CISCO 2801 VPN 50% packet loss - Netwerken

dinsdag 9 december 2008 21:53

Acties:

0 Henk 'm!

Topicstarter

Ik heb hier een CISCO 2801 en heb een VPN opgezet naar een business partner. De VPN lijkt gewoon
te werken maar als ik een webserver probeer te benaderen in het netwerk van onze business partner
laden de paginas niet of nauwelijks. Nu viel het mij op dat een ping naar het IP adres van deze webserver
bijna altijd 50% packet loss geeft (soms 25% of 75% maar nooit 0%) Doe ik dezelfde ping vanaf de CISCO
heb ik altijd 0% packet loss. Hierdoor heb ik het idee dat er in mijn netwerkje iets fout gaat.

Ik heb de volgende test setup waar het probleem zich voordoet:

[Workstation 10.147.93.2] -> [Switch] -> [CISCO 10.147.93.1]

Mijn werkstation heeft dus IP 10.147.93.2 en ik probeer 10.135.172.49 te pingen (Ik heb een route
toegevoegd omdat mijn Workstation 2 netwerkkaarten heeft).

Hieronder mijn huidige running-config...........Iemand enig idee wat er mis gaat?

!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname XXXXXXXXXX
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login local_authen local
aaa authorization exec local_author local
!
aaa session-id common
!
resource policy
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
ip cef
!
!
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip tcp synwait-time 10
!
!
no ip bootp server
ip domain name XXXXXXXX.XXX
ip name-server 194.109.104.104
ip multicast-routing
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
crypto pki trustpoint TP-self-signed-1819100445
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1819100445
revocation-check none
rsakeypair TP-self-signed-1819100445
!
!
crypto pki certificate chain TP-self-signed-1819100445
certificate self-signed 01
30820252 308201BB A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31383139 31303034 3435301E 170D3036 30363234 30393338
30325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 38313931
30303434 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100CC64 727CA48A 553637F7 AC4817F9 4548CD2F B311878E 3B672CA1 819D586E
39A9F084 D3F4D2B0 8E183E5A CE863D26 B7E47708 40A50D65 FC7C2EB4 0D6B1530
72B8188C 579A9051 CF3F1B96 F082787D 00A1C691 DB76FEB9 4974ED63 D1804522
B6FE9C90 10A4ED23 52EC82D5 81F08BA1 D0C6020C DEA69759 EF7A450B 380EFFEE
0DE10203 010001A3 7A307830 0F060355 1D130101 FF040530 030101FF 30250603
551D1104 1E301C82 1A515541 4C495459 49544657 2E717561 6C697479 2D69742E
636F6D30 1F060355 1D230418 30168014 EAC1687E CB3CA7FB 2BBE288F 983B4345
1ACA7B9F 301D0603 551D0E04 160414EA C1687ECB 3CA7FB2B BE288F98 3B43451A
CA7B9F30 0D06092A 864886F7 0D010104 05000381 8100BBE7 2C5DA329 29E6B3E4
2D9B2132 DAAC920B C85E09D2 7EDE84AA 029348FB 5E55A53A FF68D84F 29D9C4FF
B4D88BF4 1C56F117 8CDCFCB6 153EF723 64E070D4 054479AF C62DD7EF 6C28963B
2E4DBEAA 636B27E7 28946287 3B077291 4DC8913D F1525BB4 B8DFF4CE FE4FECFC
0EE49108 1D133209 EF235A09 8AA6078E E757E69F C759
quit
username michel privilege 15 secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
!
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
crypto isakmp key XXXXXXXXXX address XXX.XXX.XXX.XXX
crypto isakmp invalid-spi-recovery
!
!
crypto ipsec transform-set xxxvpn esp-3des esp-md5-hmac
!
crypto map xxxvpn 1 ipsec-isakmp
set peer XXX.XXX.XXX.XXX
set transform-set xxxvpn
match address 103
!
!
!
interface Tunnel0
ip address 10.147.2.78 255.255.255.252
ip pim sparse-mode
tunnel source 10.147.0.93
tunnel destination 10.147.254.1
!
interface Null0
no ip unreachables
!
interface Loopback0
ip address 10.147.0.93 255.255.255.255
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ES_LAN$$FW_INSIDE$
ip address 10.147.93.1 255.255.255.0
ip address 192.168.0.10 255.255.255.0 secondary
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip pim sparse-mode
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface FastEthernet0/1
description $ES_WAN$$FW_OUTSIDE$
ip address dhcp client-id FastEthernet0/1
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
crypto map xxxvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 195.190.249.3
ip route 10.1.16.0 255.255.255.0 FastEthernet0/1
ip route 10.1.63.0 255.255.255.0 FastEthernet0/1
ip route 10.132.19.0 255.255.255.0 Tunnel0
