|
|
 | Microsoft VPN på cisco 677 går i ged efter~
Fra : Uffe Nielsen |
Dato : 22-03-01 14:40 |
|
Hej Alle
Jeg har en cisco 677 og 10 pc'er der alle skal køre VPN mode den samme
server. Desværre virker det kun kortvarigt hvorefter forbindelsen ikke kan
oprettes (650: remote computer not responding). I ppplog.txt kan jeg dog se
at det første lag oprettes, men så går linien død.
Det virkeligt underlige er, at hvis jeg sletter nat-tabellen med set nat
entry delete all, så virker alle 10 maskiner igen. Dog kun i ca. 1 time, så
skal nattabellen slettes igen.
Har nogen et godt råd om hvorfor dette ske ?
-----------------------------------------------------------
Med venlig hilsen / Best regards
Uffe Nielsen, Hardware Designer
Mobintech - Mobile Internet Technology A/S
Rugmarken 20, st.
3520 Farum
Denmark
+45 44 99 01 04
| |
 Bjarne Duelund (22-03-2001)
| Kommentar
Fra : Bjarne Duelund |
Dato : 22-03-01 15:23 |
|
Hej Uffe
"Uffe Nielsen" <uni@mobintech.com> skrev i en meddelelse news:99cvgj$fds$1@news.cybercity.dk...
>
> Det virkeligt underlige er, at hvis jeg sletter nat-tabellen med set nat
> entry delete all, så virker alle 10 maskiner igen. Dog kun i ca. 1 time, så
> skal nattabellen slettes igen.
Kan det være noget timeout ?
SH NAT TIMEOUT
--
Mvh Bjarne Duelund, duelund@danbbs.dk
Opsætning af Win98SE ICS, Fjernstyring med VNC, ADSL Tips m.m.:
< http://www.danbbs.dk/~duelund/pcinfo/>
!-! Remove _X_ from Email address
| |
Tonni Aagesen (22-03-2001)
| Kommentar
Fra : Tonni Aagesen |
Dato : 22-03-01 18:03 |
|
"Bjarne Duelund" <_X_duelund@danbbs.dk> skrev i en meddelelse
news:uVnu6.30$Ov.6378@news010.worldonline.dk...
> Kan det være noget timeout ?
> SH NAT TIMEOUT
Eller er der et max. antal NAT ENTRIES? Jeg mener med 10 PC'er på VPN, så
skal der jo nogle stykker til.
Mvh
Tonni Aagesen
--
For mail remove SPAM_ME_NOT
www.spyfluen.dk
Om lystfiskeri af lystfiskere.
Skriv dit eget indlæg online.
| |
Uffe Nielsen (23-03-2001)
| Kommentar
Fra : Uffe Nielsen |
Dato : 23-03-01 09:03 |
|
Tak for inputtet.
Jeg har bemærket at timeoutet for RAS portene er meget stort (80000) og
default timeout er 300. Hvorfor tildeles RAS portene (11xx) så store
timeouts ??
Jeg går og overvejer at bestille faste ip'er til alle 10 maskiner, så løses
problemet forhåbenligt ?? Er der nogen der har et tip til hvorledes cisco
677'eren sættes op til IKKE at bruge nat, men route direkte til 10
forskellige maskiner med 10 forskellige ip'er ??
Med venlig hilsen,
Uffe Nielsen
"Bjarne Duelund" <_X_duelund@danbbs.dk> wrote in message
news:uVnu6.30$Ov.6378@news010.worldonline.dk...
> Hej Uffe
>
> "Uffe Nielsen" <uni@mobintech.com> skrev i en meddelelse
news:99cvgj$fds$1@news.cybercity.dk...
> >
> > Det virkeligt underlige er, at hvis jeg sletter nat-tabellen med set nat
> > entry delete all, så virker alle 10 maskiner igen. Dog kun i ca. 1 time,
så
> > skal nattabellen slettes igen.
>
> Kan det være noget timeout ?
