rob_67

Hi, soweit ich das gesehen habe, geht das nicht, da der name sofort in eine ip aufgelöst wird, ändert sich die ip, dann ists ein problem. also einseitig feste ip und tunnel von gegenseite bei bedarf aufbauen oder ständig stehen lassen, wenn beidseitige kommunikation gewünscht. die frage ist, ob das nicht cisco geräte nicht besser können?! gruss rob

Hi, wenn deine asa scripts kann, dann ja (ios abhängig)... kron occurrence disconnect-pppoe at 4:00 recurring policy-list disconnect-pppoe ! kron policy-list disconnect-pppoe cli clear interface dialer 0 gruss rob

würde mal sagen ja, da wahrscheinlich der router auch nur eines annex A oder Annex B beherrscht?! frag mich aber jetzt nicht genau, was was ist, ich glaub annex A war ADSL über ISDN... Ansonsten noch mal genau bei dem ensprechend verbautem Router Interface nachschauen. gruss rob

... ipsec verträgt sich wohl nicht mit cef, aber auf den großen kisten reichts scheinbar nicht, cef nur auf dem interface auszuschalten?!

ja, z19(config)#ip cef z19(config)# z19#sh ip route eigrp 1.0.0.0/32 is subnetted, 1 subnets D 1.1.1.1 [90/297372416] via 10.10.10.2, 00:16:51, Tunnel0 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks D 10.111.111.111/32 [90/297372416] via 10.10.10.18, 00:16:50, Tunnel4 Nov 15 10:49:32: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 999: Neighbor 10.10.10.18 (Tunne l4) is down: Interface Goodbye received Nov 15 10:49:32: IP-EIGRP(Default-IP-Routing-Table:999): 10.111.111.111/32 - do advertise out Tunnel0 Nov 15 10:49:32: IP-EIGRP(Default-IP-Routing-Table:999): Int 10.111.111.111/32 m etric 4294967295 - 284444416 4294967295 z19# Nov 15 10:49:32: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 999: Neighbor 10.10.10.2 (Tunnel 0) is down: Interface Goodbye received gruss rob

Hi, also es läuft jetzt, die tunnel stehen, habe auf den 7500ern cef abgeschaltet und eine dynamische crypto map auf dem physikalischen interface gesetzt, auf den tunnelinterfaces des hubs ist die tunnel protection nicht mehr gesetzt, da jetzt die dynmap zieht... EIGRP auf dem hub: sh ip route eigrp 1.0.0.0/32 is subnetted, 1 subnets D 1.1.1.1 [90/297372416] via 10.10.10.2, 00:13:54, Tunnel0 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks D 10.111.111.111/32 [90/297372416] via 10.10.10.18, 00:13:55, Tunnel4 die spokes sind untereinander pingbar, security lifetime ist 120 secunden und die tunnel bleiben trotzdem oben... :) gruss rob

würde eher sagen hub-spoke wobei die spoke erneut hub zu einer weiteren spoke in einem anderen VPN ist...

Hi, es gibt neue Erkenntnisse, habe die config umgebaut, so daß auf dem zweiten 7500 ein Tunnel terminiert und ein weiterer initiiert wird. Der Tunnel vom 876 ist kommend, beide Tunnel stehen gleichzeitig und können auch aufgebaut werden. Beide 7500er unterscheiden sich in der Hardware (auch CPU). Gruss rob

Hi Wordo, Dank dir erstmal für die Infos. Wenn ich die Release notes lese, wird mir erstmal schlecht. QOS ist aus, ich wills nicht gleich übertreiben... Mit CEF und nicht CEF habe ich schon rumexperimentiert, ich werds nochmal gezielt auf dem HUB ausschalten. Vielleicht hat der 7500 er auch ein Problem mit dem modularen Aufbau, da kam noch ne andere komische Message von wegen falscher Slot und so. Beide 7500er laufen mit 12.4.17, für den 876 gabs das letzte Woche noch nicht. Glaube nicht, daß es am EIGRP liegt, da wenn die Tunnel sauber da sind (für eine Stunde, aber nur wenn der 876 erster war, ist alles OK, ich kann von allen Router alle Loopbacks und Tunnelinterfaceadressen anpingen. Config kann ich dir morgen schicken, ist nicht so geheim, da noch Testumgebung. Viele Grüsse Rob

ja, werde ich nochmal probieren... auf dem 876 lief fast kein debug, nur auf den großen kisten, die sind jetzt auch im dezember eol... eine ganz heisse version war auch 12.4.11 T4 vom 876, die war nur am crashen...

...es gingen alle drei, aber nur bis zur security lifetime, jetzt ist der 876 zweimal hintereinander gecrasht... 12.4.15T1 Enterprise... vielleicht probier ich es in zwei jahren nochmal, wenn die iossen besser sind?! warum ist der 876 eigentlich immer der Verlierer?

sagen wir mal so, unter cn sehe ich in den Zertifikaten den CA Server und unter subject sehe ich die Router, die sich natürlich schon unterscheiden bzw. beim CA Certificate sehe ich unter CN den CA Server selbst. An den Zertifikaten kann ich auch nicht rumdrehen, da die vom CA Server erstellt werden... Einzeln sind die ja auch Ok... Hier was zu dem feature: When an invalid security parameter index error (shown as "Invalid SPI") occurs in IP Security (IPSec) packet processing, the Invalid Security Parameter Index Recovery feature allows for an Internet Key Exchange (IKE) security association (SA) to be established. The "IKE" module sends notification of the "Invalid SPI" error to the originating IPSec peer so that Security Association Databases (SADBs) can be resynchronized and successful packet processing can be resumed. Ist vor allem dafür gedacht, wenn eine Kiste bootet, daß die Gegenseite das auch mitbekommt und nicht alle Pakete mit invalid SPI verwirft. Meint aber sicher nicht, daß jetzt am Zertifikat vorbei gehandelt wird... Die Frage ist, warum tritt das auf... Ist es ein Bug oder ist es ein feature?

