Whistleblower

So, habe jetzt mal komplett ein Trace gezogen, bis die Startseite geladen war... Hier ein Auszug: So geht das die ganze Zeit, nur dass am Ende irgendwann mal die Pakete durchgehen... Hat der hier Probleme mit der Paketgröße (das leidige Thema MTU...?), oder warum kommen die nicht in der richtigen Reihenfolge an??? Hab schon ein ip tcp adjust-mss 1300 auf dem Vlan 1... Hab allerdings grad gesehen, dass der Dialer (sh int di 1) eine MTU von 1500 hat, sollte eigentlich 1492 sein... Hmmmm... Sollte das der Grund sein?

Hab den Debug nur kurz laufen lassen, wie gesagt, bis die Seite komplett aufgebaut ist, vergehen einige Minuten... Und wenn ichs länger laufen lassen, habe ich zuviel Output... :-( Deswegen die Frage, ob ichs gleich auf dem Cisco filtern kann, werds sonst nochmal übern Texteditor filtern...

Hi MehLan dann erklär doch mal genau, was Du erreichen willst. Zu. erstens: - Wie ist der Router angebunden, wie soll die VoIP-Anlage genutzt werden (nur intern, über WAN-Verbindungen, über VPN-Tunnel?) - Wie viele öff. IPs nutzt Ihr? Wichtig, wg. NAT und evtl. Portforwarding - Lokales Netz auf VLAN 1 konfigurieren (es sei denn, Ihr nutzt mehr als ein VLAN) - Ext. IP z.B. auf Port FE 4 oder entsprechend Dialer konfigurieren ... Du siehst, schon, wir brauchen hier ein paar genauere Infos, wenn wir Dir hier weiterhelfen sollen.... Kannst sonst auch Deine Konfig posten, aber bitte vorher Passwörter, IPs usw unkenntlich machen!

Ergibt EWAIT TCP ACK 2347544940 SEQ 4135496290 LEN 200 (143.166.83.190:80) <= (10.x.x.x:2693) 026207: Apr 27 10:10:48.740 PCTime: CBAC sis 82CFDEE4 L4 inspect result: SKIP packet 82C35E50 (143.166.83.190:80) (10.x.x.x:2693) bytes 0 ErrStr = Retransmitt Verwirft also aus irgendeinem Grund das Paket... ? Kann ich die Debugausgabe nicht irgendwie filtern, z.B. nach der IP, damit ich nicht den ganzen Traffic sehe???

Hi MehLan, bitte meinen ersten Beitrag nicht falsch verstehen, logisch, dass ich Dir auch weiterhelfe! Nur Wordo war schneller! ;-) Wenn Du einen DHCP auf dem Cisco laufen lassen willst, kannst Du das z.B. so einrichten: ip dhcp pool DHCP_PoolnameXYZ network 192.168.x.0 255.255.255.0 default-router 192.168.x.y domain-name ... dns-server 192.168.x.z exit ip local pool DHCP-Pool 192.168.x.10 192.168.x.100 Die ganzen Optionen musst Du natürlich nicht angeben, ist halt die Frage, was Deine Clients so alles mitgeteilt bekommen sollen. Kannst natürlich auch eine DHCP-Range angeben (in diesem Fall: .10 - .100)

Hi MehLan, willkommen im Forum! Grundsätzlich empfehle ich jedem Neuling, sich erstmal einiges Wissen anzulesen, entweder über Cisco Systems, Inc (da gibt es auch zahlreiche Beispiel-Konfigs), über dieses Forum, oder die -wie ich mittlerweile finde, Dank auch an wordo für den Tip!- "Bibeln" im Router und VPN Bereich "The complete Cisco VPN Guide" und "Cisco Router Firewall Security", beide von Richard A. Deal. Du wirst hier viele hilfreiche Antworten bekommen, aber letztendlich musst Du auch verstehen, was Du letztendlich konfigurierst. Und wenn Du schnelle Lösungen brauchst, hilft es Dir vielleicht auch weiter, den Cisco SDM (Security Device Manager) einzusetzen. Für eine Grundkonfig ist er meist ausreichend, Du solltest Dir hinterher aber die Config im Detail ansehen, um zu verstehen, wie die Befehle im IOS aussehen. Viele Features lassen sich über den SDM nicht realisieren, deswegen wirst Du früher oder später eh auf der Konsole arbeiten...