ip route 10.135.70.0 255.255.255.0 FastEthernet0/1
ip route 10.135.71.0 255.255.255.0 FastEthernet0/1
ip route 10.135.172.0 255.255.255.0 FastEthernet0/1
ip route 10.135.173.0 255.255.255.0 FastEthernet0/1
ip route 10.140.18.0 255.255.255.0 FastEthernet0/1
ip route 10.140.120.0 255.255.255.0 FastEthernet0/1
ip route 10.147.254.1 255.255.255.255 FastEthernet0/1
ip route 195.190.249.3 255.255.255.255 FastEthernet0/1
!
no ip http server
ip http access-class 2
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip pim rp-address 10.132.19.15
ip mroute 10.132.19.0 255.255.255.0 Tunnel0
ip nat inside source list 1 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.0.3 9002 interface FastEthernet0/1 9002
ip nat inside source static tcp 192.168.0.3 22 interface FastEthernet0/1 30000
ip nat inside source static tcp 192.168.0.3 31099 interface FastEthernet0/1 31099
ip nat inside source static tcp 192.168.0.20 80 interface FastEthernet0/1 80
ip nat inside source static tcp 192.168.0.20 25 interface FastEthernet0/1 25
ip nat inside source static tcp 192.168.0.35 22 interface FastEthernet0/1 443
ip nat inside source static tcp 192.168.0.20 993 interface FastEthernet0/1 993
!
logging trap debugging
access-list 1 remark NAT inside source list
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 2 remark HTTP config access
access-list 2 permit 192.168.0.0 0.0.0.255
access-list 100 remark Inside access list
access-list 100 permit ip any any
access-list 101 remark Outside access list
access-list 101 remark Port forwardings
access-list 101 permit tcp any any eq www log
access-list 101 permit tcp any any eq 9002 log
access-list 101 permit tcp any any eq 443 log
access-list 101 permit tcp any any eq 993 log
access-list 101 permit tcp any any eq smtp log
access-list 101 remark Entries for XXXVPN
access-list 101 permit gre host 10.147.254.1 host 10.147.0.93
access-list 101 permit ip 10.135.70.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 101 permit ip 10.135.71.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 101 permit ip 10.135.172.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 101 permit ip 10.135.173.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 101 permit ip 10.140.120.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 101 permit ip 10.140.18.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 101 permit ip 10.1.16.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 101 permit ip 10.1.63.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 101 permit udp any any eq isakmp
access-list 101 permit ahp any any
access-list 101 permit esp any any
access-list 101 permit gre any any
access-list 101 permit udp host 194.109.104.104 eq domain any
access-list 101 permit udp host 194.109.6.66 eq domain any
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 deny ip 192.168.0.0 0.0.0.255 any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip any any
access-list 102 remark VTY config access
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 deny ip any any
access-list 103 remark XXXVPN access-list
access-list 103 permit ip 10.147.93.0 0.0.0.255 10.135.70.0 0.0.0.255
access-list 103 permit ip 10.147.93.0 0.0.0.255 10.135.71.0 0.0.0.255
access-list 103 permit ip 10.147.93.0 0.0.0.255 10.135.172.0 0.0.0.255
access-list 103 permit ip 10.147.93.0 0.0.0.255 10.135.173.0 0.0.0.255
access-list 103 permit ip 10.147.93.0 0.0.0.255 10.140.120.0 0.0.0.255
access-list 103 permit ip 10.147.93.0 0.0.0.255 10.140.18.0 0.0.0.255
access-list 103 permit ip 10.147.93.0 0.0.0.255 10.1.16.0 0.0.0.255
access-list 103 permit ip 10.147.93.0 0.0.0.255 10.1.63.0 0.0.0.255
access-list 103 permit gre host 10.147.0.93 host 10.147.254.1
no cdp run
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login authentication local_authen
transport output telnet
line aux 0
login authentication local_authen
transport output telnet
line vty 0 4
access-class 102 in
authorization exec local_author
login authentication local_authen
transport input telnet ssh
line vty 5 15
access-class 102 in
authorization exec local_author
login authentication local_authen
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp logging
ntp server 194.109.22.18
ntp server 193.67.79.202
ntp server 194.109.20.18
end

