Probleme mit DMVPN Brauche Hilfe

[Netzwerker]

Hallo Leute,

ich hab ein dickes Problem. Ich versuche mich zur Zeit an DMVPN. Allerdings möchte ich den Client mit einer festen IP-Adresse versehen.
Anbei mal die Config für Hub and Spoke.
Ziel ist es ein Sopke to Sopke Model zu realisieren mit Single Tier Headend Architectur.

Ich möchte keinen Presharekey verwenden sondern eine Pki. Die läuft auf einem seperaten Server.

Ich hoffe ihr könnt mir helfen, da ich auf dem Gebiet nicht sehr fit bin.

Danke und Gruß


Config Hub:

crypto pki trustpoint server
 enrollment terminal
 revocation-check crl
!
!
crypto pki certificate chain server
 certificate 10
  ........
  quit
 

certificate ca 01
  .............
  quit
!
!
!
crypto isakmp policy 10
 encr 3des
!
!
crypto ipsec transform-set verschlueselung_hub esp-3des esp-sha-hmac
!
crypto ipsec profile DMVPN
 set transform-set verschlueselung_hub
!
!
!
!
interface Tunnel0
 bandwidth 1984
 ip address 10.10.10.10 255.255.255.0
 no ip redirects
 ip nhrp authentication DMVPN
 ip nhrp map 10.10.10.10 192.168.110.10
 ip nhrp network-id 1234
 ip nhrp holdtime 600
 ip nhrp nhs 10.10.10.10
 ip ospf network broadcast
 ip ospf hello-interval 30
 ip ospf priority 200
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 123456
 tunnel protection ipsec profile DMVPN
!
interface FastEthernet0/0
 description outside
 ip address 192.168.110.10 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description inside
 ip address 192.168.5.1 255.255.255.0
 duplex auto
 speed auto
!
router ospf 10
 log-adjacency-changes
 area 1 stub no-summary
 redistribute connected
 redistribute static
 network 10.10.10.0 0.0.0.255 area 1
 network 192.168.110.0 0.0.0.255 area 1
!
ip classless
!
!
ip http server
no ip http secure-server



Config Spoke:

crypto pki trustpoint server
 enrollment terminal
 revocation-check crl
!
!
crypto pki certificate chain server
 certificate 07
  .......
 

  quit


 certificate ca 01
  ...........
 

  quit
!
!
!
crypto isakmp policy 10
 encr 3des
!
!
crypto ipsec transform-set verschluesselung_spoke1 esp-3des esp-sha-hmac
!
crypto ipsec profile DMVPN
 set transform-set verschluesselung_spoke1
!
!
!
!
!
interface Tunnel0
 bandwidth 1984
 ip address 10.10.10.1 255.255.255.0
 no ip redirects
 ip nhrp authentication DMVPN
 ip nhrp map 10.10.10.10 192.168.110.10
 ip nhrp map multicast 192.168.110.10
 ip nhrp network-id 1234
 ip nhrp holdtime 600
 ip nhrp nhs 10.10.10.10
 ip ospf network broadcast
 ip ospf hello-interval 30
 ip ospf priority 0
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 123456
 tunnel protection ipsec profile DMVPN
!
interface FastEthernet0/0
 description Outside
 ip address 192.168.110.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description Inside
 ip address 192.168.0.1 255.255.255.0
 duplex auto
 speed auto
!
router ospf 10
 log-adjacency-changes
 area 1 stub no-summary
 network 10.10.10.0 0.0.0.255 area 1
 network 192.168.110.0 0.0.0.255 area 1
!
ip classless
!

[#9370]

Wo genau ist das Problem?


Anmerkungen:
* Wie viele Spokes hast du geplant, da OSPF für größere Installationen nicht zu empfehlen ist.
* Bevor du mit Zertifikaten anfängst, würde ich das Setup mit Pre-shared Keys probieren, denn dann bleibt das ganze überschaubar. Wenn das dann funktioniert, dann kannst du ohne weiteres auf Zertifikate umbauen.

