Moepi 10 Geschrieben 28. März 2006 Melden Teilen Geschrieben 28. März 2006 So jetzt würde mein VPN Tunnel stehen - dummerweise stürzt einer der beiden Router (ein Cisco 1841) ab, sobald Traffic übers VPN geht. Unter Traffic versteh ich das, was ein DSL6000 im Upstream hergibt. Der Router verabschiedet sich mit einigen Fehlermeldungen bzgl. Speicherzuweisungen und Reservierungen auf der Konsole und startet neu. Interessant ist, dass das Problem nur dann auftritt, wenn das onboard VPN Modul aktiviert ist. Schalte ich es mit "no crypto engine onboard 0" und "crypto engine software ipsec" ab, läuft der Router stabil. Ich hab bereits zwei verschiedene IOS getestet (12.3 und 12.4) - mit beiden dasselbe Problem. Die Speicherbestückung ist aber für die IOSes ausreichend (32MB Flash, 128MB RAM). Der Router belegt auch grade mal ~16MB RAM laut "sh version". Dass es ihm ausgeht kann ka wohl kaum sein... Hat jemand schon mal ähnliche Probleme gehabt oder ne Idee woran es liegen könnte? Hardware defekt? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. März 2006 Melden Teilen Geschrieben 28. März 2006 Bei Cisco.com gibts nen Output Interpreter, weiss aber nich ob man da registriert sein muss. Poste doch mal den Error, vielleicht bringts ja was :) Zitieren Link zu diesem Kommentar
Moepi 10 Geschrieben 28. März 2006 Autor Melden Teilen Geschrieben 28. März 2006 Also das ist ein Teil dessen, was man via Terminal Monitor (SSH) auffangen kann. Das komplette Output der Konsole hab ich leider noch net einfangen können. Die Crashinfos, die der Router im Flash ablegt, sind zwar sehr ausführlich (inkl. Memory Dump) aber nicht besonders vielsagend... Mar 28 18:10:16.007: %SYS-2-MALLOCFAIL: Memory allocation of 18188 bytes failed from 0x602CBB20, alignment 32 Pool: I/O Free: 8295696 Cause: Mempool corrupt Alternate Pool: None Free: 0 Cause: No Alternate pool -Process= "IP Input", ipl= 0, pid= 59 -Traceback= 0x60E4C294 0x601EC628 0x601F0AC0 0x602CBB28 0x602CC0B8 0x602CC904 0x613186D0 0x61318394 0x61315478 0x6131566C 0x61315728 0x613158CC ahg-border# Mar 28 18:10:24.443: %SYS-3-OVERRUN: Block overrun at E7400050 (red zone 628BD2E8) -Traceback= 0x60E4C294 0x60202F58 0x60203CF8 0x60205F00 0x60206190 Mar 28 18:10:24.443: %SYS-6-MTRACE: mallocfree: addr, pc 64987E30,600000F0 64987AB4,602CBCC0 0,602CBB20 64987AB4,602CBAD4 64987AB4,400001A6 656C39E4,60000044 656C3668,602CBCC0 0,602CBB20 Mar 28 18:10:24.443: %SYS-6-MTRACE: mallocfree: addr, pc 656C3668,602CBAD4 656C3668,400001A6 64987E30,600000F0 64987AB4,602CBCC0 0,602CBB20 64987AB4,602CBAD4 64987AB4,400001A6 656C39E4,60000044 Mar 28 18:10:24.443: %SYS-6-BLKINFO: Corrupted redzone blk E7400050, words 144, alloc 602CBB20, InUse, dealloc 4500008C, rfcnt 1A41659A -Traceback= 0x60E4C294 0x601EC7D8 0x60202F6C 0x60203CF8 0x60205F00 0x60206190 Mar 28 18:10:24.443: %SYS-6-MEMDUMP: 0xE7400050: 0xAB1234CD 0xFFFE0000 0x0 0x628BD2E8 Mar 28 18:10:24.443: %SYS-6-MEMDUMP: 0xE7400060: 0x602CBB20 0xE7400190 0xE7400014 0x80000090 Mar 28 18:10:24.443: %SYS-6-MEMDUMP: 0xE7400070: 0x1A41659A 0x13C4EF 0x425D8864 0x110003DD /edit: Habs grad durch den Interpreter von Cisco gelassen. Nachdem er sich erstmal seitenlang drüber beschwert hatte, dass ich kein AAA New Model verwende kam er zum Memory Dump. Das einzig leserliche was er brachte war "Crash caused by a software defect" und eine Liste mit IOS Versionen, seit denen potentielle Fehler für mein Problem gefixt sein sollen - allesamt älter als das aktuelle IOS. Falls es also kein Hardwaredefekt ist und die Speicheranforderungen auf der Cisco HP fürs IOS korrekt sind muss es ein Bug im IOS sein, um den Cisco sich bislang nicht gekümmert hat. Schade, denn so wies momentan ist scheint das onboard Cryptomudel des 1841 schlicht unbenutzbar zu sein... :( Zitieren Link zu diesem Kommentar
