25.01.2014, aktualisiert am 28.01.2014 um 13:07:17 Uhr

12488

Abbruch eines Site to Site VPN Tunnel zw. zwei Cisco ASA 5505

Hallo Community,

ich habe eine Problem mit einem Site to Site VPN Tunnel.

Zw. zwei Standorten kommt es nach ca. 24 Stunden zum Abbruch des Site to Site VPN Tunnels. Dieser wird zw. zwei baugleichen Cisco ASA 5505 (50 Hosts) betrieben.
Die Kommunikation zw. zwei Standorten funktioniert an sich problemlos in beide Richtungen. Nach dem Abbruch wird der Tunnel nicht mehr aufgebaut. Im Log werden nach einiger Zeit folgende Meldungen protokolliert, sobald ich den Aufbau des Tunnels mit einem Ping anstoße:

1: Jan 25 2014 | 16:52:16 Local:111.111.111.111:500 Remote:222.222.222.222:500 Username:222.222.222.222 Negotiation aborted due to ERROR: Maximum number of retransmissions reached

2: Jan 25 2014 | 16:52:16 IKEv2 was unsuccessful at setting up a tunnel. Map Tag = outside_map. Map Sequence Number = 1.

3: Jan 25 2014 | 16:52:16 Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv1 after a failed attempt.. Map Tag = outside_map. Map Sequence Number = 1.

Einige Momente später wird dann protokolliert:

4: Jan 25 2014 | 17:22:48 IKEv1 was unsuccessful at setting up a tunnel. Map Tag = outside_map. Map Sequence Number = 1.

5: Jan 25 2014 | 17:22:48´Tunnel Manager has failed to establish an L2L SA. All configured IKE versions failed to establish the tunnel. Map Tag= outside_map. Map Sequence Number = 1.

Standort 111.111.111.111: VDSL
Standort 222.222.222.222: ADSL2+
Beide Standorte haben eine statische WAN IP-Adresse.

Mehrere IOS Updates an beiden Standorten (verschiedene Images in Version 8 sowie die aktuellste 9.1) haben keine Veränderung gebracht, auch der Tausch der ASAs nicht.

Google hat leider keine brauchbaren Ergebnisse zu den oben genannten Logs gebracht. Bei anderen Kunden sind auch Site to Site VPN Tunnel in Betrieb, mit gleicher Konfiguration, jedoch ohne dieses Problem. Auch ein Vergleich der Konfiguration zw. diesem und den anderen Kunden hat keine Unterschiede hervorgetan, bis auf notwendigen Unterschiede.
Dieses Problem ist bisher noch nirgends aufgetreten. Bei diesem Kunden hier allerdings sofort.

Hat jemand dazu eine Idee?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 227750

Url: https://administrator.de/contentid/227750

Ausgedruckt am: 19.11.2024 um 09:11 Uhr

17 Kommentare

Neuester Kommentar

kommt es nach ca. 24 Stunden zum Abbruch des Site to Site VPN Tunnels.

Das ist normal wenn du DSL mit der täglichen Zwangstrennung verwendest. Hast du das berücksichtigst ?

Nach dem Abbruch wird der Tunnel nicht mehr aufgebaut.

Das ist nicht normal und zeugt von einem Konfigurationsfehler in der ASA

Die Retransmissions zeigen das die eine Seite gar nicht da ist oder nicht antwortet. Da kann man ohne detailiertere Info hier nur stundelang im freien Fall raten...

Oft ist der Grund eine Router Kaskade, also wenn vor das ASA noch ein weiterer NAT Router ist ohne korrektes Port Forwarding für IPsec VPNs die deinen ASA macht (Ports UDP 500, UDP 4500, und ESP Protokoll)
An der IOS Firmware oder gar an der HW liegt das auch niemals. Die Tauscherei ist eher hilfloses Gefrickel und in der Regel sinnlos wie auch hier.
Der Fehler liegt irgendwo in der Konfig vermutlich aber im fehlerhaften Netzdesign einer der beiden Seiten oder sogar beider ?!
Ohne einen Konfig Auszug oder einer Designzeichnung oder Beschreibung ist einen zielführende Hilfe aber unmöglich.
Teilkonfigs und einige Grundlageninfos erklären diese Tutorials:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Cisco PIX Firewall IPsec VPN Tunnel auf pfsense Firewall
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Natürlich ist die Zwangstrennung normal. Das Problem ist jedoch, ich kann den Tunnel so oft manuell trennen wie ich möchte, trotzdem kann er immer wieder aufgebaut werden. Sobald jedoch die Zwangstrennung die Unterbrechung verursacht, lässt sich der Tunnel nicht mehr aufbauen, Fehlermeldung siehe oben.
Der Tunnel baut sich erst wieder auf, nachdem ich die ASA am Standort 111.111.111.111 neu starte. Danach steht der Tunnel wieder ohne Probleme.
Vor den ASAs hängt direkt das DSL Modem, einen weiteren Router gibt es nicht.

