31 09:27:36.269 PCTime: IPSEC(epa_des_crypt): decrypted packet failed SA identity check

Das heisst doch eigentlich, das Pakete über den Tunnel gehen, aber nicht korrekt entschlüsselt werden können... Kann dann doch eigentlich nur noch eine Kleinigkeit sein...

Any ideas?