rob_67

Hi,

soweit ich das gesehen habe, geht das nicht, da der name sofort in eine ip aufgelöst wird, ändert sich die ip, dann ists ein problem. also einseitig feste ip und tunnel von gegenseite bei bedarf aufbauen oder ständig stehen lassen, wenn beidseitige kommunikation gewünscht. die frage ist, ob das nicht cisco geräte nicht besser können?!

gruss

rob

Hi,

wenn deine asa scripts kann, dann ja (ios abhängig)...

kron occurrence disconnect-pppoe at 4:00 recurring

policy-list disconnect-pppoe

!

kron policy-list disconnect-pppoe

cli clear interface dialer 0

gruss

rob

würde mal sagen ja, da wahrscheinlich der router auch nur eines annex A oder Annex B beherrscht?! frag mich aber jetzt nicht genau, was was ist, ich glaub annex A war ADSL über ISDN... Ansonsten noch mal genau bei dem ensprechend verbautem Router Interface nachschauen.

gruss

rob

... ipsec verträgt sich wohl nicht mit cef, aber auf den großen kisten reichts scheinbar nicht, cef nur auf dem interface auszuschalten?!

ja,

z19(config)#ip cef

z19(config)#

z19#sh ip route eigrp

1.0.0.0/32 is subnetted, 1 subnets

D 1.1.1.1 [90/297372416] via 10.10.10.2, 00:16:51, Tunnel0

10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks

D 10.111.111.111/32 [90/297372416] via 10.10.10.18, 00:16:50, Tunnel4

Nov 15 10:49:32: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 999: Neighbor 10.10.10.18 (Tunne

l4) is down: Interface Goodbye received

Nov 15 10:49:32: IP-EIGRP(Default-IP-Routing-Table:999): 10.111.111.111/32 - do

advertise out Tunnel0

Nov 15 10:49:32: IP-EIGRP(Default-IP-Routing-Table:999): Int 10.111.111.111/32 m

etric 4294967295 - 284444416 4294967295

z19#

Nov 15 10:49:32: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 999: Neighbor 10.10.10.2 (Tunnel

0) is down: Interface Goodbye received

gruss

rob

Hi,

also es läuft jetzt, die tunnel stehen, habe auf den 7500ern cef abgeschaltet und eine dynamische crypto map auf dem physikalischen interface gesetzt, auf den tunnelinterfaces des hubs ist die tunnel protection nicht mehr gesetzt, da jetzt die dynmap zieht...

EIGRP auf dem hub:

sh ip route eigrp

1.0.0.0/32 is subnetted, 1 subnets

D 1.1.1.1 [90/297372416] via 10.10.10.2, 00:13:54, Tunnel0

10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks

D 10.111.111.111/32 [90/297372416] via 10.10.10.18, 00:13:55, Tunnel4

die spokes sind untereinander pingbar, security lifetime ist 120 secunden und die tunnel bleiben trotzdem oben...

:)

gruss

rob

würde eher sagen hub-spoke wobei die spoke erneut hub zu einer weiteren spoke in einem anderen VPN ist...

Hi,

es gibt neue Erkenntnisse, habe die config umgebaut, so daß auf dem zweiten 7500 ein Tunnel terminiert und ein weiterer initiiert wird. Der Tunnel vom 876 ist kommend, beide Tunnel stehen gleichzeitig und können auch aufgebaut werden. Beide 7500er unterscheiden sich in der Hardware (auch CPU).

Gruss

rob

Hi Wordo,

Dank dir erstmal für die Infos. Wenn ich die Release notes lese, wird mir erstmal schlecht. QOS ist aus, ich wills nicht gleich übertreiben... Mit CEF und nicht CEF habe ich schon rumexperimentiert, ich werds nochmal gezielt auf dem HUB ausschalten. Vielleicht hat der 7500 er auch ein Problem mit dem modularen Aufbau, da kam noch ne andere komische Message von wegen falscher Slot und so. Beide 7500er laufen mit 12.4.17, für den 876 gabs das letzte Woche noch nicht. Glaube nicht, daß es am EIGRP liegt, da wenn die Tunnel sauber da sind (für eine Stunde, aber nur wenn der 876 erster war, ist alles OK, ich kann von allen Router alle Loopbacks und Tunnelinterfaceadressen anpingen. Config kann ich dir morgen schicken, ist nicht so geheim, da noch Testumgebung.

Viele Grüsse

Rob

ja, werde ich nochmal probieren... auf dem 876 lief fast kein debug, nur auf den großen kisten, die sind jetzt auch im dezember eol... eine ganz heisse version war auch 12.4.11 T4 vom 876, die war nur am crashen...

...es gingen alle drei, aber nur bis zur security lifetime, jetzt ist der 876 zweimal hintereinander gecrasht... 12.4.15T1 Enterprise... vielleicht probier ich es in zwei jahren nochmal, wenn die iossen besser sind?! warum ist der 876 eigentlich immer der Verlierer?

sagen wir mal so, unter cn sehe ich in den Zertifikaten den CA Server und unter subject sehe ich die Router, die sich natürlich schon unterscheiden bzw. beim CA Certificate sehe ich unter CN den CA Server selbst. An den Zertifikaten kann ich auch nicht rumdrehen, da die vom CA Server erstellt werden... Einzeln sind die ja auch Ok...