woensdag 10 december 2008 08:35

Acties:

0 Henk 'm!

-Michel-

Topicstarter

Even voor de duidelijkheid: Ik ben zelf geen CISCO/netwerk guru

Ik heb van onze business partner een
CISCO configuratie file gekregen voor de configuratie van de VPN. Deze configuratie heb ik in feite gemerged
met onze eigen running-config en dat leek aardig te werken. De tunnel is UP en ik kan connecten naar IP's
in het netwerk van onze business partner. Het probleem doet zich voor als ik een website probeer te benaderen
in hun netwerk. Deze website laad niet of half en dat proberen we nu op te lossen. De website werkt uiteraard
wel als zij zelf proberen te connecten. Andere bedrijven die via VPN bij deze website proberen te komen hebben
hier ook geen problemen mee.

Heeft iemand enig idee waar ik anders hulp zou kunnen krijgen op korte termijn? Ik zit te denken aan een
freelancer die een paar uurtjes over heeft of anders een consultancy firma die dit zou kunnen doen......we
zitten alleen niet te wachten op een of ander remote management/beheer/onderhoud contract. We willen
dit probleem nu oplossen en daar ook voor betalen en verder niks.

woensdag 10 december 2008 08:40

Acties:

0 Henk 'm!

joopv

Waarom heeft je pc 2 netwerk kaarten? Dat is een situatie die je moet proberen te vermijden.

Doe eens een route print in een dosbox op je pc

woensdag 10 december 2008 08:42

Acties:

0 Henk 'm!

Vicarious

☑Rekt | ☐ Not rekt

Wat gebeurt er als je die route van je werkstation eruit haalt?

Vicariously I live while the whole world dies

woensdag 10 december 2008 08:51

Acties:

0 Henk 'm!

-Michel-

Topicstarter

Ik heb tijdens het testen de 2e netwerk kaart van mijn workstation gedisabled en dit gaf nog steeds hetzelfde
resultaat. In deze situatie had ik de route niet nodig omdat mijn default gateway de CISCO router was.

woensdag 10 december 2008 09:36

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Als je 50 % packet loss heb betekent dit vaak dat je aan het loadbalancen bent waarvan 1 van de paden stuk is. Doe eens route print op je workstation.
Je kan ook even een extended ping doen vanaf je Router. Hiermee kan je dus een ander source adres gebruiken
ping 10.135.172.49 sourceaddress 10.147.93.1 Even een vraagteken gebruiken achter het webserver ip om te kijken wat de exacte syntax is.
Het is namelijk ook heel goed mogelijk dat er een foute routering staat op de router van de andere partij.

woensdag 10 december 2008 09:41

Acties:

0 Henk 'm!

joopv

De cisco hoort in iedere situatie je default gateway te zijn... Routering hoort in je netwerk geregeld te zijn, en niet op je werkstation.

De routering voor de netwerken aan de andere kant van de tunnel hoort naar de tunnel0 te staan, en ze staan nu naar fa0/1 (je adsl of kabel modem veronderstel ik).

woensdag 10 december 2008 10:14

Acties:

0 Henk 'm!

-Michel-

Topicstarter

Ik heb mijn 2e netwerk kaart in mijn workstation (met IP 10.147.93.3) gedisabled. Hieronder de output van
route print en ping. De extended ping vanaf de CISCO geeft altijd 0% loss hierdoor heb ik het vermoeden
dat het probleem aan onze kant zit.