/#9370

[Netzwerker]

Hallo /#9370,

danke für deine schnelle Antwort

Das Problem ist, dass nichts durch den Tunnel geht. Weder vom Hub zum Spoke noch umgekehrt. Sobald ich beim Hub den Befehl tunnel protection ipsec profile DMVPN eingebe, geht der Tunnel im Hub auf Reset.

Ich weiß nicht ob meine Config richtig ist.
Ich hab mich dabei an den Desgin Guide von Cisco gehalten. Leider geht man dort von dynamischen IP-Adressen auf der Spoke-Seite aus, was ich nicht möchte.

Das Endergebnis soll so wie auf dem Bild aussehen, 2 Hubs und mindest. an die 100 Spokes. Problematisch ist es, da auf den Produktivroutern schon OSPF läuft.

Wie würde der Weg dann von den Preshared keys zu den Zertifikaten aussehen?

Wenn man die Verschlüsselung aktiviert, kann man dann einen Mischbetrieb fahren? Also praktisch die „normalen“ Router die nicht verschlüsseln nach und nach zu Spokes machen
Danke+Gruß

http://rapidshare.de/files/39912562/Bild.bmp.html

[Otaku19]

Anmerkungen:
* Wie viele Spokes hast du geplant, da OSPF für größere Installationen nicht zu empfehlen ist.

was statt dessen ? EIGRP ?

[Netzwerker]

Anmerkungen:
* Wie viele Spokes hast du geplant, da OSPF für größere Installationen nicht zu empfehlen ist.

was statt dessen ? EIGRP ?

Ja, im Designguide empfiehlt Cisco Eigrp

[#9370]

Das Endergebnis soll so wie auf dem Bild aussehen, 2 Hubs und mindest. an die 100 Spokes. Problematisch ist es, da auf den Produktivroutern schon OSPF läuft.

das solltest du noch einmal überdenken, da Areas > 70-100 Router nicht empfohlen werden

Ich hab mich dabei an den Desgin Guide von Cisco gehalten. Leider geht man dort von dynamischen IP-Adressen auf der Spoke-Seite aus, was ich nicht möchte.

das ist egal, ob dynamische oder statische IPs verwendet werden

Wie würde der Weg dann von den Preshared keys zu den Zertifikaten aussehen?

Testumgebung aufsetzen und die Config mit Pre-shared Keys testen. In der Produktivumgebung würde ich nie zum Testen beginnen, da man nie weiß. Wenn der Test dann mit den Pre-shared keys erfolgreich ist, dann mit Zertifikaten beginnen. Für den Test werden nur ein Hub und zwei Spokes benötigt.

Wenn man die Verschlüsselung aktiviert, kann man dann einen Mischbetrieb fahren? Also praktisch die „normalen“ Router die nicht verschlüsseln nach und nach zu Spokes machen

kann man. Aber wie gesagt, der Test sollte im Lab und nicht in der Produktivumgebung stattfinden.

Aber nun zum eigentlichen Problem:
Die Config sollte soweit passen. Der nächste Schritt wäre den Verbindungsaufbau auf beiden Seiten zu debuggen:

Code:

debug dmvpn
debug nhrp
debug crypto isakmp
...

Mit den dubugs können wir dann vielleicht auch mehr sagen.

/#9370

[Netzwerker]

das solltest du noch einmal überdenken, da Areas > 70-100 Router nicht empfohlen werden

Was wäre eine Alternative? Bis zu vielen Router kann man gehen?

Evtl. könnte man es aber auch so realisieren: http://rapidshare.de/files/39920011/Bild2.bmp.html

das ist egal, ob dynamische oder statische IPs verwendet werden

Dann muß aber der branch doch anders konfiguiert werden,oder?

Testumgebung aufsetzen und die Config mit Pre-shared Keys testen. In der Produktivumgebung würde ich nie zum Testen beginnen, da man nie weiß. Wenn der Test dann mit den Pre-shared keys erfolgreich ist, dann mit Zertifikaten beginnen. Für den Test werden nur ein Hub und zwei Spokes benötigt.

