-
Gesamte Inhalte
955 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von rob_67
-
-
Hi,
wenn deine asa scripts kann, dann ja (ios abhängig)...
kron occurrence disconnect-pppoe at 4:00 recurring
policy-list disconnect-pppoe
!
kron policy-list disconnect-pppoe
cli clear interface dialer 0
gruss
rob
-
würde mal sagen ja, da wahrscheinlich der router auch nur eines annex A oder Annex B beherrscht?! frag mich aber jetzt nicht genau, was was ist, ich glaub annex A war ADSL über ISDN... Ansonsten noch mal genau bei dem ensprechend verbautem Router Interface nachschauen.
gruss
rob
-
... ipsec verträgt sich wohl nicht mit cef, aber auf den großen kisten reichts scheinbar nicht, cef nur auf dem interface auszuschalten?!
-
ja,
z19(config)#ip cef
z19(config)#
z19#sh ip route eigrp
1.0.0.0/32 is subnetted, 1 subnets
D 1.1.1.1 [90/297372416] via 10.10.10.2, 00:16:51, Tunnel0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
D 10.111.111.111/32 [90/297372416] via 10.10.10.18, 00:16:50, Tunnel4
Nov 15 10:49:32: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 999: Neighbor 10.10.10.18 (Tunne
l4) is down: Interface Goodbye received
Nov 15 10:49:32: IP-EIGRP(Default-IP-Routing-Table:999): 10.111.111.111/32 - do
advertise out Tunnel0
Nov 15 10:49:32: IP-EIGRP(Default-IP-Routing-Table:999): Int 10.111.111.111/32 m
etric 4294967295 - 284444416 4294967295
z19#
Nov 15 10:49:32: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 999: Neighbor 10.10.10.2 (Tunnel
0) is down: Interface Goodbye received
gruss
rob
-
Hi,
also es läuft jetzt, die tunnel stehen, habe auf den 7500ern cef abgeschaltet und eine dynamische crypto map auf dem physikalischen interface gesetzt, auf den tunnelinterfaces des hubs ist die tunnel protection nicht mehr gesetzt, da jetzt die dynmap zieht...
EIGRP auf dem hub:
sh ip route eigrp
1.0.0.0/32 is subnetted, 1 subnets
D 1.1.1.1 [90/297372416] via 10.10.10.2, 00:13:54, Tunnel0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
D 10.111.111.111/32 [90/297372416] via 10.10.10.18, 00:13:55, Tunnel4
die spokes sind untereinander pingbar, security lifetime ist 120 secunden und die tunnel bleiben trotzdem oben...
:)
gruss
rob
-
würde eher sagen hub-spoke wobei die spoke erneut hub zu einer weiteren spoke in einem anderen VPN ist...
-
Hi,
es gibt neue Erkenntnisse, habe die config umgebaut, so daß auf dem zweiten 7500 ein Tunnel terminiert und ein weiterer initiiert wird. Der Tunnel vom 876 ist kommend, beide Tunnel stehen gleichzeitig und können auch aufgebaut werden. Beide 7500er unterscheiden sich in der Hardware (auch CPU).
Gruss
rob
-
Hi Wordo,
Dank dir erstmal für die Infos. Wenn ich die Release notes lese, wird mir erstmal schlecht. QOS ist aus, ich wills nicht gleich übertreiben... Mit CEF und nicht CEF habe ich schon rumexperimentiert, ich werds nochmal gezielt auf dem HUB ausschalten. Vielleicht hat der 7500 er auch ein Problem mit dem modularen Aufbau, da kam noch ne andere komische Message von wegen falscher Slot und so. Beide 7500er laufen mit 12.4.17, für den 876 gabs das letzte Woche noch nicht. Glaube nicht, daß es am EIGRP liegt, da wenn die Tunnel sauber da sind (für eine Stunde, aber nur wenn der 876 erster war, ist alles OK, ich kann von allen Router alle Loopbacks und Tunnelinterfaceadressen anpingen. Config kann ich dir morgen schicken, ist nicht so geheim, da noch Testumgebung.
Viele Grüsse
Rob
-
ja, werde ich nochmal probieren... auf dem 876 lief fast kein debug, nur auf den großen kisten, die sind jetzt auch im dezember eol... eine ganz heisse version war auch 12.4.11 T4 vom 876, die war nur am crashen...
-
...es gingen alle drei, aber nur bis zur security lifetime, jetzt ist der 876 zweimal hintereinander gecrasht... 12.4.15T1 Enterprise... vielleicht probier ich es in zwei jahren nochmal, wenn die iossen besser sind?! warum ist der 876 eigentlich immer der Verlierer?
-
sagen wir mal so, unter cn sehe ich in den Zertifikaten den CA Server und unter subject sehe ich die Router, die sich natürlich schon unterscheiden bzw. beim CA Certificate sehe ich unter CN den CA Server selbst. An den Zertifikaten kann ich auch nicht rumdrehen, da die vom CA Server erstellt werden... Einzeln sind die ja auch Ok...
Hier was zu dem feature:
When an invalid security parameter index error (shown as "Invalid SPI") occurs in IP Security (IPSec) packet processing, the Invalid Security Parameter Index Recovery feature allows for an Internet Key Exchange (IKE) security association (SA) to be established. The "IKE" module sends notification of the "Invalid SPI" error to the originating IPSec peer so that Security Association Databases (SADBs) can be resynchronized and successful packet processing can be resumed.
Ist vor allem dafür gedacht, wenn eine Kiste bootet, daß die Gegenseite das auch mitbekommt und nicht alle Pakete mit invalid SPI verwirft.