C:\Documents and Settings\Michel>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1a 92 ba ea 12 ...... Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethe
rnet Controller - Packet Scheduler Miniport
0x10005 ...00 13 85 00 0d 71 ...... Bluetooth Device (Personal Area Network)
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.147.93.1 10.147.93.3 10
10.135.172.0 255.255.255.0 10.147.93.1 10.147.93.3 1
10.147.93.0 255.255.255.0 10.147.93.3 10.147.93.3 10
10.147.93.3 255.255.255.255 127.0.0.1 127.0.0.1 10
10.255.255.255 255.255.255.255 10.147.93.3 10.147.93.3 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 169.254.89.122 169.254.89.122 40
169.254.89.122 255.255.255.255 127.0.0.1 127.0.0.1 40
169.254.255.255 255.255.255.255 169.254.89.122 169.254.89.122 40
224.0.0.0 240.0.0.0 10.147.93.3 10.147.93.3 10
224.0.0.0 240.0.0.0 169.254.89.122 169.254.89.122 40
255.255.255.255 255.255.255.255 10.147.93.3 10.147.93.3 1
255.255.255.255 255.255.255.255 169.254.89.122 169.254.89.122 1
Default Gateway: 10.147.93.1
===========================================================================
Persistent Routes:
None

C:\Documents and Settings\Michel>ping 10.135.172.49

Pinging 10.135.172.49 with 32 bytes of data:

Request timed out.
Reply from 10.135.172.49: bytes=32 time=131ms TTL=62
Request timed out.
Reply from 10.135.172.49: bytes=32 time=130ms TTL=62

Ping statistics for 10.135.172.49:
Packets: Sent = 4, Received = 2, Lost = 2 (50% loss),
Approximate round trip times in milli-seconds:
Minimum = 130ms, Maximum = 131ms, Average = 130ms

woensdag 10 december 2008 10:19

Acties:

0 Henk 'm!

-Michel-

Topicstarter

joopv schreef op woensdag 10 december 2008 @ 09:41:
De cisco hoort in iedere situatie je default gateway te zijn... Routering hoort in je netwerk geregeld te zijn, en niet op je werkstation.

De routering voor de netwerken aan de andere kant van de tunnel hoort naar de tunnel0 te staan, en ze staan nu naar fa0/1 (je adsl of kabel modem veronderstel ik).

Ik heb de route voor 10.135.172.0 even aangepast van

ip route 10.135.172.0 255.255.255.0 FastEthernet0/1

naar

ip route 10.135.172.0 255.255.255.0 Tunnel0

Dit werkt nog steeds maar geeft hetzelfde resultaat (50% loss)

woensdag 10 december 2008 10:21

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Die static is niet nodig dus die kan je gewoon weghalen. Het zou geen oorzaak moeten zijn maar just to be sure. Heb je die extended ping wel met die source gedaan zoals ik je zei.

woensdag 10 december 2008 10:37

Acties:

0 Henk 'm!

-Michel-

Topicstarter

Ik heb de extended ping gedaan. Sterker nog: als ik geen source adres ingeef (maw een normale ping) dan
werkt het niet en heb ik 100% loss vanaf de router. Ik vermoed dat dit komt omdat ze een source IP in de
range van 10.147.93.X verwachten. Zou dit het probleem kunnen zijn? (De NAT die wij doen om het internet
op te kunnen via deze router)

Dit is overigens de documentatie die ik heb ontvangen van onze business partner voor het opzetten van de VPN.
Zoals ik al zei heb ik deze config gemerged met onze router config en dit leek te werken omdat de tunnel
UP is en ik kan connecten naar IP adressen in hun netwerk.