Ist klar,hab ich schon so aufgesetzt. Momentan aber nur mit einem Spoke,da ich den noch nit zum Laufen bekommen hab ^^
Aber wie kommt man dann von den Presharedkeys zur Pki?

Aber nun zum eigentlichen Problem:
Die Config sollte soweit passen. Der nächste Schritt wäre den Verbindungsaufbau auf beiden Seiten zu debuggen:

Ok,mache ich am Montag.Sobald ich die Ergebnisse des Debugs hab, werde ich die hier posten. Danach werde ich die Geschichte mit den Pre-shared Keys probieren, also die alte config löschen.

Danke für deine Hilfe

Gruß

[#9370]

Was wäre eine Alternative? Bis zu vielen Router kann man gehen?

EIGRP

Evtl. könnte man es aber auch so realisieren: http://rapidshare.de/files/39920011/Bild2.bmp.html

Das wäre eher das Setup, wenn man mit einem Hub Pärchen nicht mehr auskommt (Performance)

Dann muß aber der branch doch anders konfiguiert werden,oder?

Nein, da es der Zentrale ja egal sein kann, mit welcher IP die Außenstelle daherkommt

Aber wie kommt man dann von den Presharedkeys zur Pki?

Verschiedene ISAKMP Policies am Hub verwenden. Am Spoke dann die entsprechende Policy aktivieren...

Ok,mache ich am Montag.Sobald ich die Ergebnisse des Debugs hab, werde ich die hier posten. Danach werde ich die Geschichte mit den Pre-shared Keys probieren, also die alte config löschen.

Wenn jetzt eh ein Spoke funktioniert, kannst du ja da weitermachen. Was hast du verändert? Vielleicht brauchst du die Debugs gar nicht mehr.

/#9370

[Netzwerker]

EIGRP

Ok,das ließe sich einrichten. Dachte das Modell würde sich nur bis zu 100 Spokes eignen.

Das wäre eher das Setup, wenn man mit einem Hub Pärchen nicht mehr auskommt (Performance)

Ok, das hat sich eigentlich dann schon durch vorherige Antwort geklärt.

Wenn jetzt eh ein Spoke funktioniert, kannst du ja da weitermachen. Was hast du verändert? Vielleicht brauchst du die Debugs gar nicht mehr.

Da haben wir uns falsch verstanden. Ich hab den 2ten Spoke noch nicht in Betrieb, da ich den Tunnel zwischen dem Hub und dem 1ten Spoke noch nicht zum Laufen gebracht hab.

thx&Gruß

[#9370]

Ok,das ließe sich einrichten. Dachte das Modell würde sich nur bis zu 100 Spokes eignen.

Die Large Scale DMVPN Variante ist eigentlich immer mit EIGRP, da man mit OSPF zu viele Einschränkungen hat.

Da haben wir uns falsch verstanden. Ich hab den 2ten Spoke noch nicht in Betrieb, da ich den Tunnel zwischen dem Hub und dem 1ten Spoke noch nicht zum Laufen gebracht hab.

ok - dann warten wir mal auf die Debugs...

/#9370

[Netzwerker]

debug dmvpn

Der Befehl geht nicht, weder auf dem Hub noch dem Spoke.

Das Debuggen auf dem Hub hat nix gebracht, da dort keine Meldungen erschienen sind.

Beim Debuggen auf dem Spoke kam folgendes heraus:

Code:

