amoretuo
Goto Top

Company Connect Telekom

Zwei Standorte verbinden über VpN mit Company Connect Telekom.

Problem: pingen nein, verbindung nein.
Warum?


Ich möchte zwei Standorte verbinden über VpN mit Company Connect Telekom.

Telekom hat gebaut bis: Cisco 7200, diese dient zu wandlung von BNC auf RJ45 + TCP/IP Protokoll.

ich: diese angebunden an meine Cisco ASA 5510, jeweils an beiden Standorten identisch.
jeweils VpN eingerichtet

Telekom stellt 8 feste IP-Adressen zur Verfügung
1.) reserviert für Match
2.) reserviert für Gateway
3.) reserviert für Broadcast

4.)diese habe ich genutzt um das erste VpN zu erstellen
5.)frei
6.)frei
7.)frei
8.)frei

a) fehlen mir hier die Zugangsdaten? fällt mir gerade ein, braucht man welche?
ich kann nach einrichtung der vpn, die eigene ip anpingen, jedoch nicht die gegenseite.
ein tunnel ist jeweils laut asa nicht aufgebaut, ergo: nicht aktiv

Content-ID: 119751

Url: https://administrator.de/contentid/119751

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

tb1611
tb1611 05.07.2009 um 14:20:24 Uhr
Goto Top
Für solche zwecke hat die Telekom EtherConnect, also eine transparente Verbindung zwischen den Standorten. Frag mal bei eurem T-Com Vertrieb nach, ist die elegantere Lösung, zumal mit höheren Geschwindigkeiten.

Bei Company-Connect wird nichts gefiltert, und Zugangsdaten o.ä. gibt es nicht. Du musst also ne Firewall direkt hinter deinem Zugang etablieren, von da aus kannst dann alles machen was du möchtest.
Gruss Tom
amoretuo
amoretuo 05.07.2009 um 15:55:26 Uhr
Goto Top
hi tom

danke für deine antwort.
1.) wenn man ein produkt eingekauft hat, mit viel aufwand und zum hohen preis, dann kann man mit einer empfehlung hättest du mal .... leider nichts anfangen. face-smile die eckdaten sind klar. company connect und nicht etherconnect. es ist auch nicht richtig:"etherconnect ist schneller" völlig falsch. etherconnect kann max 10MBit, und dass nur mit 5x kupfer-ader-paaren und fester bandbreite. ich brauche 34MBit-glasfaser-bei der ich jederzeit vaiieren kann: 4-34MBit.
achtung keine kritik, nur ein hinweis.

zu teil 2.)
danke für die info, bezüglich zugangsdaten. hatte schon gezweifelt face-smile

zu 2a)
firewall direkt hinter meinem zugang etablieren............
was genau meinst du damit?

in meiner asa habe ich bereits die firewall eingerichtet...
oder denke ich in die falsche richtung?

danke im voraus

lg schapoo
aqui
aqui 05.07.2009 um 18:30:08 Uhr
Goto Top
.
"Cisco 7200, diese dient zu wandlung von BNC auf RJ45 + TCP/IP Protokoll...."

Das ist Blödsinn, denn der 7200 routet zwischen dem Backbone der T-Com und deinem öffentlichen Subnetz. Vermutlich ist das eine G.703 Anbindung aus dem T-Com Netz. Mit einer "Wandlung" hat das nicht zu tun. Vermutlich ist dir die Technik nicht bekannt...!!

Ein Ping der beiden Endgeräte vermutlich also deiner Cisco ASAs mit ihren Endadressen in deinem öffentlichen Subnetz mit den 8 Adressen muss in jedem Falle möglich sein !
Voraussetzung ist aber natürlich das du einen ICMP Echo Zugriff auf die ASAs zulässt was per default geblockt ist.

Dann baust du mit der Cisco Konfig einen simplen IPsec Tunnel auf und gut ist.
Ein banales Standardszenario was eigentlich in 15 Minuten up and running sein sollte !!!
amoretuo
amoretuo 05.07.2009 um 19:25:49 Uhr
Goto Top
AQUI,

danke, wie immer........

wenn einer die lösung kennt, dann bist du es.
ich werd mal die einstellung:

zitat:
Voraussetzung ist aber natürlich das du einen
ICMP Echo Zugriff auf die ASAs zulässt was per default geblockt ist.

... und einrichten.

melde mich dann sofort.