Hallo zusammen, habe derzeit Probleme beim Zugriff auf einige Webseiten, wie z.B. www.dell.de (oder auch www.dell.com) Der Seitenaufbau dauert Minuten, ist aber irgendwann vollständig. Über einen anderen Weg (anderer ADSL-Router, anderer Provider) ist der Seitenaufbau problemlos. Vermute daher Probleme beim ip-inspect, welches auf beiden Interfaces (Vlan1, Dialer1) für in und out aktiv ist. Regeln: ip inspect name ethernet_0 tcp router-traffic ip inspect name ethernet_0 ftp ip inspect name ethernet_0 udp ip inspect name ethernet_0 http ip inspect name ethernet_0 realaudio ip inspect name ethernet_0 h323 ip inspect name ethernet_0 h323callsigalt ip inspect name ethernet_0 h323gatestat ip inspect name ethernet_0 skinny ip inspect name ethernet_0 fragment maximum 256 timeout 1 ip inspect name ethernet_0 sip-tls ip inspect name ethernet_0 sip ip inspect name ethernet_0 pptp Im Logging taucht zu der Seite nichts auf (aber dafür z.B. wenn auf Seiten Java geblockt wird). Wie kann ich das ganze sinnvoll debuggen, testen (wie schalte ich ip-inspect kurzzeitig aus, ohne dass ich hinterher sämtliche Client-Connections zurücksetzen muss), und wie bekomme ich den Router dazu, dass er die Seite fehlerfrei liest (kann man notfalls Ausnahmen für einzelne Adresse vom ip-inspect vornehmen)? Soviele Fragen bei soooo einem Wetter... ;-)

Wie gesagt, funzt jetzt wieder wunderbar, muss den Eintrag irgendwann mal rausgeschmissen haben...

Okay, habs gefunden! "permit gre any any" fehlte in der ACL für VLAN-Interface! Danke für den Hinweis!

Hm, einen statischen NAT-Eintrag mache ich doch i.d.R. nur auf einen Host im Netz, also z.B. Port 80 für einen Webserver, der öffentlich erreichbar sein soll...? Hatte bisher auch angenommen, dass Port 1723 für PPTP genutzt wird. Jetzt habe ich eben mal am Client ein Trace gezogen und festgestellt, dass dynamisch Ports genutzt werden, eben z.B. der Port 1942. Und ich sehe auch, dass der Client ein "Configuration Request" über PPP LC / GRE schickt, und hierauf keine Antwort erhält... Also liegts evtl. doch am GRE. Aber wie lasse ich GRE jetzt durch?

Hi, Der Aufbau ein PPTP-Session von Clients die hinter unserem Cisco 871 hängen, funzt leider net... Bei der PIX gibts ja den Befehl "fixup protocol pptp 1723", gibt's da auch ähnliches für die 800er Router? Der Abbruch erfolgt immer bei "Benutzername und Kennwort werden verifiziert", wenn ich vom Client direkt (z.B. über nen ISDN-Zugang) mich einwähle, geht der Tunnel einwandfrei. Eine NAT-Regel würde mich auch nicht weiterbringen, weil PPTP von mehreren Clients gehen sollte... :-(

Hm, klingt auf jeden Fall interessant, aber ich suche eigentlich kein Tool dafür... Gibt es Mittel und Wege, die Benutzerkonten manuell auf das neue System herüberzuretten? Profil auf dem Client sichern, Client in neue Domäne heben, Profil wieder einspielen? Irgendwas in der Richtung?