Hier was zu dem feature:

When an invalid security parameter index error (shown as "Invalid SPI") occurs in IP Security (IPSec) packet processing, the Invalid Security Parameter Index Recovery feature allows for an Internet Key Exchange (IKE) security association (SA) to be established. The "IKE" module sends notification of the "Invalid SPI" error to the originating IPSec peer so that Security Association Databases (SADBs) can be resynchronized and successful packet processing can be resumed.

Ist vor allem dafür gedacht, wenn eine Kiste bootet, daß die Gegenseite das auch mitbekommt und nicht alle Pakete mit invalid SPI verwirft.

Meint aber sicher nicht, daß jetzt am Zertifikat vorbei gehandelt wird...

Die Frage ist, warum tritt das auf... Ist es ein Bug oder ist es ein feature?

Hi,

die 876 hat als source die IP vom VLAN1, alle router haben die gleiche CN (Problem?).

Habe jetzt crypto isakmp invalid-spi-recovery

angeschaltet, der Tunnel bleibt oben?!

Gruss

rob

hi,

es ist doch nicht das eigrp, aber das Tunnelinterface fliegt wieder weg, aber nur das zum 876 (SA has invalid SPI)...

Das Tunnelinterface geht up down...:confused:

Gruss

rob

Hi, könnte vielleicht sein, habe aber nur nach den Updates geschaut... Werde nochmal genauer debuggen, vielleicht finde ich da noch etwas...

Gruss

rob

Hallo,

habe zwei 7500er Router, von denen einer VPN Server spielt und einen 876er Router.

Auf dem VPN Server habe ich Tunnelinterfaces mit Zertifikaten á la

interface Tunnel0

ip address 10.10.10.1 255.255.255.252

no ip redirects

ip mtu 1400

ip nhrp authentication mysecret

ip nhrp map multicast dynamic

ip nhrp network-id 42

ip tcp adjust-mss 1360

no ip split-horizon eigrp 999

tunnel source Async1

tunnel mode gre multipoint

tunnel key 42

tunnel protection ipsec profile dmvpn

mit verschiedenen IP Adressen pro Tunnelinterface und Gegenstelle. Auf allen Routern existieren Zertifikate. Auf den Einwahlrouter sieht es folgendermaßen aus:

interface Tunnel0

ip address 10.10.10.2 255.255.255.252

ip nhrp authentication mysecret

ip nhrp map 10.10.10.1 172.26.7.2

ip nhrp map multicast 172.26.7.2

ip nhrp network-id 42

ip nhrp nhs 10.10.10.1

ip tcp adjust-mss 1360

no ip split-horizon eigrp 999

tunnel source Async1

tunnel destination 172.26.7.2

tunnel key 42

tunnel protection ipsec profile dmvpn

Die VPNs funktinieren, leider nicht gleichzeitig. Sobald beide 7500 er Router connected sind, fliegt der 876 er Tunnel weg (IKE Phase 2 completed, Router zeigt auch VPN an, aber es funzt nicht). An Fehlermeldungen kommt ciscountypisch auch nichts gescheites... Beide Router nutzen auch das gleiche physikalische Interface aber unterschiedliche Tunnelinterfaces auf dem VPN Server und sind in verschiedenen DMVPNs (versch. Tunnelkeys und Authentication).

Kurzzeitig kann ich beide Gegenstellen anpingen, bis der 876er weg ist.

Hat jemand eine Idee?

Gruss

Rob

hi,

die eingehende rufnummer wird rejected,

--> mit isdn caller auf dem bri ohne führende nullen eintragen...

gruss

rob

Hi,

wo ist deine dialer list?

gruss

rob

übers zweite vlan war der router nicht erreichbar, mit dem neueren ios schon... komisch, daß es bei dir geht...

gruss

rob

28672K bytes of processor board System flash (Intel Strataflash),

(ist ein nagelneuer Router)

die 12.4.15 T1 hatte ein Problem mit den VLANS...

Gruss

rob

Hi Wordo,

welches IOS nutzt du? Ich habe das neueste und der Router crasht dauernd (12.4.17)... VPN bekomme ich auch nicht hin, das scheint aber möglicherweise an meinen 7500ern zu liegen?! Die wollen irgendwie nicht auf dem FastethernetInterface, stelle ich es um auf async funzt es...

Gruss

rob

Hi,

dann stell chap auf callin, dann kann die gegenseite gegliche challenges senden...

gruss

rob

Hi,

ip ddns update method mydns

HTTP

add http://caserver.test.local/nic/update/default.asp?hostname=1.test.loc

al&myip=<a>&uid=test&pass=test

interval maximum 0 0 0 10

interface Ethernet0

ip ddns update hostname 1.test.local

ip ddns update mydns

ip address 10.10.10.2 255.255.255.252

no ip redirects

...

Achtung bei der URL und dem Fragezeichen (spezielle Tastenkombination ctrl+v ?, ansonsten kommt Hilfe)

Dies ist ein nichtöffentlicher DDNS Server, d.h. die URL muß angepaßt werden...

gruss

rob

OK,

ich weiß warum...

Cisco möchte Geld verdienen...

Dial out ist mit diesem IOS advipservices nicht erlaubt, man braucht eine adv. enterprise IOS. Denn nur mit diesem ios funktioniert dial backup...

:cool:

gruss

rob

Hi,

habe ein Problem mit nem 876, der wählt nicht raus,

FM: ISDN BR0 **ERROR**: process_bri_call: Outgoing call id 0x8

005 blocked

--> d.h. dial out wird vom Router geblockt... andere ciscos können am anschluß rauswählen.

passiert mit diversen iossen, eingehende calls sind ok.

gruss

rob