Meint aber sicher nicht, daß jetzt am Zertifikat vorbei gehandelt wird...
Die Frage ist, warum tritt das auf... Ist es ein Bug oder ist es ein feature?
-
Hi,
die 876 hat als source die IP vom VLAN1, alle router haben die gleiche CN (Problem?).
Habe jetzt crypto isakmp invalid-spi-recovery
angeschaltet, der Tunnel bleibt oben?!
Gruss
rob
-
hi,
es ist doch nicht das eigrp, aber das Tunnelinterface fliegt wieder weg, aber nur das zum 876 (SA has invalid SPI)...
Das Tunnelinterface geht up down...:confused:
Gruss
rob
-
Hi, könnte vielleicht sein, habe aber nur nach den Updates geschaut... Werde nochmal genauer debuggen, vielleicht finde ich da noch etwas...
Gruss
rob
-
Hallo,
habe zwei 7500er Router, von denen einer VPN Server spielt und einen 876er Router.
Auf dem VPN Server habe ich Tunnelinterfaces mit Zertifikaten á la
interface Tunnel0
ip address 10.10.10.1 255.255.255.252
no ip redirects
ip mtu 1400
ip nhrp authentication mysecret
ip nhrp map multicast dynamic
ip nhrp network-id 42
ip tcp adjust-mss 1360
no ip split-horizon eigrp 999
tunnel source Async1
tunnel mode gre multipoint
tunnel key 42
tunnel protection ipsec profile dmvpn
mit verschiedenen IP Adressen pro Tunnelinterface und Gegenstelle. Auf allen Routern existieren Zertifikate. Auf den Einwahlrouter sieht es folgendermaßen aus:
interface Tunnel0
ip address 10.10.10.2 255.255.255.252
ip nhrp authentication mysecret
ip nhrp map 10.10.10.1 172.26.7.2
ip nhrp map multicast 172.26.7.2
ip nhrp network-id 42
ip nhrp nhs 10.10.10.1
ip tcp adjust-mss 1360
no ip split-horizon eigrp 999
tunnel source Async1
tunnel destination 172.26.7.2
tunnel key 42
tunnel protection ipsec profile dmvpn
Die VPNs funktinieren, leider nicht gleichzeitig. Sobald beide 7500 er Router connected sind, fliegt der 876 er Tunnel weg (IKE Phase 2 completed, Router zeigt auch VPN an, aber es funzt nicht). An Fehlermeldungen kommt ciscountypisch auch nichts gescheites... Beide Router nutzen auch das gleiche physikalische Interface aber unterschiedliche Tunnelinterfaces auf dem VPN Server und sind in verschiedenen DMVPNs (versch. Tunnelkeys und Authentication).
Kurzzeitig kann ich beide Gegenstellen anpingen, bis der 876er weg ist.
Hat jemand eine Idee?
Gruss
Rob
-
hi,
die eingehende rufnummer wird rejected,
--> mit isdn caller auf dem bri ohne führende nullen eintragen...
gruss
rob
-
Hi,
wo ist deine dialer list?
gruss
rob
-
übers zweite vlan war der router nicht erreichbar, mit dem neueren ios schon... komisch, daß es bei dir geht...
gruss
rob
-
28672K bytes of processor board System flash (Intel Strataflash),
(ist ein nagelneuer Router)
die 12.4.15 T1 hatte ein Problem mit den VLANS...
Gruss
rob
-
Hi Wordo,
welches IOS nutzt du? Ich habe das neueste und der Router crasht dauernd (12.4.17)... VPN bekomme ich auch nicht hin, das scheint aber möglicherweise an meinen 7500ern zu liegen?! Die wollen irgendwie nicht auf dem FastethernetInterface, stelle ich es um auf async funzt es...
Gruss
rob
-
Hi,
dann stell chap auf callin, dann kann die gegenseite gegliche challenges senden...
gruss
rob
-
Hi,
ip ddns update method mydns
HTTP
add http://caserver.test.local/nic/update/default.asp?hostname=1.test.loc
al&myip=<a>&uid=test&pass=test
interval maximum 0 0 0 10
interface Ethernet0
ip ddns update hostname 1.test.local
ip ddns update mydns
ip address 10.10.10.2 255.255.255.252
no ip redirects
...
Achtung bei der URL und dem Fragezeichen (spezielle Tastenkombination ctrl+v ?, ansonsten kommt Hilfe)
Dies ist ein nichtöffentlicher DDNS Server, d.h. die URL muß angepaßt werden...
gruss
rob
-
OK,
ich weiß warum...
Cisco möchte Geld verdienen...
Dial out ist mit diesem IOS advipservices nicht erlaubt, man braucht eine adv. enterprise IOS. Denn nur mit diesem ios funktioniert dial backup...
:cool:
gruss
rob
-
Hi,
habe ein Problem mit nem 876, der wählt nicht raus,
FM: ISDN BR0 **ERROR**: process_bri_call: Outgoing call id 0x8
005 blocked
--> d.h. dial out wird vom Router geblockt... andere ciscos können am anschluß rauswählen.
passiert mit diversen iossen, eingehende calls sind ok.
gruss
rob
VPN Site-to-Site mit Namen anstelle IP + DYNDNS
in Cisco Forum — Allgemein
Geschrieben
Hi,
soweit ich das gesehen habe, geht das nicht, da der name sofort in eine ip aufgelöst wird, ändert sich die ip, dann ists ein problem. also einseitig feste ip und tunnel von gegenseite bei bedarf aufbauen oder ständig stehen lassen, wenn beidseitige kommunikation gewünscht. die frage ist, ob das nicht cisco geräte nicht besser können?!
gruss
rob