---

Hej Gruppe
Kan nogen hjælpe mig med denne besynderlighed.
Jeg har et mindre hjemmenetværk, hvorfra jeg bl.a. gennem en CISCO 677
router (CYBERCITY) kan forbinde mig til min arbejdsplads (CISCO VPN 3005
koncentrator)
Når en PC har haft VPN forbindelse (forbindelsen er derefter lukket) kan en
ny forbindelse fra en anden PC ikke etableres før routeren er genstartet.
Jeg kan godt etablere en ny forbindelse med den oprindelige PC.
I koncentratoren logges:
2718 05/01/2003 13:36:56.990 SEV=4 IKE/0 RPT=21 217.157.173.147
Duplicate first packet detected!
Adskellige gange

En forklaring og gode råd modtages med tak

mvh
/Johnny Rusbjerg

---

Hejsa

Nu ved jeg ikke om c677 understøtter IPSEC traversel, således at du kan have
flere PC'ere bag en router med NAT
men noget tyder på at den ikke kan dette.
Du vil kunne dette med en Cisco SOHO77.

Din concentrator skriver dette da den ser en tunnel, men som ikke er korrekt
eller den tror den ikke er lukket ordenligt ned.
Den PC der virker, har den den IP som alt bliver forwardet til ?
(Jeg ved CC default ikke har dette opsat i deres routere)
Bruger du UDP enkapsulering ?
Hvor lang tid går der mellem du forsøger ?

Mvh
Martin Bilgrav


"Rusbjerg" <JRnospam@Fynsnet.dk> wrote in message
news:b8rg3d$2n9u$1@news.cybercity.dk...
>
> Hej Gruppe
> Kan nogen hjælpe mig med denne besynderlighed.
> Jeg har et mindre hjemmenetværk, hvorfra jeg bl.a. gennem en CISCO 677
> router (CYBERCITY) kan forbinde mig til min arbejdsplads (CISCO VPN 3005
> koncentrator)
> Når en PC har haft VPN forbindelse (forbindelsen er derefter lukket) kan
en
> ny forbindelse fra en anden PC ikke etableres før routeren er genstartet.
> Jeg kan godt etablere en ny forbindelse med den oprindelige PC.
> I koncentratoren logges:
> 2718 05/01/2003 13:36:56.990 SEV=4 IKE/0 RPT=21 217.157.173.147
> Duplicate first packet detected!
> Adskellige gange
>
> En forklaring og gode råd modtages med tak
>
> mvh
> /Johnny Rusbjerg
>
>
>
>
>
>

---

Hej Martin
C677 understøtter NAT (jeg har til tiderop til 4 PCere bag routeren)
Der er ikke sat nogen forvards op.
Jeg bruger UDP port 10000
Jeg har lige opdaget problemet (idag) men jeg tror ikke problemet er
tidsafhængigt.

mvh
/Johnny


"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> skrev i en meddelelse
news:mRdsa.43345$y3.3084887@news010.worldonline.dk...
> Hejsa
>
> Nu ved jeg ikke om c677 understøtter IPSEC traversel, således at du kan
have
> flere PC'ere bag en router med NAT
> men noget tyder på at den ikke kan dette.
> Du vil kunne dette med en Cisco SOHO77.
>
> Din concentrator skriver dette da den ser en tunnel, men som ikke er
korrekt
> eller den tror den ikke er lukket ordenligt ned.
> Den PC der virker, har den den IP som alt bliver forwardet til ?
> (Jeg ved CC default ikke har dette opsat i deres routere)
> Bruger du UDP enkapsulering ?
> Hvor lang tid går der mellem du forsøger ?
>
> Mvh
> Martin Bilgrav
>
>
> "Rusbjerg" <JRnospam@Fynsnet.dk> wrote in message
> news:b8rg3d$2n9u$1@news.cybercity.dk...
> >
> > Hej Gruppe
> > Kan nogen hjælpe mig med denne besynderlighed.
> > Jeg har et mindre hjemmenetværk, hvorfra jeg bl.a. gennem en CISCO 677
> > router (CYBERCITY) kan forbinde mig til min arbejdsplads (CISCO VPN 3005
> > koncentrator)
> > Når en PC har haft VPN forbindelse (forbindelsen er derefter lukket) kan
> en
> > ny forbindelse fra en anden PC ikke etableres før routeren er
genstartet.
> > Jeg kan godt etablere en ny forbindelse med den oprindelige PC.
> > I koncentratoren logges:
> > 2718 05/01/2003 13:36:56.990 SEV=4 IKE/0 RPT=21 217.157.173.147
> > Duplicate first packet detected!
> > Adskellige gange
> >
> > En forklaring og gode råd modtages med tak
> >
> > mvh
> > /Johnny Rusbjerg
> >
> >
> >
> >
> >
> >
>
>

---

HEjsa

Tror ikke du helt forstår det jeg skriver : Din C677 understøtter sikkert
IKKE IPSEC travesal.
få en soho77 router !