*Jul  7 06:03:27.583: NHRP: Attempting to send packet via DEST 10.10.10.10
*Jul  7 06:03:27.583: NHRP: Encapsulation succeeded.  Tunnel IP addr 192.168.110.10
*Jul  7 06:03:27.583: NHRP: Send Registration Request via Tunnel0 vrf 0, packet size: 81
*Jul  7 06:03:27.583:       src: 10.10.10.1, dst: 10.10.10.10
*Jul  7 06:03:27.583: NHRP: 81 bytes out Tunnel0
*Jul  7 06:03:27.583: NHRP: Resetting retransmit due to hold-timer for 10.10.10.10
*Jul  7 06:03:27.583: ISAKMP: received ke message (1/1)
*Jul  7 06:03:27.583: ISAKMP:(0:0:N/A:0): SA request profile is (NULL)
*Jul  7 06:03:27.583: ISAKMP: Created a peer struct for 192.168.110.10, peer port 500
*Jul  7 06:03:27.583: ISAKMP: New peer created peer = 0x654B5078 peer_handle = 0x80000009
*Jul  7 06:03:27.583: ISAKMP: Locking peer struct 0x654B5078, IKE refcount 1 for isakmp_initiator
*Jul  7 06:03:27.583: ISAKMP: local port 500, remote port 500
*Jul  7 06:03:27.583: ISAKMP: set new node 0 to QM_IDLE
*Jul  7 06:03:27.583: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 648A7FD8
*Jul  7 06:03:27.583: ISAKMP:(0:0:N/A:0):Can not start Aggressive mode, trying Main mode.
*Jul  7 06:03:27.583: ISAKMP:(0:0:N/A:0):Looking for a matching key for 192.168.110.10 in default
*Jul  7 06:03:27.583: ISAKMP:(0:0:N/A:0):No pre-shared key with 192.168.110.10!
*Jul  7 06:03:27.587: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-07 ID
*Jul  7 06:03:27.587: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-03 ID
*Jul  7 06:03:27.587: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-02 ID
*Jul  7 06:03:27.587: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
*Jul  7 06:03:27.587: ISAKMP:(0:0:N/A:0):Old State = IKE_READY  New State = IKE_I_MM1
*Jul  7 06:03:27.587: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange
*Jul  7 06:03:27.587: ISAKMP:(0:0:N/A:0): sending packet to 192.168.110.10 my_port 500 peer_port 500 (I) MM_NO_STATE
*Jul  7 06:03:37.587: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE...
*Jul  7 06:03:37.587: ISAKMP (0:0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
*Jul  7 06:03:37.587: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE
*Jul  7 06:03:37.587: ISAKMP:(0:0:N/A:0): sending packet to 192.168.110.10 my_port 500 peer_port 500 (I) MM_NO_STATE
*Jul  7 06:03:47.587: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE...
*Jul  7 06:03:47.587: ISAKMP (0:0): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
*Jul  7 06:03:47.587: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE
*Jul  7 06:03:47.587: ISAKMP:(0:0:N/A:0): sending packet to 192.168.110.10 my_port 500 peer_port 500 (I) MM_NO_STATE
*Jul  7 06:03:57.583: ISAKMP: received ke message (1/1)
*Jul  7 06:03:57.583: ISAKMP: set new node 0 to QM_IDLE
*Jul  7 06:03:57.583: ISAKMP:(0:0:N/A:0):SA is still budding. Attached new ipsec request to it. (local 192.168.110.1, remote

192.168.110.10)
*Jul  7 06:03:57.587: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE...
*Jul  7 06:03:57.587: ISAKMP (0:0): incrementing error counter on sa, attempt 3 of 5: retransmit phase 1
*Jul  7 06:03:57.587: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE
*Jul  7 06:03:57.587: ISAKMP:(0:0:N/A:0): sending packet to 192.168.110.10 my_port 500 peer_port 500 (I) MM_NO_STATE
Jul  7 06:04:07.587: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE...
*Jul  7 06:04:07.587: ISAKMP (0:0): incrementing error counter on sa, attempt 4 of 5: retransmit phase 1
*Jul  7 06:04:07.587: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE
*Jul  7 06:04:07.587: ISAKMP:(0:0:N/A:0): sending packet to 192.168.110.10 my_port 500 peer_port 500 (I) MM_NO_STATE
*Jul  7 06:04:07.911: ISAKMP:(0:0:N/A:0):purging node -104277600
*Jul  7 06:04:07.911: ISAKMP:(0:0:N/A:0):purging node -478186303
Jul  7 06:04:17.587: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE...
*Jul  7 06:04:17.587: ISAKMP (0:0): incrementing error counter on sa, attempt 5 of 5: retransmit phase 1
*Jul  7 06:04:17.587: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE
*Jul  7 06:04:17.587: ISAKMP:(0:0:N/A:0): sending packet to 192.168.110.10 my_port 500 peer_port 500 (I) MM_NO_STATE
*Jul  7 06:04:17.911: ISAKMP:(0:0:N/A:0):purging SA., sa=64C1F0B4, delme=64C1F0B4
*Jul  7 06:04:23.267: NHRP: Setting retrans delay to 64 for nhs  dst 10.10.10.10
*Jul  7 06:04:23.267: NHRP: Attempting to send packet via DEST 10.10.10.10
*Jul  7 06:04:23.267: NHRP: Encapsulation succeeded.  Tunnel IP addr 192.168.110.10
*Jul  7 06:04:23.267: NHRP: Send Registration Request via Tunnel0 vrf 0, packet size: 81
*Jul  7 06:04:23.267:       src: 10.10.10.1, dst: 10.10.10.10
*Jul  7 06:04:23.267: NHRP: 81 bytes out Tunnel0
*Jul  7 06:04:27.583: ISAKMP: received ke message (3/1)
*Jul  7 06:04:27.583: ISAKMP:(0:0:N/A:0):peer does not do paranoid keepalives.
*Jul  7 06:04:27.583: ISAKMP:(0:0:N/A:0):deleting SA reason "P1 delete notify (in)" state (I) MM_NO_STATE (peer