Site to Site VPN

For ISAKMP, please use:
• 3DES for key encryption
• a hash algorithm of MD5 for data integrity
• Diffie-Hellman group 1 (Cisco Default)
• An SA lifetime of 86,400 seconds with no volume limit (Cisco default)
• a preshared key of XXXXXXX (a preshared key assigned by our technical staff)
• aggressive mode turned off (Cisco default)
For IPSEC, please use:
• ESP-3DES for encryption and data integrity
• a hash algorithm of ESP-MD5 for data integrity
• no compression method (Cisco default)
• a lifetime of 3600 seconds with a volume limit of 4,608,000 kilobytes (Cisco default)
The VPN Peer address for the 208.116.214.211
Please source all traffic for the as 10.147.93.2 - 254

Customer Cisco Router Configuration
ip multicast-routing
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
crypto isakmp key XXXXXXXX address 208.116.214.211
!
crypto ipsec transform-set XXXvpn esp-3des esp-md5-hmac
!
crypto map XXXvpn 1 ipsec-isakmp
set peer 208.116.214.211
set transform-set XXXvpn
match address 100
!
interface Loopback0
ip address 10.147.0.93 255.255.255.255
shutdown
!
interface Tunnel0
ip address 10.147.2.78 255.255.255.252
ip pim sparse-mode
tunnel source 10.147.0.93
tunnel destination 10.147.254.1
shutdown
!
interface fa0/0
ip address 10.147.93.1 255.255.255.0
ip pim sparse-mode
duplex auto
speed auto
no cdp enable
!
interface fa0/1
ip address 82.93.144.54 255.255.255.x # (Customer public interface)
crypto map XXXvpn
ip access-group 199 in
!
ip route 10.132.19.0 255.255.255.0 Tunnel0
#(the following route statements can be replaced with a default route statement)
ip route 10.135.70.0 255.255.255.0 (ip address of corporate internet router)
ip route 10.135.71.0 255.255.255.0 (ip address of corporate internet router)
ip route 10.135.172.0 255.255.255.0 (ip address of corporate internet router)
ip route 10.135.173.0 255.255.255.0 (ip address of corporate internet router)
ip route 10.140.120.0 255.255.255.0 (ip address of corporate internet router)
ip route 10.140.18.0 255.255.255.0 (ip address of corporate internet router)
ip route 10.1.16.0 255.255.255.0 (ip address of corporate internet router)
ip route 10.1.63.0 255.255.255.0 (ip address of corporate internet router)
ip route 10.147.254.1 255.255.255.255 (ip address of corporate internet router)
ip classless
no ip http server
no ip http secure-server
ip pim rp-address 10.132.19.15
ip mroute 10.132.19.0 255.255.255.0 tunnel0
access-list 100 permit ip 10.147.93.0 0.0.0.255 10.135.70.0 0.0.0.255
access-list 100 permit ip 10.147.93.0 0.0.0.255 10.135.71.0 0.0.0.255
access-list 100 permit ip 10.147.93.0 0.0.0.255 10.135.172.0 0.0.0.255
access-list 100 permit ip 10.147.93.0 0.0.0.255 10.135.173.0 0.0.0.255
access-list 100 permit ip 10.147.93.0 0.0.0.255 10.140.120.0 0.0.0.255
access-list 100 permit ip 10.147.93.0 0.0.0.255 10.140.18.0 0.0.0.255
access-list 100 permit ip 10.147.93.0 0.0.0.255 10.1.16.0 0.0.0.255
access-list 100 permit ip 10.147.93.0 0.0.0.255 10.1.63.0 0.0.0.255
access-list 100 permit gre host 10.147.0.93 host 10.147.254.1
access-list 199 permit gre host 10.147.254.1 host 10.147.0.93
access-list 199 permit ip 10.135.70.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 199 permit ip 10.135.71.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 199 permit ip 10.135.172.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 199 permit ip 10.135.173.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 199 permit ip 10.140.120.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 199 permit ip 10.140.18.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 199 permit ip 10.1.16.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 199 permit ip 10.1.63.0 0.0.0.255 10.147.93.0 0.0.0.255
access-list 199 permit udp any any eq isakmp
access-list 199 permit ahp any any
access-list 199 permit esp any any

woensdag 10 december 2008 10:50

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Kan je even show ip route op je cisco doen. Behalve die overbodige static op je PC zie ik zo 1 2 3 geen issues met je config. Je kan met Wireshark kijken op je PC of alle ping pakketten naar dezelfde hosts (op MAC adres) gestuurd worden.

woensdag 10 december 2008 10:50

Acties:

0 Henk 'm!

Vicarious

☑Rekt | ☐ Not rekt

Al die statische routes in je werkstation maken het er niet makkelijker op. Ik zou die er allemaal uithalen. Verder moet je inderdaad volgens mij routeren naar tunnel0 in je router, en niet naar Fa0/1.