Mvh
Martin

"Rusbjerg" <JR@Fynsnet.dk> wrote in message
news:0Nfsa.1872$UD.1267@news.get2net.dk...
> Hej Martin
> C677 understøtter NAT (jeg har til tiderop til 4 PCere bag routeren)
> Der er ikke sat nogen forvards op.
> Jeg bruger UDP port 10000
> Jeg har lige opdaget problemet (idag) men jeg tror ikke problemet er
> tidsafhængigt.
>
> mvh
> /Johnny
>
>
> "Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> skrev i en meddelelse
> news:mRdsa.43345$y3.3084887@news010.worldonline.dk...
> > Hejsa
> >
> > Nu ved jeg ikke om c677 understøtter IPSEC traversel, således at du kan
> have
> > flere PC'ere bag en router med NAT
> > men noget tyder på at den ikke kan dette.
> > Du vil kunne dette med en Cisco SOHO77.
> >
> > Din concentrator skriver dette da den ser en tunnel, men som ikke er
> korrekt
> > eller den tror den ikke er lukket ordenligt ned.
> > Den PC der virker, har den den IP som alt bliver forwardet til ?
> > (Jeg ved CC default ikke har dette opsat i deres routere)
> > Bruger du UDP enkapsulering ?
> > Hvor lang tid går der mellem du forsøger ?
> >
> > Mvh
> > Martin Bilgrav
> >
> >
> > "Rusbjerg" <JRnospam@Fynsnet.dk> wrote in message
> > news:b8rg3d$2n9u$1@news.cybercity.dk...
> > >
> > > Hej Gruppe
> > > Kan nogen hjælpe mig med denne besynderlighed.
> > > Jeg har et mindre hjemmenetværk, hvorfra jeg bl.a. gennem en CISCO 677
> > > router (CYBERCITY) kan forbinde mig til min arbejdsplads (CISCO VPN
3005
> > > koncentrator)
> > > Når en PC har haft VPN forbindelse (forbindelsen er derefter lukket)
kan
> > en
> > > ny forbindelse fra en anden PC ikke etableres før routeren er
> genstartet.
> > > Jeg kan godt etablere en ny forbindelse med den oprindelige PC.
> > > I koncentratoren logges:
> > > 2718 05/01/2003 13:36:56.990 SEV=4 IKE/0 RPT=21 217.157.173.147
> > > Duplicate first packet detected!
> > > Adskellige gange
> > >
> > > En forklaring og gode råd modtages med tak
> > >
> > > mvh
> > > /Johnny Rusbjerg
> > >
> > >
> > >
> > >
> > >
> > >
> >
> >
>
>

---

On Thu, 1 May 2003 22:53:58 +0200, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:

> Din C677 understøtter sikkert IKKE IPSEC travesal.

Det er da også temmelig ligegyldigt, når han kører det over UDP.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:lc33bv4eq523v9ekhfs4aush1rqc053sn5@news.cybercity.dk...
> On Thu, 1 May 2003 22:53:58 +0200, "Martin Bilgrav"
> <bilgravCUTTHISOUT@image.dk> wrote:
>
> > Din C677 understøtter sikkert IKKE IPSEC travesal.
>
> Det er da også temmelig ligegyldigt, når han kører det over UDP.


Det er det jo altså ikke - Det virker ikke med en c677, mens det vil virke
med en SOHO77.
Det kan godt være det måske ikke lige hedder IPSEC Travesal i CBOS, men det
er det her der er problemet.

Mvh
Martin Bilgrav

---

On Fri, 2 May 2003 19:27:17 +0200, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:

>>> Din C677 understøtter sikkert IKKE IPSEC travesal.

>> Det er da også temmelig ligegyldigt, når han kører det over UDP.

> Det er det jo altså ikke - Det virker ikke med en c677, mens det
> vil virke med en SOHO77.

Du siger helt firkante, at man ikke kan køre VPN fra en klient
bag en 677'er til en VPN3000-koncentrator vha. IPSec over UDP?
Nuvel, jeg siger, jeg har kørt sådan et pænt stykke tid.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:boo5bv8e3mddpumt60sb14ep2htmaf0k8c@news.cybercity.dk...

> Du siger helt firkante, at man ikke kan køre VPN fra en klient
> bag en 677'er til en VPN3000-koncentrator vha. IPSec over UDP?
> Nuvel, jeg siger, jeg har kørt sådan et pænt stykke tid.


Hej igen,

Hvis du læste hele tråden ville du se, at her er tale om FLERE VPN klienter
bag en C677....

Mvh
Martin

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:boo5bv8e3mddpumt60sb14ep2htmaf0k8c@news.cybercity.dk...

> Du siger helt firkante, at man ikke kan køre VPN fra en klient
> bag en 677'er til en VPN3000-koncentrator vha. IPSec over UDP?
> Nuvel, jeg siger, jeg har kørt sådan et pænt stykke tid.