michael01 10 Geschrieben 29. März 2006 Melden Teilen Geschrieben 29. März 2006 Hattest Du schon das neues IOS drauf ? Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 29. März 2006 Melden Teilen Geschrieben 29. März 2006 Hi, du könntest mal prüfen, was der verfügbare arbeitsspeicher mach (ob der stetig abnimmt, möglicherweise ein Problem, daß allocierter Speicher nicht wieder freigegeben wird-->wenn ja, dann neues IOS würde ich sagen... Gruss rob Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 29. März 2006 Melden Teilen Geschrieben 29. März 2006 Du schreibst du hast 12.3 und 12.4 benutzt? Welche genau? Also ich les hier bei 12.3er Caveats noch so einiges: http://www.cisco.com/en/US/customer/products/sw/iosswrel/ps5413/prod_release_note09186a008048e14f.html#wp71219 Resolved Caveats - Cisco IOS Release 12.3(14)YT1 CSCeh35823 Symptoms: When a router detects "invalid identity" failures while decrypting IPsec packets, a memory leak occurs for the packet memory associated with the failed packets. Conditions: This symptom is observed only when an "invalid identity" error occurs, which is an uncommon error that indicates that the originating router does not send packets according to what was originally negotiated. However, if there is another error that causes a "bad" decryption, the packet could be invalid and may also cause the symptom to occur. Workaround: There is no workaround. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 30. März 2006 Melden Teilen Geschrieben 30. März 2006 Das hier hab ich grad gefunden .. kannt ich bisher nich .. sieht ganz nett aus: http://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi Zitieren Link zu diesem Kommentar
maho 10 Geschrieben 30. März 2006 Melden Teilen Geschrieben 30. März 2006 Mir ist ein C1841 mit Digital 2MS Konfig. gecrashed. Das war mit IOS c1841-ipbasek9-mz.124-7.bin Mit IOS c1841-ipbasek9-mz.124-5a.bin läuft der Router seit einigen Wochen stabil. Maho Zitieren Link zu diesem Kommentar
Moepi 10 Geschrieben 30. März 2006 Autor Melden Teilen Geschrieben 30. März 2006 Also das IOS ist ein 12.4(7) Advanced IP Services. Bisher ist mit allen IOS Versionen dasselbe Problem aufgetreten. Dass ihm der Speicher ausgeht (selbst wenn Teile nicht mehr korrekt freigegeben werden), kann nicht sein, da die Kiste bereits nach wenigen KB IPSec Verkehr crasht - zu wenig, als dass ihm seine 128MB nicht reichen könnten... Bin langsam echt ratlos mit der Kiste... /EDIT: Haltet Euch jetzt bitte fest worans lag. Aber davor verleihe ich den Titel des Dümmsten Anzunehmenden Administrators (kurz DAA) noch an mich: Ich hatte die IPSec Crypto Map auf das Tunnel 0 Interface gebunden. Ergo hat er mir erst nach der IPSec Verschlüsselung die GRE Encapsulation gemacht - und ich hab mich schong ewundert warum meine Crypto Map "permit gre host ..." net fruchtet. Das war auch der Grund warum die IPSec Verbindung insgesamt eher selten und wenn nur instabil zustande kam. Seitdem ich die Crypto Maps jetzt angepasst und auf die Dialer Interfaces gelegt habe, läuft alles bestens - das Crypto Modul des 1841 eingeschlossen. Der Gute hat sich wohl an meiner himmelschreienden Falschkonfiguration verschluckt... Neue Signatur: "Jeder is mal DAA :D" Danke Euch für Euere Tips!! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.