Wordo

debug crypto ipsec error debug crypto isakmp error debug crypto engine error Auf dem 1800er eingeben und dann vom anderen Router einen Ping starten und Output posten ...

Du bindest die crypto map ans Loopback, welche IP ist auf dem konfiguriert? Ausserdem postest du keine NAT configs, es kann also alles sein.

Das es schon an Phase1 scheitert und die Werte identisch sind gibts bestimmt ein Problem mit dem Loopback und der IP-Adresse.

Hab vorher die Datasheets und im Featurenavigator verglichen, stand nichts bei 3550 von IPv6.

Ja ist normal, erst ab 3560 mit Adv. IP Services ...

sh crypto ipsec sa detail

Du musst die Idlewerte speichern. Ich glaub Fu123 hatte das in seinem Blog mal dokumentiert (war schon lang nich mehr hier unterwegs) :) Cisco Learning Blog Dann gehts auch wesentlich schneller. Kannst auch 3640 emulieren, der Alleskoenner :)

Ist bestimmt was mim Peering, kannst du andere IPs aus deren Subnet erreichen?

Und schreib bitte wie dus gemacht hast, irgendwann brauch ichs bestimmt auch mal und will nich wieder ne Stunde vergeuden ;)

Das ist nicht so einfach, hast du mehrere IPs extern zur Verfuegung? Wenn ja: static (inside,outside) tcp interface <port> <inside host> www netmask 255.255.255.255 Das ist das NAT nach drin wie von dir beschrieben. Dann: access-list outside_nat_outbound extended permit ip any host <externe Pool IP> global (inside) 1 <externe Pool IP> nat (outside) 1 access-list outside_nat_outbound outside Ich hab das jetzt nur mit der richtigen externen IP bei ner Test-ASA probiert, wenn du das live an der einzigen globalen IP machst kannst du dich von extern nicht mehr auf die ASA verbinden. So hats aber bei mir geklappt.

Wozu? Wenn ISP1 und ASA2 ausfaellt musst du schon richtig Pech haben, und dann konfigurierst du ASA1 einfach auf ISP2. Wenn eine ausfaellt musst du ueber kurz oder lang ja eh einen Ersatz beschaffen --> oder SmartNet In OSPF und RRI solltest du dich erst mal einlesen, das einzusetzen ohne Vorahnung ist fast schon fahrlaessig ;)

Ich hatte eigentlich auch nicht dich gemeint :D Ports im Sinne von TCP/IP oder Switchports?! Das kommt bei dir nicht klar rueber, im Falle von TCP/IP Ports, halt dich an blackbox. Mittlerweile waeren ein paar Configschnippsel recht hilfreich.

Stell doch hinter ASA2, also neben den Router, die ASA2, dann kannste mit der bisschen rumspielen ;)

Die ASA routet 170 Mbit VPN-Traffic (laut Hersteller), der 2800 grob geschaetzt 30 (je nach Modell). Glaub mir, die ASA langweilt sich :) Kennst du dich mit OSPF aus? Wenn du beide fuer OSPF klar machst sagt die eine ASA der anderen welche Netze sie kennt, also welcher Client grad per VPN verbunden ist. So weiss jede ASA wo grad der VPN-Traffic zum Client hin soll. Wenn eine ASA ausfaellt waehlt sich logischerweise der Client bei der 2ten ASA ein (wird am Client konfiguriert). Das sollte auch kein Problem sein.

Welche Funktion erfuellt der 2800er in diesem Szenario? VPN? Einwahl beim ISP?

Die ASA? Du musst schon genaue und konkrete Anforderungen schreiben. Du kannst es mit ASA und mit 2800 loesen. Vorschlag: Beide ASA laufen ohne Failover, jede ASA hat eigenen ISP. Beide fahren untereinander OSPF mit RRI. Die Clients haben wahlweise die eine, oder andere als primary Peer eingetragen. Ueber OSPF wissen die ASAs wo welches Netz grad VPN macht. EDIT: Hier is noch n netter Thread zu ASA, VPN und Failover: http://forum.cisco.com/eforum/servlet/NetProf?page=netprof&forum=Virtual%20Private%20Networks&topic=Security&topicID=.ee6b2b8&fromOutline=&CommCmd=MB%3Fcmd%3Ddisplay_location%26location%3D.1de007d1

Cisco Security Appliance Command Line Configuration Guide, Version 8.0 - Configuring Failover [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems Failover Configuration Limitations You cannot configure failover with the following type of IP addresses: •IP addresses obtained through DHCP •IP addresses obtained through PPPoE •IPv6 addresses Additionally, the following restrictions apply: •Stateful Failover is not supported on the ASA 5505 adaptive security appliance. •Active/Active failover is not supported on the ASA 5505 adaptive security appliance. •You cannot configure failover when Easy VPN remote is enabled on the ASA 5505 adaptive security appliance. •VPN failover is not supported in multiple context mode. •CA server is not supported. If you have a CA server configured on the active unit, the CA server functionality will be lost when the unit fails over. The crypto ca server command and associated commands are not synchronized or replicated to the peer unit. Wenn du Active/Active hast muss das mind. eine ASA5510 sein. Da ist eine schneller als beide 2800er zusammen. Von daher wuerde Active/Standby, wie oben beschrieben, reichen. QoS sollte auch kein grosses Problem sein. Wofuer genau brauchst du PBR?

Du meinst wahrscheinlich Active/Active mit 2 Contexten, da ist dann VPN garnicht moeglich. Warum geht ihr denn auf 2800er? Aus welchem Grund wurde das entschieden?

Also wenn VPN und Redundanz im Vordergrund stehen ist der Weg von ASA zu Router verkehrt.

Ich versteh den Sinn dahinter nicht, wenn du von Ports (also TCP-Ports) redest (80, 443) brauchst du IP. Wenn du IP anhand von TCP-Ports ueber verschiedene Switchports "routest", hast du am Ende immernoch dieselbe IP, und wie wiederrum hat auch nur eine MAC-Adresse, und die wiederrum kann ja nur an einem Port bekannt sein. Was ist dein Ziel? Etherchannel ueber mehrere Switches?

Also ich wuerd die ASA im Active/Standby laufen lassen und beide ASA's an beiden ISP-Uplinks stecken, dann hast du Redundanz bei Leitung und System. Die 2800 blasen doch viel weniger Traffic durch, oder bist du auf BGP angewiesen?

Die VLANs sehen sich ja nicht untereinander, von daher bekommst du da keine Probleme. Wenn du jetzt allerdings auf mehreren Sub-IFs HSRP faehrst sollten die Gruppen nicht identisch sein.

Teaming interessiert den Switch nicht wirklich ... 2 Router mit HSRP wuerde mehr Sinn machen.

Aender halt die dialer-list von ip auf eine ACL ...

Wenn Cisco aus dem 15er Zweig von T ein MD draus macht, ist das rock solid! 10.250.1.49 0.0.0.7 Wobei die ACL nicht ganz richtig ist. 10.250.0.0 0.0.7.255 muss es sein. Dein internes Netz halt. Am Vlan1 fehlt noch ein "ip nat inside".