Hejsa igenigen

taget fra en anden nyhedsgruppe, kan nedenstående, måske, være med til at få
dig med på, hvad det er jeg mener:

Newsgroups: comp.dcom.sys.cisco
Subject: Re: PIX client behind small PAT router (SMC barricade)
Date: Fri, 2 May 2003 21:28:40 +0300

> We have 3 clients behind an SMC barricade router doing PAT transaltion.
> It seems only one computer can use the client, then the others connect
> but will not pass traffic. This has happened at one of our other
> offices as well. Any ideas as to if the problems are on the pix side
> or the barricade side?

The problem is in the PAT (Port Address Translation). VPN connections
use normally portless protocols (AH or ESP) so there's no way to PAT
them. The negotiation is done with IKE (UDP/500) and that's why all
your clients get connected, but only one will have actual data
transferred.

However I have good news for you. After a long wait we now have a Pix
operating system which supports NAT-T (NAT traversal). This means
tunneling "VPN protocols" over TCP or UDP, though Pix only supports
UDP. I think that upgrading to Pix OS 6.3(1) will solve your problem.


Mvh
Martin - Jeg ved ikke hvordan man laver links til news-postings.......
8)

---

"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> wrote in message
news:qOBsa.45072$y3.3210963@news010.worldonline.dk...

> Newsgroups: comp.dcom.sys.cisco
> Subject: Re: PIX client behind small PAT router (SMC barricade)
> Date: Fri, 2 May 2003 21:28:40 +0300
> Martin - Jeg ved ikke hvordan man laver links til news-postings.......
> 8)
>
>
News:Lnysa.52070$cB3.388133@nnrp1.uunet.ca

tja, man skal jo bare kikke i første linie.....

news:<message-ID>

så fik jeg da det på plads...

8)

Martin





>
>

---

On Fri, 2 May 2003 23:54:30 +0200, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:

> taget fra en anden nyhedsgruppe, kan nedenstående, måske, være med
> til at få dig med på, hvad det er jeg mener:

Jeg ved godt, hvad NAT-T er, og hvilket problem det løser. Min
pointe er, at det problem er løst i forvejen, hvis man kører
IPSec over UDP.

> The problem is in the PAT (Port Address Translation). VPN connections
> use normally portless protocols (AH or ESP) so there's no way to PAT
> them.

Når man kører IPSec over UDP, kan det fint NAT'es, fordi ISAKMP
og ESP er encapsuleret i UDP.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:tav5bvck0tk62hcuuc71k5o7tphd7tt6bh@news.cybercity.dk...
> On Fri, 2 May 2003 23:54:30 +0200, "Martin Bilgrav"

> Jeg ved godt, hvad NAT-T er, og hvilket problem det løser. Min
> pointe er, at det problem er løst i forvejen, hvis man kører
> IPSec over UDP.

Ja, det er korrekt, sålænge der er tale om at man kun har een VPN klient
bagved.
Problemet opstår netop når man skal have flere VPN klienter.
Nu har jeg ikke selv C677, så jeg kan ikke selv teste det af, men jeg vil da
prøve at skaffe en i næste uge.

Et andet problem kan være at de to klienter han bruger kobles op mod samme
Headend.
Med PAT kan dette også give problemer.

Som du ser i den post jeg referere til, både her og i den anden gruppe, så
opstår problemet netop med flere VPN klienter.
Har du aldrig stødt ind i det problem ??
MVh
Martin Bilgrav


>
> > The problem is in the PAT (Port Address Translation). VPN connections
> > use normally portless protocols (AH or ESP) so there's no way to PAT
> > them.
>
> Når man kører IPSec over UDP, kan det fint NAT'es, fordi ISAKMP
> og ESP er encapsuleret i UDP.
>
> -A
> --
> Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon
Postel
> Links : http://www.hojmark.net/
> FAQ : http://www.net-faq.dk/

---

On Sat, 3 May 2003 14:32:48 +0200, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:

> Som du ser i den post jeg referere til, både her og i den anden
> gruppe, så opstår problemet netop med flere VPN klienter. Har du
> aldrig stødt ind i det problem ??

Næh.

Og når klientens portnummer er dynamisk, så det er principielt
ikke anderledes (x->10000/udp), end hvis der er to klienter, der
kører web (x->80/tcp) or whatever.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:7lm7bvoquifovuh8310g1rna6ba32bb0vu@news.cybercity.dk...
> On Sat, 3 May 2003 14:32:48 +0200, "Martin Bilgrav"

> Næh.
>
Hejsa Igen

Hvad mener du så er problemet/fejlen i dette tilfælde ?

Mvh
Martin Bilgrav

---

On Sat, 3 May 2003 21:15:07 +0200, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:

>> Næh.

> Hvad mener du så er problemet/fejlen i dette tilfælde ?

Mit bedste gæt er, at klienterne faktisk ikke kører IPSec over
UDP. Det vil give de symptomer.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:m3e8bvke65jnkmup055urohoj3a4kesor2@news.cybercity.dk...
> Mit bedste gæt er, at klienterne faktisk ikke kører IPSec over
> UDP. Det vil give de symptomer.

Det vil da ikke give disse. een kan jo godt tilsluttes. to kan ikke.

Mvh
Martin