Standort 111.111.111.111: lokales Netz 192.168.0.0
VDSL Modem <-> ASA 5505

Standort 222.222.222.222: lokales Netz 192.168.2.0
ADSL Modem <-> ASA5505

Das Netz in dieser Form mit dem Site to Site Tunnel ist bei zig Kunden im Einsatz. Identische IOS Version, IKEv2, CryptoMaps usw. usf. Die Konfigurationen habe ich nebeneinander verglichen. Bis auf unterschiedliche Netze, PSKs, ACLs usw. ist alles identisch, insbesondere was den VPN Part betrifft.
Daher ist es auch so merkwürdig, dass nur hier dieses Problem auftritt. Dann greifst du zwangsläufig zu einer anderen IOS Version, um auch diese ausschließen zu können.

Hallo,

Zitat von @mcgiga:
ich kann den Tunnel so oft manuell trennen wie ich möchte, trotzdem kann er immer wieder aufgebaut werden

Das heisst doch das zu diesem Zeitpunkt deine entfernten Endpunkte den Routern dann noch bekannt sind.

Sobald jedoch die Zwangstrennung die Unterbrechung verursacht, lässt sich der Tunnel nicht mehr aufbauen,

DNS Probleme
DynDNS Probleme
IPs haben sich irgendwo geändert

nachdem ich die ASA am Standort 111.111.111.111 neu starte.

Siehe oben. Namens oder IP probleme bzw. nicht bekannt

Das Netz in dieser Form mit dem Site to Site Tunnel ist bei zig Kunden im Einsatz

Dann solltest du doch Verstehen das wir ohneIinformationen zu deinen Netzaufbau und Konfigurationen zwar mit dir gemeinsam heulen und weinen können, aber dir nicht wirklich helfen können.

Daher ist es auch so merkwürdig, dass nur hier dieses Problem auftritt

Na, weil da eben etwas anders bzw. Falsch ist.

Dann greifst du zwangsläufig zu einer anderen IOS Version, um auch diese ausschließen zu können.

Warum`Andere Standorte und netzen laufen doch mit den gleichen geräten und gleichen IOS Versionen ohen Probleme. Dann müssten die doch auch eben nicht gehen.

Gruß,
Peter

Es werden keine Namen verwendet, ebenso kein DynDNS. Es ändern sich auch keine IPs:

