3
IPSec Site to Site tunnel send errors
Hallo,
ich habe einen existierenden Site to Site Tunnel durch den mehrere Netze gehen . Tunnel ist auch in Ordnung
Aber mit einem Netz habe ich eine Problem.
auf die IP 10.170.173.217 läuft ein dauerping
Eigentlich sollte der counter für
#pkts encaps
die Pakete hochzählen....
tut er aber nicht... .
aber der Zähler für #send errors
zählt hoch ....
Da der #send errors counter hoch zählt weiß ich das die Pakete am Tunnel ankommen, aber wieso werden die als send errors gezählt?
Und wo setze ich an?
brammer
ich habe einen existierenden Site to Site Tunnel durch den mehrere Netze gehen . Tunnel ist auch in Ordnung
Aber mit einem Netz habe ich eine Problem.
xxxxxxxxx001#sh cry ipsec sa peer xxx.xxx.xxx.xxx | beg 10.170.173.217
remote ident (addr/mask/prot/port): (10.170.173.217/255.255.255.255/0/0)
current_peer xxx.xxx.xxx.xxx port 500
PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
**#pkts encaps: 0, **#pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
**#send errors 1863**, #recv errors 0auf die IP 10.170.173.217 läuft ein dauerping
Eigentlich sollte der counter für
#pkts encaps
die Pakete hochzählen....
tut er aber nicht... .
aber der Zähler für #send errors
zählt hoch ....
Da der #send errors counter hoch zählt weiß ich das die Pakete am Tunnel ankommen, aber wieso werden die als send errors gezählt?
Und wo setze ich an?
brammer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 395031
Url: https://administrator.de/contentid/395031
Printed on: April 16, 2024 at 06:04 o'clock
3 Comments
Latest comment
Sieht ja etwas nach Cisco aus... 
Möglich das die ACL nicht stimmt die den Traffic für diesen Tunnel klassifiziert. Hast du das mal geprüft ? Gilt auch für die remote Seite.
MTU kommt einem da auch in den Sinn.
Der Tunnel selber kommt ja problemlos zustande, oder gibts da Auffälligkeiten im Log ?
Möglich das die ACL nicht stimmt die den Traffic für diesen Tunnel klassifiziert. Hast du das mal geprüft ? Gilt auch für die remote Seite.
MTU kommt einem da auch in den Sinn.
Der Tunnel selber kommt ja problemlos zustande, oder gibts da Auffälligkeiten im Log ?
Hallo ,
@aqui
in dem Tunnel sind diverse Netze. die sind erreichbar.
MTU Size sollte daher kein Thema sein.
die ACL zählt meine Ping suaber mit hoch... der #send errors geht parallel dazu hoch....
Und ja ... natürlich Cisco.... Gegenseite übrigens auch
Ich vermute das die ACL auf der Gegenseite das Problem ist.
Wenn auf der Gegenseite das Netz unbekannt ist wird encaps pkts nicht hochzählen können da die Gegenseite das Packet verwirft und auf meiner Seite geht dadurch #send errors hoch...
aber gegenüber der Dienstleister ist im Wochenende....
brammer
@aqui
in dem Tunnel sind diverse Netze. die sind erreichbar.
MTU Size sollte daher kein Thema sein.
die ACL zählt meine Ping suaber mit hoch... der #send errors geht parallel dazu hoch....
xxxxxxxxxr001#sh access-lists | inc 10.170.173.217
970 permit ip 192.168.216.0 0.0.7.255 host 10.170.173.217 (114916 matches)
xxxxxxxxx001#sh access-lists | inc 10.170.173.217
970 permit ip 192.168.216.0 0.0.7.255 host 10.170.173.217 (114918 matches)
xxxxxxxxx001#sh access-lists | inc 10.170.173.217
970 permit ip 192.168.216.0 0.0.7.255 host 10.170.173.217 (115035 matches)
xxxxxxxxx001#Und ja ... natürlich Cisco.... Gegenseite übrigens auch
Ich vermute das die ACL auf der Gegenseite das Problem ist.
Wenn auf der Gegenseite das Netz unbekannt ist wird encaps pkts nicht hochzählen können da die Gegenseite das Packet verwirft und auf meiner Seite geht dadurch #send errors hoch...
aber gegenüber der Dienstleister ist im Wochenende....
brammer
Ja, denke ich auch. Checke die Gegenseite mal. Da landet einseitg irgendwas im Tunnel was die andere Seite nicht mag.