Hi, vielleicht ist es gar nicht so wild, aber irgendwie komme ich hier gerade nicht weiter. Wir haben derzeit als einzigen Server einen W2K-Server im Netz, der jetzt durch neue Hardware mit SBS2003 ersetzt werden soll. Es ist nicht viel auf dem System eingerichtet, eine Handvoll Benutzerkonten und eine Anwendung, die ihre eigene SQL-DB mitbringt. Für diese Anwendung ist es zwingend erforderlich, dass der Servername, Freigaben und Mappings gleich bleiben, deswegen ist eine Migration der Benutzerkonten via ADMT schon mal nicht möglich, da beide Server nicht in das gleiche Netz dürfen. Die Profile der User sollen aber trotzdem auf das SBS2003-System übertragen werden, so dass die User Ihre gewohnte Oberfläche und alles haben, nachdem die Clients in die neue Domäne gehängt wurden. Nach welcher Methode geht man da am sinnvollsten vor, um die Profile fehlerfrei zu übernehmen? Oder gibt es doch eine Möglichkeit, das über ADMT zu machen?

Hm, okay... Also könnte ich beim Austausch auch einen Server mit nem Image wiederherstellen, in Cluster hängen und dann quasi wieder "scharf" schalten, wenn ich das richtig verstehe? Lässt sich das eigentlich mit allen Anwendungen realisieren, oder müssen die noch spezielle Voraussetzungen erfüllen? Und Lastverteilung wäre schon gut, sonst werden ja aus drei Servern gleich sechs (+ der nicht gerade günstigen 2003-Enterprise Lizenzen...)

Na, das ist ja schon mal erfreulich zu hören! Es soll ein Failover-Cluster sein, d.h. wenn ein Server ausfällt, sollte der Anwender im besten Fall nichts davon bemerken. Wie sieht sowas eigentlich in der Praxis aus? Wird erst 2003 Enterpr Server auf den einzelnen Maschinen installiert, dann zum Cluster verbunden, und die Anwendungen werden dann logisch auf diesem Cluster installiert? Lastverteilung wäre natürlich auch schön, aber das lässt sich ja scheinbar nicht gleichzeitig realisieren? Reines TCP-Loadbalancing (NLB) meinst Du damit ja nicht, oder?

Hallo, beschäftige mich derzeit auch gerade mit dem Thema Server-Cluster, und für mich ist es ebenfalls Neuland... Zum Hintergrund: Zur Zeit werden beim Kunden 3 Server betrieben, von den jeder einzelne einen bestimmten Dienst zur Verfügung stellt. Da die einzelnen Dienste alle recht hohe Ansprüche an die Hardware stellen, ist es nicht möglich, sie alle auf einem Server laufen zu lassen. Daher der Ansatz, ein Server-Cluster zu bilden. Bei der Hardware handelt es sich um RX100 S3 von Fujitsu-Siemens, die zu dem Zweck auch mit red. Netzteilen ausgestattet werden sollen. Lt. der MS-Homepage sind die Server für die Server 2003 Family geeignet (d.h. auch für die ENTERPRISE Edition?!). Wie ist jetzt eigentlich das Handling im Falle eines Ausfalls von einem Server im Cluster? Server wird aus dem Cluster rausgenommen, die anderen beiden arbeiten mit entsprechend höherer Last weiter. Kann auf den Austauschserver dann ein (taggenaues) Image installiert werden, und dann kann er wieder mit ins Cluster, oder wie läuft das denn? Oder kommt man um ein SAN im Cluster nicht herum?

Bisher hab ich nur mit 3Com-Zertis Erfahrung, habe da den Enterprise LAN Expert und den Wireless LAN Expert gemacht (und den Sales Professional, aber da gehört auch nicht sooo viel technisches Wissen zu). Bereite mich gerade auf den MCP vor, will den MCSE machen, und irgendwann danach kann ich Cisco mal in Erwägung ziehen... Erfahrung habe ich mit Cisco an sich schon, allerdings meines Erachtens noch zu sehr fokussiert. Habe 1,5 Jahre lang VPNs mit den "kleinen" Ciscos (836/1721) installiert, dann und wann mal Switche konfiguriert, WLANs eingerichtet und Troubleshooting betrieben. Aber um wirklich ohne Bedenken so eine Prüfung zu machen, sollte man schon gezielt sich Praxiswissen aneignen. Und dafür will ich jetzt zumindest ein kleines Lab hier etablieren... Zum 3620: Habe da gerade ein Angebot für 130,-- Euro ohne WICs, das ist ein ganz fairer Preis wie ich finde?

