Jump to content

DMVPN funzt nicht richtig


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

 

habe zwei 7500er Router, von denen einer VPN Server spielt und einen 876er Router.

 

 

Auf dem VPN Server habe ich Tunnelinterfaces mit Zertifikaten á la

 

interface Tunnel0

ip address 10.10.10.1 255.255.255.252

no ip redirects

ip mtu 1400

ip nhrp authentication mysecret

ip nhrp map multicast dynamic

ip nhrp network-id 42

ip tcp adjust-mss 1360

no ip split-horizon eigrp 999

tunnel source Async1

tunnel mode gre multipoint

tunnel key 42

tunnel protection ipsec profile dmvpn

 

mit verschiedenen IP Adressen pro Tunnelinterface und Gegenstelle. Auf allen Routern existieren Zertifikate. Auf den Einwahlrouter sieht es folgendermaßen aus:

 

interface Tunnel0

ip address 10.10.10.2 255.255.255.252

ip nhrp authentication mysecret

ip nhrp map 10.10.10.1 172.26.7.2

ip nhrp map multicast 172.26.7.2

ip nhrp network-id 42

ip nhrp nhs 10.10.10.1

ip tcp adjust-mss 1360

no ip split-horizon eigrp 999

tunnel source Async1

tunnel destination 172.26.7.2

tunnel key 42

tunnel protection ipsec profile dmvpn

 

Die VPNs funktinieren, leider nicht gleichzeitig. Sobald beide 7500 er Router connected sind, fliegt der 876 er Tunnel weg (IKE Phase 2 completed, Router zeigt auch VPN an, aber es funzt nicht). An Fehlermeldungen kommt ciscountypisch auch nichts gescheites... Beide Router nutzen auch das gleiche physikalische Interface aber unterschiedliche Tunnelinterfaces auf dem VPN Server und sind in verschiedenen DMVPNs (versch. Tunnelkeys und Authentication).

 

Kurzzeitig kann ich beide Gegenstellen anpingen, bis der 876er weg ist.

 

 

Hat jemand eine Idee?

 

Gruss

 

Rob

Link to comment

Mit Zertifikaten authentifzierst du ja Devices, gleiches Zertifikat (CN), bedeutet gleiche Maschine. Es muesste also eine Funktion a la OpenVPN (duplicate-cn) aktiv sein. Ausm Kopf weiss ich nicht obs sowas fuer IOS gibt.

 

Den Befehl kenne ich leider nicht, anhand der Kurzdoku vom Command Lookup Tool verstehe ich das so, dass, wenn ein Wert in Phase I den Aufbau der SA verhindert, dieser nicht beachtet werden soll (ich kann hier auch totalen Schwachsinn verzapfen), was wiederrum zur Folge haette, dass man sich mit allen selbst ausgestellten Zertifikaten authorisieren koennte.

Link to comment

sagen wir mal so, unter cn sehe ich in den Zertifikaten den CA Server und unter subject sehe ich die Router, die sich natürlich schon unterscheiden bzw. beim CA Certificate sehe ich unter CN den CA Server selbst. An den Zertifikaten kann ich auch nicht rumdrehen, da die vom CA Server erstellt werden... Einzeln sind die ja auch Ok...

 

Hier was zu dem feature:

 

When an invalid security parameter index error (shown as "Invalid SPI") occurs in IP Security (IPSec) packet processing, the Invalid Security Parameter Index Recovery feature allows for an Internet Key Exchange (IKE) security association (SA) to be established. The "IKE" module sends notification of the "Invalid SPI" error to the originating IPSec peer so that Security Association Databases (SADBs) can be resynchronized and successful packet processing can be resumed.

 

 

Ist vor allem dafür gedacht, wenn eine Kiste bootet, daß die Gegenseite das auch mitbekommt und nicht alle Pakete mit invalid SPI verwirft.

Meint aber sicher nicht, daß jetzt am Zertifikat vorbei gehandelt wird...

 

 

Die Frage ist, warum tritt das auf... Ist es ein Bug oder ist es ein feature?

Link to comment

Und das hier hab ich noch in den Mainline Caveats gefunden:

 

CSCsh84102

 

Symptoms: The following symptoms may occur:

–Some DMVPN spokes become unreachable and a loop appears in a traceroute.

–When you enter the show adjacency details command on the hub, the output shows that the adjacency rewrite information for a problematic spoke is the same as for another spoke.

–There is an inconsistency between the NHRP cache and the adjacency for the problematic spoke.

Conditions: These symptoms are observed in a DMVPN configuration when the hub has CEF enabled.

Workaround: Disable CEF on the hub.

 

 

Vielleicht mal auch 12.4.17 Mainline draufbuegeln, nur so zum testen.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...