Wordo

Hm, vielleicht kann man das irgendwie eingrenzen? Z.B. mal keine Zertifikate verwenden und auf EIGRP verzichten? Der Crash kommt auch nicht weil du crypto komplett debuggst und der Speicher ueberlaeuft?

Und jetzt gehen alle 3 zusammen? :) Oder meckert jetzt wieder die Grosse rum? Nicht das der DMVPN Server die Verbindung zum anderen wieder kappt weil er wieder resynchronized.

Mit Zertifikaten authentifzierst du ja Devices, gleiches Zertifikat (CN), bedeutet gleiche Maschine. Es muesste also eine Funktion a la OpenVPN (duplicate-cn) aktiv sein. Ausm Kopf weiss ich nicht obs sowas fuer IOS gibt. Den Befehl kenne ich leider nicht, anhand der Kurzdoku vom Command Lookup Tool verstehe ich das so, dass, wenn ein Wert in Phase I den Aufbau der SA verhindert, dieser nicht beachtet werden soll (ich kann hier auch totalen Schwachsinn verzapfen), was wiederrum zur Folge haette, dass man sich mit allen selbst ausgestellten Zertifikaten authorisieren koennte.

Hast du bei der 876 auch tunnel source Async1? Die Clientzertifikate unterscheiden sich im CN?

Oder einfach mal mit statischen Routen testen ..

Wo liegt denn deine Prio? Auf Redundanz der Switche (sind auf den Ports Clients?), oder um einen redundanten und schnelleren Weg zum Router hin? Hast du dir ueber zweiteres ueberhaupt Gedanken gemacht wie du einen Router (L3) mit 2 Interfaces in 2 Switchen ohne STP einbinden willst?

Also wenn die VPNs stehen und die am Anfang kurz pingen kannst deutet das doch ganz stark auf irgendeine Fehlkonfiguration im EIGRP hin. Da schon mal gedebuggt?

Die mittleren 2 Paarte einfach straight durch. Das sollte dann passen. Einfach n RJ11 Stoepsel besorgen und rauf damit :)

Die Kabel werden mitgeliefert, RJ11 auf RJ45, frueher wurden auch mal RJ11 auf RJ11 geliefert, die passen auch in den Splitter. Belegung is auch nich schwer, brauchst eine?

Wichtigste Teile fuer Einwahl: interface ATM0 bandwidth 640 no ip address atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto ! interface ATM0.1 point-to-point description max.dsl no ip redirects no ip unreachables no ip proxy-arp no snmp trap link-status pvc 1/32 pppoe-client dial-pool-number 1 ! ! interface Dialer0 ip address negotiated ip mtu 1492 encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username XXX password 7 XXX ppp ipcp dns request ppp ipcp wins request crypto map VPN ! ip route 0.0.0.0 0.0.0.0 Dialer0 dialer-list 1 protocol ip permit NAT ACL musste noch machen ... oder einfach Suchfunktion benutzen .. gibt genuegend Beispielkonfigs ..

So zum Beispiel: crypto isakmp keepalive 120 10 periodic EDIT: Auf beiden Seiten eingeben!

Wenn alle Stricke reissen sollte es doch immer noch das gute alte xmodem geben oder nicht?

show dsl int ATM0/2/0 ...

Telekom ist PVC 1/32, nicht 8/35. Bei 1und1 weiss ichs nicht. Schau mal mit "sh dsl int atm0" ob das Modem ueberhaupt synchron ist.

Hm, hast du dir da schon Gedanken ueber die Umstellung gemacht? Wenn du nach und nach die Clients in die jeweiligen VLANs steckst geht fuer die erst mal garnix mehr, ausser, du haengst die Router sowohl ins neue, als auch ins alte VLAN. Koennte tricky werden ... :)

Wenn du 1500 Clients in einem VLAN hast, und dann, irgendwann, die neue Hardware bekommst und das VLAN teilst, wie sollen dann die einen Clients die anderen sehen/erreichen? VLAN=Layer2, IP(inkl. Broadcast)=Layer3! Du musst also auch die IP Netze aufteilen und zusaetzlich routen. Ausser die 1500 Clients sind in unterschiedlichen netzen, aber im selben VLAN .. dann waer das Netz aber auch richtig schlecht implementiert :D

Laut dem Link muesste die Lizenz schon seit 7.2.2 abgeschafft sein (ab 5520): http://www.cisco.com/en/US/customer/products/ps6120/prod_models_comparison.html

Ich weiss nicht genau obs fuer Version 6 oder 7 gilt. Aber sobald du "conduit ipsec" oder sowas eingibst werden beide Richtungen erlaubt, wenn du das nicht machst, musst du auch einen Rueckregel erstellen. Folglicherweise solltest du den Befehl also schon drin haben (glaub das betrifft Version 7).

Du wolltest aber einen Active/Active VPN Cluster mit 2 5505. Die 5505 kann kein A/A, und mit A/A ist generell VPN nicht moeglich ( http://www.mcseboard.de/cisco-forum-allgemein-38/asa-5510-active-avtive-122242.html ). Dazu kommt noch das du 2 ASA bestellt hast, aber nur eine mit Sec Plus ausgestattet ist (das ist aber auch leicht zu loesen :) )

Vista 64bit? Waruuuuuuuum??? :D Da geht nicht mal der normale Cisco VPN Client (noch). AnyConnect ist wie gesagt nur mit ASA kompatibel. Wie waers mit L2TP/IPsec und PSK? Wobei, kann das die 501er? Ich glaub bei der is ab 6.3.5 Schluss ...

Das ist ein bisschen viel, meinst nicht? Hier steht alles drin: Catalyst 3550 Multilayer Switch Software Configuration Guide, 12.1(12c)EA1 [Cisco Catalyst 3550 Series Switches] - Cisco Systems

Echt? Was fuer eins? Mach da nie mehr als 2, aber wuerds gern mal reproduzieren.

12.4.15T1, adv. enterprise halt. Flash haste auf 28MB gepumpt?

Wenns nur bei einem nicht gehst koenntest du noch paar Sachen vorher abchecken: Lokales LAN vom Client dasselbe wie LAN in Firma? Route auf dem Client korrekt? VPN Pool IP dieselbe wie Netz vom LAN?

Dann wirds wohl auf der PIX geblockt sein, siehst du nix im Log?