DMVPN, топология стандартная: хаб+спок, но 2 различных спока находятся за одним натом (PAT), crypto isakmp в таком случае не умеет распознавать ike сессии от разных клиентов, т.к. пакеты isakmp сессии приходят в разных QM-"состояниях" c одного и того же внешнего адреса. хаб начинает "путаться" и в итоге ipsec ведет себя не предсказуемо, может установиться с одним из споков, затем развалиться, установиться с другим.. итд..

солюшен - перевести идентити с адресов на хостнеймы:
crypto isakmp identity hostname

соответственно, нужно добавить хостов, для резолвинга:
ip host spoke1 x.x.x.x
ip host spoke2 x.x.x.x
ip host spoke3 z.z.z.z

итд.

команда глобальная, затрагивает настройки идентити всех споков,
если у какого либо спока меняется внешний адрес - необходимо руками править строчку ip host.
динамическое разруливание не работает - гибкость настройки потеряна.

вот такая вот байда.

мож ddns можно как-то задействовать в этом?

при crypto isakmp identity hostname прописываешь уже не address, а hostname у _всех_ crypto key .... ? или они могут работать как по hostname, так и по address при прописанной этой директиве?

мож ddns можно как-то задействовать в этом?

при crypto isakmp identity hostname прописываешь уже не address, а hostname у _всех_ crypto key .... ? или они могут работать как по hostname, так и по address при прописанной этой директиве?

dyndns - это понятно, но не серьезно.

при ide hostname запросы isakmp сессии в id payload, вида:

May 21 12:36:00.657: ISAKMP (0:268438895): ID payload
next-payload : 8
type : 2
FQDN name : chita.xxx.ru
protocol : 17
port : 500
length : 27

у всех, в том то и дело,
т.к. команда глобальная, затрагивается сразу все айки клиенты..