Edit: een tunnel wordt inderdaad altijd opgebouwd tussen twee netwerkreeksen. Als je vanuit een IP-adres buiten die reeks pingt, werkt het inderdaad niet.

[ Voor 28% gewijzigd door Vicarious op 10-12-2008 10:51 ]

Vicariously I live while the whole world dies

woensdag 10 december 2008 10:55

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Nee hoor dat hoeft niet. Er wordt gewerkt met IPSec tunnel mode dus voordat het Internet opgegooid wordt krijgt het een nieuwe IP header met als destination het peer adres van de cryptomap. Het is niet de mooiste oplossing maar het werkt wel. De tunnel wordt hier puur gebruikt voor multicast verkeer als ik het zo zie.

Ook staat er maar 1 static op die server.

[ Voor 6% gewijzigd door TrailBlazer op 10-12-2008 10:56 ]

woensdag 10 december 2008 11:00

Acties:

0 Henk 'm!

-Michel-

Topicstarter

Hoe kan ik die statische routes verwijderen? (Zoals je ziet ben ik echt een netwerk newbie

Dit is de output van show ip route op de CISCO

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is 195.190.249.3 to network 0.0.0.0

C 82.0.0.0/8 is directly connected, FastEthernet0/1
195.190.249.0/32 is subnetted, 1 subnets
S 195.190.249.3 is directly connected, FastEthernet0/1
10.0.0.0/8 is variably subnetted, 13 subnets, 3 masks
S 10.1.16.0/24 is directly connected, FastEthernet0/1
S 10.135.173.0/24 is directly connected, FastEthernet0/1
S 10.135.172.0/24 is directly connected, Tunnel0
S 10.1.63.0/24 is directly connected, FastEthernet0/1
S 10.147.254.1/32 is directly connected, FastEthernet0/1
S 10.140.18.0/24 is directly connected, FastEthernet0/1
S 10.132.19.0/24 is directly connected, Tunnel0
C 10.147.93.0/24 is directly connected, FastEthernet0/0
C 10.147.0.93/32 is directly connected, Loopback0
S 10.135.71.0/24 is directly connected, FastEthernet0/1
S 10.135.70.0/24 is directly connected, FastEthernet0/1
C 10.147.2.76/30 is directly connected, Tunnel0
S 10.140.120.0/24 is directly connected, FastEthernet0/1
C 192.168.0.0/24 is directly connected, FastEthernet0/0
192.168.1.0/32 is subnetted, 1 subnets
S 192.168.1.254 [254/0] via 195.190.249.3, FastEthernet0/1
S* 0.0.0.0/0 [1/0] via 195.190.249.3

woensdag 10 december 2008 11:06

Acties:

0 Henk 'm!

-Michel-

Topicstarter

TrailBlazer schreef op woensdag 10 december 2008 @ 10:50:
Kan je even show ip route op je cisco doen. Behalve die overbodige static op je PC zie ik zo 1 2 3 geen issues met je config. Je kan met Wireshark kijken op je PC of alle ping pakketten naar dezelfde hosts (op MAC adres) gestuurd worden.

Ik heb met Wireshark gekeken naar het destination address van de ping requests en dit is altijd het MAC adres
van de CISCO.

woensdag 10 december 2008 11:10

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

-Michel- schreef op woensdag 10 december 2008 @ 10:19:
[...]