Werde wohl klein mit dem CCNA anfangen, aber in der Praxis liegt mein Schwerpunkt eher im VPN-Bereich. Ob ich da allerdings mittelfristig eine Zertifizierung anstreben werde ist noch unklar, erstmal sind MS und andere Hersteller dran... Trotzdem schon mal danke für die Infos... Immerhin hab ich schon mal 1750er (und diverse 800er) da, und überlege, noch einen 3620 zu erstehen... Was wäre denn ein fairer Preis dafür ohne WICs mit 16MB Flash und 64 MB Ram?

ein CPQRG wäre dazu gut, finde derzeit aber nur den aktuellen... :-(

Hab da mal eine allgemeine Frage, die auch Richtung Zertifizierung geht... Welche Hardware braucht man Eurer Erfahrung nach, um im Lab möglichst viel prüfungsrelevante Aufgaben nachzustellen? Schwerpunktmäßig gehts mir da ums Thema Routing und VPN. Kann man da auch problemlos mit EoS-Geräten (aktuelles IOS vorausgesetzt) wie dem 1720, 2610/2620, 3620 arbeiten?

So, funzt übrigens alles so, wie gewünscht...!

Ich hatte auch mal das Problem, einen Netgear Router mit dyn IP an einen Cisco (der allerdings mit fester IP) anzubinden, zumal ich parallel auch mobilen Clients den Zugriff ermöglichen wollte. Mit dem Einsatz von keyrings konnte ich das ganze dann erfolgreich konfigurieren, das sollte eigentlich auch funzen, wenn Du auf beiden Seiten dyn. ip hast und zumindest für eine Seite dynDNS nutzt. Anfänglich hatte ich dynDNS auch mit genutzt und konnte auch über den Hostnamen connecten. Für den key müsstest Du normalerweise auch den hostnamen /DynDNS-Alias eintragen können, und der 836er aktualisiert die IP entsprechend... Ist der andere Router auch Cisco, oder was für ein Hersteller?

Die anderen Netze habe ich bei dem Beispiel ausgeblendet... Muss ich denn für Inet-Traffic extra Zugriff erlauben, selbst wenn er vom LAN initiert wurde? Ich betreibe ja keinen Webservices hier, die von extern erreichbar sein müssen... Nur das übliche halt - Surfen und pop3/imap/smtp abrufen bzw. senden... Gibt's ansonsten eine gute Beispielkonfig dazu? Ich wollte eigentlich nicht einzelne deny's und am Ende ein Permit all konfigurieren...

Hm also in der Art: interface Vlan1 description LAN_intern ip address 172.16.0.1 255.255.0.0 ip access-group 100 [u][b]out[/b][/u] ... access-list 100 remark ### Zugriff ins LAN ### ... access-list 100 permit ip 192.168.0.0 0.0.0.255 host 172.16.x.y ... access-list 100 deny ip any any Also sage ich im Interface nicht, ob es IN- oder OUT-going Traffic ist, sondern ob er von IN oder OUTside kommt... Das erklärt das natürlich... Werde das heute abend mal ändern! Dank Dir!

Das hatte ich ja auch erst gedacht... ACL 100 erstellt in der Form: permit ip 192.168.0.0 0.0.0.255 host 192.168.100.120 ... deny ip any any und anschließend in Int VLAN1 access-group 100 in Das hat aber leider nicht zum Erfolg geführt. Oder muss ich dann access-group 100 out konfigurieren? Sinngemäß kommt der Traffic doch über Fast Eth 4 über den Tunnel rein und geht dann IN in VLAN1, und nicht OUT?