192.168.110.10)
*Jul  7 06:04:27.583: ISAKMP:(0:0:N/A:0):deleting SA reason "P1 delete notify (in)" state (I) MM_NO_STATE (peer

192.168.110.10)
*Jul  7 06:04:27.583: ISAKMP: Unlocking IKE struct 0x654B5078 for isadb_mark_sa_deleted(), count 0
*Jul  7 06:04:27.583: ISAKMP: Deleting peer node by peer_reap for 192.168.110.10: 654B5078
*Jul  7 06:04:27.583: ISAKMP:(0:0:N/A:0):deleting node 1289957741 error FALSE reason "IKE deleted"
*Jul  7 06:04:27.583: ISAKMP:(0:0:N/A:0):deleting node 1945736951 error FALSE reason "IKE deleted"
*Jul  7 06:04:27.583: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Jul  7 06:04:27.583: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1  New State = IKE_DEST_SA
*Jul  7 06:04:47.911: ISAKMP: received ke message (1/1)
*Jul  7 06:04:47.911: ISAKMP:(0:0:N/A:0): SA request profile is (NULL)
*Jul  7 06:04:47.911: ISAKMP: Created a peer struct for 192.168.110.10, peer port 500
*Jul  7 06:04:47.911: ISAKMP: New peer created peer = 0x654B5078 peer_handle = 0x8000000A
*Jul  7 06:04:47.911: ISAKMP: Locking peer struct 0x654B5078, IKE refcount 1 for isakmp_initiator
*Jul  7 06:04:47.911: ISAKMP: local port 500, remote port 500
*Jul  7 06:04:47.911: ISAKMP: set new node 0 to QM_IDLE
*Jul  7 06:04:47.911: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 64C1F0B4
*Jul  7 06:04:47.911: ISAKMP:(0:0:N/A:0):Can not start Aggressive mode, trying Main mode.
*Jul  7 06:04:47.911: ISAKMP:(0:0:N/A:0):Looking for a matching key for 192.168.110.10 in default
*Jul  7 06:04:47.911: ISAKMP:(0:0:N/A:0):No pre-shared key with 192.168.110.10!
*Jul  7 06:04:47.911: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-07 ID
*Jul  7 06:04:47.911: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-03 ID
*Jul  7 06:04:47.911: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-02 ID
*Jul  7 06:04:47.911: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
*Jul  7 06:04:47.911: ISAKMP:(0:0:N/A:0):Old State = IKE_READY  New State = IKE_I_MM1
 

Hoffe das hilft was.

thx&gruß

[#9370]

beim "debug dmvpn" müsste es noch ein paar Unterüpunkte geben -> "debug dmvpn ?"

Der isakmp debug sagt aus, dass der IKE Verbindungsaufbau scheitert. Der Router meckert, dass kein pre-shared key gefunden wurde. Probier es mal mit pre-shared keys...