Ik heb de route voor 10.135.172.0 even aangepast van

ip route 10.135.172.0 255.255.255.0 FastEthernet0/1

naar

ip route 10.135.172.0 255.255.255.0 Tunnel0

Dit werkt nog steeds maar geeft hetzelfde resultaat (50% loss)

Ik had deze post nog niet gezien. Doe eens gek en zet ze er allebei eens in. Allebei die statics toevoegen op je Cisco. Het is wel interessant dat ze allebei werken namelijk en ben benieuwd wat er gebeurt als je beide paden probeert te gebruiken.

woensdag 10 december 2008 11:23

Acties:

0 Henk 'm!

-Michel-

Topicstarter

YES!!!! Ik heb de static route compleet verwijderd van de CISCO en nu werkt het! Helemaal top

[ Voor 3% gewijzigd door -Michel- op 10-12-2008 11:25 ]

woensdag 10 december 2008 11:24

Acties:

0 Henk 'm!

Vicarious

☑Rekt | ☐ Not rekt

Que? van de cisco? Ik bedoelde van je werkstation, maar als het hiermee werkt vind ik het ook prima

Vicariously I live while the whole world dies

woensdag 10 december 2008 11:27

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Ik ben nu wel benieuwd naar je static routes want vreemd is het allemaal wel moet ik zeggen. Verder zal ik je even een rekening sturen voor het meedenken

woensdag 10 december 2008 11:28

Acties:

0 Henk 'm!

-Michel-

Topicstarter

yep. Ik heb het volgende commando uitgevoerd in de CLI

no ip route 10.135.172.0 255.255.255.0 FastEthernet0/1

show ip route laat hem nu ook niet meer zien maar het werkt wel! Ik snap er niks van maar zoals een wijs
man al eens heeft gezegd:

Vraag niet hoe het kan maar geniet er van

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is 195.190.249.3 to network 0.0.0.0

C 82.0.0.0/8 is directly connected, FastEthernet0/1
195.190.249.0/32 is subnetted, 1 subnets
S 195.190.249.3 is directly connected, FastEthernet0/1
10.0.0.0/8 is variably subnetted, 12 subnets, 3 masks
S 10.1.16.0/24 is directly connected, FastEthernet0/1
S 10.135.173.0/24 is directly connected, FastEthernet0/1
S 10.1.63.0/24 is directly connected, FastEthernet0/1
S 10.147.254.1/32 is directly connected, FastEthernet0/1
S 10.140.18.0/24 is directly connected, FastEthernet0/1
S 10.132.19.0/24 is directly connected, Tunnel0
C 10.147.93.0/24 is directly connected, FastEthernet0/0
C 10.147.0.93/32 is directly connected, Loopback0
S 10.135.71.0/24 is directly connected, FastEthernet0/1
S 10.135.70.0/24 is directly connected, FastEthernet0/1
C 10.147.2.76/30 is directly connected, Tunnel0
S 10.140.120.0/24 is directly connected, FastEthernet0/1
C 192.168.0.0/24 is directly connected, FastEthernet0/0
192.168.1.0/32 is subnetted, 1 subnets
S 192.168.1.254 [254/0] via 195.190.249.3, FastEthernet0/1
S* 0.0.0.0/0 [1/0] via 195.190.249.3

woensdag 10 december 2008 11:33

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Als je je static naar je default gateway had gezet als next hop ip in plaats van de interface had het waarschijnlijk ook gewerkt. Een interface als next-hop gebruiken wil wel eens rare dingen doen bij een broadcast netwerk zoals ethernet. Echter het gedrag vind ik moeilijk te verklaren.

woensdag 10 december 2008 11:42

Acties:

0 Henk 'm!

-Michel-

Topicstarter

Dat heb ik net even geprobeerd en dat werkt ook inderdaad.......zoals ik al zei heb ik niet veel verstand
van routers/netwerken etc. maar met mijn beperkte kennis is dit helemaal niet meer te begrijpen.

Anyway.....jullie bedankt voor het meedenken!

woensdag 10 december 2008 11:47

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Ik raad je sowieso aan even alle statics die je via F0/1 hebt gerouteerd of te verwijderen of dmv het next-hop ip te maken. Echter omdat deze next-hop kan wijzigen kan je ze beter verwijderen dan weet je tenminste zeker dat alles blijft werken als de default-gateway wijzigt.

Pagina: 1

Reageer