> SH NAT TIMEOUT
>
> --
> Mvh Bjarne Duelund, duelund@danbbs.dk
> Opsætning af Win98SE ICS, Fjernstyring med VNC, ADSL Tips m.m.:
> < http://www.danbbs.dk/~duelund/pcinfo/>
> !-! Remove _X_ from Email address
>
| |
Uffe Nielsen (23-03-2001)
| Kommentar
Fra : Uffe Nielsen |
Dato : 23-03-01 17:43 |
|
Hej Bjarne
Dette viser mine timeouts
cbos#sh nat timeout
NAT Timeouts :
ICMP = 3600
UDP = 3600
TCP Idle = 86400
TCP Negotiation = 60
Fragmentation = 60
Other Protocols = 300
cbos#
Hvordan skal "TCP idle" fortolkes ? Nattabellen ser således ud:
(se også tekst efter tabellen)
NAT is currently enabled
Port Network Global
eth0 Inside
wan0-0 Outside 212.242.117.123
vip0 Outside
vip1 Outside
vip2 Outside
Local IP : Port Global IP : Port Timer Flags Proto
Interface
10.0.0.1:23 *****:23023 0 0x0041 tcp eth0
10.1.0.2:137 *****:137 3450 0x0046 udp eth0
10.1.0.2:138 *****:138 3390 0x0046 udp eth0
10.1.0.4:138 212.242.117.123:138 3060 0x0046 udp eth0
wan0-
10.1.0.1:137 212.242.117.123:137 3300 0x004A icmp eth0
wan0-
10.1.0.4:137 212.242.117.123:137 3300 0x0046 udp eth0
wan0-
10.1.0.104:138 212.242.117.123:138 3450 0x0046 udp eth0
wan0-
10.1.0.104:1033 212.242.117.123:19711 86250 0x0046 tcp eth0
wan0-
10.1.0.104:1122 212.242.117.123:19794 59130 0x0246 tcp eth0
wan0-
10.1.0.106:138 212.242.117.123:138 3180 0x0046 udp eth0
wan0-
10.1.0.102:137 212.242.117.123:137 2730 0x0046 udp eth0
wan0-
10.1.0.102:138 212.242.117.123:138 3480 0x0046 udp eth0
wan0-
10.1.0.103:137 212.242.117.123:137 2730 0x0046 udp eth0
wan0-
10.1.0.103:138 212.242.117.123:138 3480 0x0046 udp eth0
wan0-
10.1.0.104:137 212.242.117.123:137 3450 0x0046 udp eth0
wan0-
10.1.0.104:2246 212.242.117.123:21489 85950 0x0046 tcp eth0
wan0-
10.1.0.104:2278 212.242.117.123:21525 3150 0x0046 udp eth0
wan0-
10.1.0.104:2277 212.242.117.123:21526 3150 0x0046 udp eth0
wan0-
0.0.0.0:68 212.242.117.123:68 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3270 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3300 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3300 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3300 0x0046 udp eth0
wan0-
10.1.0.104:0 212.242.117.123:0 3300 0x0046 udp eth0
wan0-
Jeg går udfra at det er disse entrys der styre VPN'en :
10.1.0.104:1035 212.242.117.123:21528 3300 0x0046 udp eth0
wan0-
10.1.0.104:1042 212.242.117.123:21534 3480 0x0046 udp eth0
wan0-
10.1.0.104:1044 212.242.117.123:21536 3510 0x0046 udp eth0
wan0-
10.1.0.104:1045 212.242.117.123:21537 86310 0x0046 tcp eth0
wan0-
Der er kun 1 maskine på i det her viste dump.
Der er ikke nogen som ved hvor mange entrys der kan være i tabellen ? På
Ciscos hjemmeside står at softwaren understøtter 3000, men det holder måske
ikke helt hvis enheden løber tør for hukommelse.
M.v.h Uffe
| |
 Bjarne Duelund (23-03-2001)
| Kommentar
Fra : Bjarne Duelund |
Dato : 23-03-01 18:36 |
|
Hej Uffe
"Uffe Nielsen" <uni@mobintech.com> skrev i en meddelelse news:99fuiq$178m$1@news.cybercity.dk...
> Dette viser mine timeouts
>
> cbos#sh nat timeout
> NAT Timeouts :
> ICMP = 3600
> UDP = 3600
Det er jo én time.
Skrev du ikke at det gik galt efter en time ?
Måske noget at kigge på ?
--
Mvh Bjarne Duelund
duelund@danbbs.dk
!-! Remove _X_ from Email address
| |
Uffe Nielsen (30-03-2001)
| Kommentar
Fra : Uffe Nielsen |
Dato : 30-03-01 08:29 |
|
Hej Bjarne
Du har ret. Jeg har problemet er at to ikke kan være på VPN'en på samme tid
p.g.a at cisco 677'erens software ikke kan klare det. Når NAT tabellen
slettes får en ny maskine adgang, den og kun den har så adgang indtil
timeout eller sletning af NAT tabellen.
Worldonline support at meddelt mig at de udskifter cisco 677 boksen med en
ny cisco router som ikke har disse beklagelige og lumske fejl.
Jeg har løst problemet med ftp adgang til "godkendte" ip'er, men det er ikke
lige så sikkert som VPN klienten, derfor ser jeg frem til den nye router.
Med venlig hilsen,
Uffe
----- Original Message -----
From: "Bjarne Duelund" <_X_duelund@danbbs.dk>
Newsgroups: dk.edb.netvaerk
Sent: Friday, March 23, 2001 7:35 PM
Subject: Re: Microsoft VPN på cisco 677 går i ged efter en time. Nattabel må
slettes !! ???
> Hej Uffe
>
> "Uffe Nielsen" <uni@mobintech.com> skrev i en meddelelse
news:99fuiq$178m$1@news.cybercity.dk...
> > Dette viser mine timeouts
> >
> > cbos#sh nat timeout
> > NAT Timeouts :
> > ICMP = 3600
> > UDP = 3600
>
> Det er jo én time.
> Skrev du ikke at det gik galt efter en time ?
> Måske noget at kigge på ?