PS: den ersten teil deiner nachricht, hättest du bestimmt freundlicher gestalten können.

zur info:
a) CISCO720 = Wandler von BNC 75Ohm auf RJ45
b) CISCO720 = Komponente zwischen alcatel 1642EM zum z.b. eigener router
tb1611
tb1611 05.07.2009 um 20:12:19 Uhr
Goto Top
Wie kommst du denn auf 10 Mbit? Ich hab 3x 100 Mbit mit Option auf 1 Gbit als Standortanbindung auf Glasfaserbasis, transparente Ethernet-verbindung, da du als Kunde von der Umsetzung nichts mitbekommst. Name des Produkts EtherConnect, wie gesagt, da hat dich euer Vertriebsmann falsch beraten face-wink

Gruss Tom
amoretuo
amoretuo 05.07.2009 um 20:30:38 Uhr
Goto Top
ja möglicherweise hast du recht.

ethernet connect wurde mir angeboten:
als preisgünstige kupfervariante; 2,5 o. 5 o. 10MBit/s
standorte verschmelzen ohne router

ich denke, das es status quo, e egal ist.


lg schapoo
aqui
aqui 06.07.2009 um 10:51:59 Uhr
Goto Top
@amoretuo
Nochmals: Ein Router ist kein Wandler sondern ein Router !!Auch wenn du es zig Mal behauptest änderst du nichts an der Tatsache ! Du glaubst doch wohl nicht im Ernst das die T-Com noch Ethernet über Koax überträgt und dann schon gar nicht auf 75 Ohm ??!!
Das ist ein Twinax oder Koax Anschluss für G.703 oder 34 Mbit oder was auch immer du da für eine WAN Technik (Bandbreite) geordert hast.
Ein Wandler ist ein 7200 Router (ein 720er gibt es bei Cisco nicht !!) de facto nicht !

Wenn du nur einigermaßen wüsstest über was du da redest, dann gehst du an den 7200er der T-Com und siehst dir einmal die Modulbezeichnung des Einschubmoduls an auf dem die 75 Ohm Koax Kabel enden !!! Die Modulbezeichnung steht rechts unten auf dem Modul !
Wenn du diese Bezeichnung dann einmal bei Cisco auf deren Webseite eingibst, dann weisst du im Handumdrehen welche Anschlusstechnik die T-Com dir ins Haus gelegt hat !!

So einfach ist das !!

Dein Problem ist mit 98%iger Sicherheit eine Fehlkonfiguration deiner ASA.
a.) Das die Firewall ICMP echo Pakete blockt
und b.) das die ebenfalls den IPsec Tunnel blockt

Beides ist normal wenn du die Firewall der ASA nicht entsprechend richtig konfigurierst.
Vielleicht hilft dir noch das dazu:

Vernetzung zweier Standorte mit Cisco 876 Router

Ist zwar keine ASA hilft aber als grobe Richtlinie...
amoretuo
amoretuo 06.07.2009 um 11:12:51 Uhr
Goto Top
@aqui

ist ok
hab dich auch lieb
aqui
aqui 06.07.2009 um 11:13:52 Uhr
Goto Top
OK, dann bring mal erstmal deinen ASA Wandler zum Laufen !!
amoretuo
amoretuo 06.07.2009 um 11:31:05 Uhr
Goto Top
aqui,

ich werde mich heute oder morgen nochmal dran setzen.

ich gehe davon aus, dass du recht hast.

entweder habe ich die NAT/PAT falsch konfiguriert
oder den ICMP permit ausgeschlossen.

auf einer seite habe ich es bereits gestern nachgebessert

die andere seite nehme ich mir umgehend vor.

ach aqui:
sag mal bitte...was ist ein ASA Wandler?

Dieses Wort Wandler ist geboren, als ich telekom fragte, was ich
mit einem BNC Anschluss sollte.
darauf hin: Zitat: der Wandler würde noch nachgeliefert.
aqui
aqui 06.07.2009 um 11:34:51 Uhr
Goto Top
Aha, deshalb.... Du darfst Beamten niemals technische Fragen stellen !!! Die benutzen dann Termini wie sie auch in IBM Handbüchern stehen wo Browser schon mal als "Stöberer" bezeichnet werden.
Die T-Com Leute haben dich vermutlich unterschätzt und dir nicht zugetraut das du das Wort Router verstehtst...oder was wahrscheinlicher ist: Sie haben es selber nicht verstanden...

OK, vergessen... und die andere ASA vornehmen face-wink
amoretuo
amoretuo 08.07.2009 um 22:28:29 Uhr
Goto Top
Mittwoch 08.07.2009
company connect vpn zwei standorte rennt wunderbar.
hervorragende geschwindigkeit, z.b. ping 3ms, mein intranet ist langsamer 10ms face-smile

abschliessend danke ich euch für die hilfe.

fakten:
icmp echo hat damit nichts zu tun.

a) konfigfehler im outside, denn die company connect gibt eine gateway vor.
b) konfigfehler NAT

hilfestellung bekam ich von einem meister, auch hier mitglied.
kenne ihn bereits seit meinen ersten asa berührungen.

fall abgeschlossen.
bin aber mit sicherheit bei meinem nächsten problem wieder hier.
denn ich bin gerne hier.

wer fragen hat, kann sie gerne stellen, egal wie einfach oder dumm sie
auch sein mögen, denn meine sind ja auch nicht schlau.
manchmal sind es kleinigkeiten.
auch ich würde gerne jemanden eine hilfe sein.

ich grüsse DANI und AQUI, den rest natürlich auch
bye bye