/#9370

[Netzwerker]

Hallo /#9370,

er bietet beim debug ? überhaupt kein dmvpn an. IOS-Stand ist Version 12.4(3g)

Hab es jetzt mit pre-shared keys probiert. Auch hier funktioniert es nicht. Es ist zum Verzweifeln.

Hier mal die Config:


Hub:
---------

crypto isakmp policy 10
 encr 3des
 authentication pre-share
crypto isakmp key 6 cisco address 192.168.110.2
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set verschluesselung esp-3des esp-sha-hmac
!
crypto ipsec profile dmvpn
 set security-association lifetime seconds 120
 set transform-set verschluesselung
!
!
!
!
interface Tunnel0
 bandwidth 1984
 ip address 10.10.10.1 255.255.255.0
 no ip redirects
 ip nhrp map multicast dynamic
 ip nhrp map 10.10.10.1 192.168.110.1
 ip nhrp network-id 12345
 ip nhrp holdtime 600
 ip nhrp nhs 192.168.110.1
 ip ospf network broadcast
 ip ospf hello-interval 30
 ip ospf priority 200
 tunnel source 192.168.110.1
 tunnel mode gre multipoint
!
interface FastEthernet0/0
 description Outside
 ip address 192.168.110.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description Inside
 ip address 192.168.5.254 255.255.255.0
 duplex auto
 speed auto
!
router ospf 10
 log-adjacency-changes
 area 1 stub no-summary
 network 10.10.10.0 0.0.0.255 area 1
!
ip classless
!
!
ip http server
no ip http secure-server



Spoke:
------

crypto isakmp policy 10
 encr 3des
 authentication pre-share
crypto isakmp key 6 cisco address 192.168.110.1
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set verschluesselung esp-3des esp-sha-hmac
!
crypto ipsec profile dmvpm
 set transform-set verschluesselung
!
crypto ipsec profile dmvpn
 set security-association lifetime seconds 120
!
!
!
!
interface Tunnel0
 bandwidth 1984
 ip address 10.10.10.2 255.255.255.0
 no ip redirects
 ip nhrp map 10.10.10.1 192.168.110.1
 ip nhrp map multicast 192.168.110.1
 ip nhrp network-id 12345
 ip nhrp holdtime 600
 ip nhrp nhs 192.168.110.1
 ip ospf network broadcast
 ip ospf hello-interval 30
 ip ospf priority 0
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
!
interface FastEthernet0/0
 description Outside
 ip address 192.168.110.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description inside
 ip address 192.168.0.254 255.255.255.0
 duplex auto
 speed auto
!
router ospf 10
 log-adjacency-changes
 area 1 stub no-summary
 network 10.10.10.0 0.0.0.255 area 1
!
ip classless
!
!
ip http server
no ip http secure-server
!



Debug crypto isakmp und nhrp bringt auf dem Hub und dem Spoke folgendes:

*Jul  7 08:17:52.899: NHRP: Setting retrans delay to 64 for nhs  dst 192.168.110.1
*Jul  7 08:17:52.899: NHRP: Attempting to send packet via DEST 192.168.110.1
*Jul  7 08:17:52.899: NHRP: Pak out FastEthernet0/0 would leave logical NBMA network


Hast du ne Ahnung, wo es jetzt schon wieder kleommt??

thx&gruß

[#9370]

IOS-Stand ist Version 12.4(3g)

würde ich auf alle Fälle upgraden

Debug crypto isakmp und nhrp bringt auf dem Hub und dem Spoke folgendes:

Schwer zu sagen, denn viel steht niocht drinnen - hat der debug cry isak keinen Output gezeigt?

/#9370

[Netzwerker]

würde ich auf alle Fälle upgraden

Ok

hat der debug cry isak keinen Output gezeigt?

Nee, hab cry isak debuggt& nhrs. Als Ausagbe ist nur das v Nhrp gekommen.

Stimmt überhaupt die neue config von Hub und Spoke??

Ich kann die Lan-If vom jeweils anderen Netz nicht anpingen.