Hi, die 876 hat als source die IP vom VLAN1, alle router haben die gleiche CN (Problem?). Habe jetzt crypto isakmp invalid-spi-recovery angeschaltet, der Tunnel bleibt oben?! Gruss rob

hi, es ist doch nicht das eigrp, aber das Tunnelinterface fliegt wieder weg, aber nur das zum 876 (SA has invalid SPI)... Das Tunnelinterface geht up down...:confused: Gruss rob

Hi, könnte vielleicht sein, habe aber nur nach den Updates geschaut... Werde nochmal genauer debuggen, vielleicht finde ich da noch etwas... Gruss rob

Hallo, habe zwei 7500er Router, von denen einer VPN Server spielt und einen 876er Router. Auf dem VPN Server habe ich Tunnelinterfaces mit Zertifikaten á la interface Tunnel0 ip address 10.10.10.1 255.255.255.252 no ip redirects ip mtu 1400 ip nhrp authentication mysecret ip nhrp map multicast dynamic ip nhrp network-id 42 ip tcp adjust-mss 1360 no ip split-horizon eigrp 999 tunnel source Async1 tunnel mode gre multipoint tunnel key 42 tunnel protection ipsec profile dmvpn mit verschiedenen IP Adressen pro Tunnelinterface und Gegenstelle. Auf allen Routern existieren Zertifikate. Auf den Einwahlrouter sieht es folgendermaßen aus: interface Tunnel0 ip address 10.10.10.2 255.255.255.252 ip nhrp authentication mysecret ip nhrp map 10.10.10.1 172.26.7.2 ip nhrp map multicast 172.26.7.2 ip nhrp network-id 42 ip nhrp nhs 10.10.10.1 ip tcp adjust-mss 1360 no ip split-horizon eigrp 999 tunnel source Async1 tunnel destination 172.26.7.2 tunnel key 42 tunnel protection ipsec profile dmvpn Die VPNs funktinieren, leider nicht gleichzeitig. Sobald beide 7500 er Router connected sind, fliegt der 876 er Tunnel weg (IKE Phase 2 completed, Router zeigt auch VPN an, aber es funzt nicht). An Fehlermeldungen kommt ciscountypisch auch nichts gescheites... Beide Router nutzen auch das gleiche physikalische Interface aber unterschiedliche Tunnelinterfaces auf dem VPN Server und sind in verschiedenen DMVPNs (versch. Tunnelkeys und Authentication). Kurzzeitig kann ich beide Gegenstellen anpingen, bis der 876er weg ist. Hat jemand eine Idee? Gruss Rob

hi, die eingehende rufnummer wird rejected, --> mit isdn caller auf dem bri ohne führende nullen eintragen... gruss rob

Hi, wo ist deine dialer list? gruss rob

übers zweite vlan war der router nicht erreichbar, mit dem neueren ios schon... komisch, daß es bei dir geht... gruss rob

28672K bytes of processor board System flash (Intel Strataflash), (ist ein nagelneuer Router) die 12.4.15 T1 hatte ein Problem mit den VLANS... Gruss rob

Hi Wordo, welches IOS nutzt du? Ich habe das neueste und der Router crasht dauernd (12.4.17)... VPN bekomme ich auch nicht hin, das scheint aber möglicherweise an meinen 7500ern zu liegen?! Die wollen irgendwie nicht auf dem FastethernetInterface, stelle ich es um auf async funzt es... Gruss rob

Hi, dann stell chap auf callin, dann kann die gegenseite gegliche challenges senden... gruss rob

Hi, ip ddns update method mydns HTTP add http://caserver.test.local/nic/update/default.asp?hostname=1.test.loc al&myip=<a>&uid=test&pass=test interval maximum 0 0 0 10 interface Ethernet0 ip ddns update hostname 1.test.local ip ddns update mydns ip address 10.10.10.2 255.255.255.252 no ip redirects ... Achtung bei der URL und dem Fragezeichen (spezielle Tastenkombination ctrl+v ?, ansonsten kommt Hilfe) Dies ist ein nichtöffentlicher DDNS Server, d.h. die URL muß angepaßt werden... gruss rob

OK, ich weiß warum... Cisco möchte Geld verdienen... Dial out ist mit diesem IOS advipservices nicht erlaubt, man braucht eine adv. enterprise IOS. Denn nur mit diesem ios funktioniert dial backup... :cool: gruss rob

Hi, habe ein Problem mit nem 876, der wählt nicht raus, FM: ISDN BR0 **ERROR**: process_bri_call: Outgoing call id 0x8 005 blocked --> d.h. dial out wird vom Router geblockt... andere ciscos können am anschluß rauswählen. passiert mit diversen iossen, eingehende calls sind ok. gruss rob