Standort 111.111.111.111:
ASA Version 8.4(4)
!
hostname ciscoasa
domain-name xxx
enable password xxx zh encrypted
passwd xxx zh encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
switchport access vlan 3
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group T-Com
ip address pppoe setroute
!
interface Vlan3
no forward interface Vlan1
nameif guestswlan
security-level 100
ip address 192.168.1.1 255.255.255.0
!
boot system disk0:/asa844-k8.bin
boot system disk0:/asa843-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name xxx
same-security-traffic permit inter-interface
object network Inside_Network-192.168.0.0
subnet 192.168.0.0 255.255.255.0
object network RAVPN_Hosts-192.168.10.0
subnet 192.168.10.0 255.255.255.0
object network obj-192.168.0.0-01
subnet 192.168.0.0 255.255.255.0
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network obj-0.0.0.0
host 0.0.0.0
object network Guestswlan_Network-192.168.1.0
subnet 192.168.1.0 255.255.255.0
object network obj-192.168.1.0-01
subnet 192.168.1.0 255.255.255.0
object network obj_any-01
subnet 0.0.0.0 0.0.0.0
object network VoIP-xxx
host xxx
object network Remote-Network-192.168.2.0
subnet 192.168.2.0 255.255.255.0
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list outside_access_out remark NTP
access-list outside_access_out extended permit udp any any eq ntp
access-list outside_access_out remark FTP
access-list outside_access_out extended permit tcp any any eq ftp
access-list outside_access_out remark Remote VPN
access-list outside_access_out extended permit udp any any eq 1701
access-list outside_access_out remark Remote VPN
access-list outside_access_out extended permit udp any any eq isakmp
access-list outside_access_out remark Remote VPN
access-list outside_access_out extended permit udp any any eq 4500
access-list outside_access_out remark POP3
access-list outside_access_out extended permit tcp any any eq pop3
access-list outside_access_out remark SMTP
access-list outside_access_out extended permit tcp any any eq smtp
access-list outside_access_out remark HTTP
access-list outside_access_out extended permit tcp any any eq www
access-list outside_access_out remark HTTPS
access-list outside_access_out extended permit tcp any any eq https
access-list outside_access_out remark Domain
access-list outside_access_out extended permit udp any any eq domain
access-list outside_access_out remark IMAP
access-list outside_access_out extended permit tcp any any eq imap4
access-list outside_access_out remark VoIP - SIP, RTP etc.
access-list outside_access_out extended permit object-group TCPUDP any xxx 255.255.248.0 range 1 65535
access-list outside_access_out remark Virtuelles Fax
access-list outside_access_out extended permit object-group TCPUDP any any eq 4559
access-list outside_access_out remark IMAP over SSL
access-list outside_access_out extended permit tcp any any eq 993
access-list outside_access_out remark Ping
access-list outside_access_out extended permit icmp any any
access-list outside_access_out remark Site-to-Site VPN Tunnel
access-list outside_access_out extended permit ip object Inside_Network-192.168.0.0 object Remote-Network-192.168.2.0
access-list outside_access_in remark Ping
access-list outside_access_in extended permit icmp any any
access-list inside_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list guestswlan_access_out remark HTTP
access-list guestswlan_access_out extended permit tcp any any eq www
access-list guestswlan_access_out remark HTTPS
access-list guestswlan_access_out extended permit tcp any any eq https
access-list guestswlan_access_out remark POP3
access-list guestswlan_access_out extended permit tcp any any eq pop3
access-list guestswlan_access_out remark SMTP
access-list guestswlan_access_out extended permit tcp any any eq smtp
access-list guestswlan_access_out remark IMAP
access-list guestswlan_access_out extended permit tcp any any eq imap4
access-list guestswlan_access_out remark Domain
access-list guestswlan_access_out extended permit udp any any eq domain
access-list RAVPN-Client_splitTunnelAcl extended permit ip 192.168.0.0 255.255.255.0 any
access-list outside_cryptomap extended permit ip 192.168.0.0 255.255.255.0 192.168.2.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu guestswlan 1500
ip local pool RAVPN 192.168.10.100-192.168.10.105 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any echo-reply outside
icmp permit any time-exceeded outside
icmp permit any unreachable outside
asdm image disk0:/asdm-649.bin
no asdm history enable
arp timeout 14400
nat (inside,outside) source static Inside_Network-192.168.0.0 Inside_Network-192.168.0.0 destination static RAVPN_Hosts-192.168.10.0 RAVPN_Hosts-192.168.10.0 no-proxy-arp route-lookup
nat (inside,outside) source static Inside_Network-192.168.0.0 Inside_Network-192.168.0.0 destination static Remote-Network-192.168.2.0 Remote-Network-192.168.2.0 no-proxy-arp route-lookup
!
object network Inside_Network-192.168.0.0
nat (inside,outside) dynamic interface
object network Guestswlan_Network-192.168.1.0
nat (guestswlan,outside) dynamic interface
access-group outside_access_in in interface outside
access-group outside_access_out out interface outside
access-group guestswlan_access_out out interface guestswlan
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.0.0 255.255.255.0 inside
http 192.168.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 20 set ikev1 transform-set ESP-AES-256-SHA TRANS_ESP_3DES_SHA
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 40 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 40 set ikev1 transform-set ESP-AES-256-SHA TRANS_ESP_3DES_SHA
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 60 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 60 set ikev1 transform-set ESP-AES-256-SHA TRANS_ESP_3DES_SHA
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer 222.222.222.222
crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map inside_map interface inside
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
crypto ikev1 enable inside
crypto ikev1 enable outside
crypto ikev1 policy 5
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 192.168.0.0 255.255.255.0 inside
telnet 192.168.10.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
management-access inside
vpdn group T-Com request dialout pppoe
vpdn group T-Com localname xxx