>
> --
> Mvh Bjarne Duelund
> duelund@danbbs.dk
> !-! Remove _X_ from Email address
>
>
"Bjarne Duelund" <_X_duelund@danbbs.dk> wrote in message
news:6QLu6.3340$Ov.230795@news010.worldonline.dk...
> Hej Uffe
>
> "Uffe Nielsen" <uni@mobintech.com> skrev i en meddelelse
news:99fuiq$178m$1@news.cybercity.dk...
> > Dette viser mine timeouts
> >
> > cbos#sh nat timeout
> > NAT Timeouts :
> > ICMP = 3600
> > UDP = 3600
>
> Det er jo én time.
> Skrev du ikke at det gik galt efter en time ?
> Måske noget at kigge på ?
>
> --
> Mvh Bjarne Duelund
> duelund@danbbs.dk
> !-! Remove _X_ from Email address
>
>
| |
Asbjorn Hojmark (22-03-2001)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 22-03-01 23:05 |
|
On Thu, 22 Mar 2001 14:40:14 +0100, "Uffe Nielsen"
<uni@mobintech.com> wrote:
> Jeg har en cisco 677 og 10 pc'er der alle skal køre VPN mode den samme
> server. Desværre virker det kun kortvarigt hvorefter forbindelsen ikke kan
> oprettes (650: remote computer not responding). I ppplog.txt kan jeg dog se
> at det første lag oprettes, men så går linien død.
Det du bruger din 677'er til, er den basalt set ikke beregnet
til. Det er muligt, man kan tweake lidt og få det til at køre
tåleligt, men det er simpelthen ikke den rigtige løsning.
Hvis du ønsker at lave VPN mellem to LAN, så sæt udstyr op, der
er i stand til at gøre det for dig, i stedet for at lade de
enkelte maskiner opsætte hver sin tunnel.
I stedet for 677 kan man bruge en 827'er, der har tilstrækkelig
CPU-kraft til selv at køre en IPSec-tunnel til noget tilsvarende
udstyr i den anden ende.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
Uffe Nielsen (23-03-2001)
| Kommentar
Fra : Uffe Nielsen |
Dato : 23-03-01 09:06 |
|
Hej Aabjorn
VPN'en skal ikke bruges ret meget, så det er overkill at sætte en seperat
boks op. En Cisco 677 boks må kunne klare sagen, så kompliceret er 5x porte
pr. maskine i en nat-tabel ikke. Det _må_ kunne bringes til at virke.
Hvis ikke, så er det dybt problematisk for cisco, for der må være mange der
har flere maskiner der køre VPN over denne type boks....
M.v.h Uffe
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:bjtkbtkfkni7s0q94uvd3d1tq6sl4p484h@news.worldonline.dk...
> On Thu, 22 Mar 2001 14:40:14 +0100, "Uffe Nielsen"
> <uni@mobintech.com> wrote:
>
> > Jeg har en cisco 677 og 10 pc'er der alle skal køre VPN mode den samme
> > server. Desværre virker det kun kortvarigt hvorefter forbindelsen ikke
kan
> > oprettes (650: remote computer not responding). I ppplog.txt kan jeg dog
se
> > at det første lag oprettes, men så går linien død.
>
> Det du bruger din 677'er til, er den basalt set ikke beregnet
> til. Det er muligt, man kan tweake lidt og få det til at køre
> tåleligt, men det er simpelthen ikke den rigtige løsning.
>
> Hvis du ønsker at lave VPN mellem to LAN, så sæt udstyr op, der
> er i stand til at gøre det for dig, i stedet for at lade de
> enkelte maskiner opsætte hver sin tunnel.
>
> I stedet for 677 kan man bruge en 827'er, der har tilstrækkelig
> CPU-kraft til selv at køre en IPSec-tunnel til noget tilsvarende
> udstyr i den anden ende.
>
> -A
> --
> Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon
Postel
> Links : http://www.hojmark.org/networking/
> FAQ : http://www.net-faq.dk/
| |
Asbjorn Hojmark (23-03-2001)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 23-03-01 09:37 |
|
On Fri, 23 Mar 2001 09:06:27 +0100, "Uffe Nielsen"
<uni@mobintech.com> wrote:
> VPN'en skal ikke bruges ret meget, så det er overkill at sætte en seperat
> boks op.
Jeg snakker ikke om en separat box, men om at *erstatte* 677'eren
med en 827'er, der er beregnet til det du ønsker.
> En Cisco 677 boks må kunne klare sagen, så kompliceret er 5x porte pr.
> maskine i en nat-tabel ikke. Det _må_ kunne bringes til at virke.
Tja, du kan jo rode med det, og se, om du kan få det til at køre
ordentligt. Hvis du finder noget der virker, kan du jo vende
tilbage.
> Hvis ikke, så er det dybt problematisk for cisco, for der må være mange der
> har flere maskiner der køre VPN over denne type boks....
En 677'er er beregnet til home Internet access. Den er ikke
beregnet til at håndtere et større antal maskiner på det interne
LAN, der alle kører VPN. Jeg tror ikke, der er 'mange' der gør
det, og dem der gør er IMO blevet dårligt vejledt.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
|
|