dhcpd auto_config outside
!
dhcpd address 192.168.0.10-192.168.0.25 inside
dhcpd dns 217.237.150.115 217.237.148.70 interface inside
dhcpd enable inside
!
dhcpd address 192.168.1.10-192.168.1.19 guestswlan
dhcpd dns 217.237.150.115 217.237.148.70 interface guestswlan
dhcpd enable guestswlan
!
threat-detection basic-threat
threat-detection statistics
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
ntp server 130.149.17.21 prefer
webvpn
enable outside
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
vpn-tunnel-protocol ikev1 l2tp-ipsec
ip-comp enable
re-xauth enable
secure-unit-authentication enable
user-authentication enable
user-authentication-idle-timeout none
group-policy RAVPN-Client internal
group-policy RAVPN-Client attributes
vpn-tunnel-protocol ikev1
split-tunnel-policy tunnelspecified
split-tunnel-network-list value RAVPN-Client_splitTunnelAcl
group-policy GroupPolicy_222.222.222.222 internal
group-policy GroupPolicy_222.222.222.222 attributes
vpn-tunnel-protocol ikev2
username xxx password xxx nt-encrypted privilege 0
username xxx attributes
vpn-group-policy RAVPN-Client
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout none
vpn-session-timeout none
vpn-tunnel-protocol ikev1 l2tp-ipsec
vpn-framed-ip-address 192.168.10.100 255.255.255.0
group-lock value RAVPN-Client
service-type remote-access
tunnel-group DefaultRAGroup general-attributes
address-pool (inside) RAVPN
address-pool RAVPN
authentication-server-group (inside) LOCAL
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key xxx
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
tunnel-group RAVPN-Client type remote-access
tunnel-group RAVPN-Client general-attributes
address-pool RAVPN
default-group-policy RAVPN-Client
tunnel-group RAVPN-Client ipsec-attributes
ikev1 pre-shared-key xxx
tunnel-group 222.222.222.222 type ipsec-l2l
tunnel-group 222.222.222.222 general-attributes
default-group-policy GroupPolicy_222.222.222.222
tunnel-group 222.222.222.222 ipsec-attributes
ikev2 remote-authentication pre-shared-key xxx
ikev2 local-authentication pre-shared-key xxx
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect netbios
inspect tftp
inspect ip-options
inspect sip
class class-default
user-statistics accounting
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
hpm topN enable

Standort 222.222.222.222:
ASA Version 8.4(4)
!
hostname ciscoasa
domain-name xxx
enable password xxx/zh encrypted
passwd xxx/zh encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
switchport access vlan 3
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group T-Com
ip address pppoe setroute
!
interface Vlan3
no forward interface Vlan1
nameif guestswlan
security-level 100
ip address 192.168.3.1 255.255.255.0
!
boot system disk0:/asa844-k8.bin
boot system disk0:/asa843-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name xxx
same-security-traffic permit inter-interface
object network Inside_Network-192.168.2.0
subnet 192.168.2.0 255.255.255.0
object network RAVPN_Hosts-192.168.10.0
subnet 192.168.10.0 255.255.255.0
object network Guestswlan_Network-192.168.3.0
subnet 192.168.3.0 255.255.255.0
object network VoIP-109.68.96.98
host 109.68.96.98
object network Remote-Network-192.168.0.0
subnet 192.168.0.0 255.255.255.0
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service DM_INLINE_TCP_1 tcp
port-object eq 8181
port-object eq 9090
access-list outside_access_out remark NTP
access-list outside_access_out extended permit udp any any eq ntp
access-list outside_access_out remark FTP
access-list outside_access_out extended permit tcp any any eq ftp
access-list outside_access_out remark Remote VPN
access-list outside_access_out extended permit udp any any eq 1701
access-list outside_access_out remark Remote VPN
access-list outside_access_out extended permit udp any any eq isakmp
access-list outside_access_out remark Remote VPN
access-list outside_access_out extended permit udp any any eq 4500
access-list outside_access_out remark POP3
access-list outside_access_out extended permit tcp any any eq pop3
access-list outside_access_out remark SMTP
access-list outside_access_out extended permit tcp any any eq smtp
access-list outside_access_out remark HTTP
access-list outside_access_out extended permit tcp any any eq www
access-list outside_access_out remark HTTPS
access-list outside_access_out extended permit tcp any any eq https
access-list outside_access_out remark Domain
access-list outside_access_out extended permit udp any any eq domain
access-list outside_access_out remark IMAP
access-list outside_access_out extended permit tcp any any eq imap4
access-list outside_access_out remark VoIP - SIP, RTP etc.
access-list outside_access_out extended permit object-group TCPUDP any 109.68.96.0 255.255.248.0 range 1 65535
access-list outside_access_out remark Virtuelles Fax
access-list outside_access_out extended permit object-group TCPUDP any any eq 4559
access-list outside_access_out remark IMAP over SSL
access-list outside_access_out extended permit tcp any any eq 993
access-list outside_access_out remark Ping
access-list outside_access_out extended permit icmp any any
access-list outside_access_out remark Server
access-list outside_access_out extended permit tcp any any object-group DM_INLINE_TCP_1
access-list outside_access_out remark Site-to-Site VPN Tunnel
access-list outside_access_out extended permit ip object Inside_Network-192.168.2.0 object Remote-Network-192.168.0.0
access-list outside_access_in remark Ping
access-list outside_access_in extended permit icmp any any
access-list inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list guestswlan_access_out remark HTTP
access-list guestswlan_access_out extended permit tcp any any eq www
access-list guestswlan_access_out remark HTTPS
access-list guestswlan_access_out extended permit tcp any any eq https
access-list guestswlan_access_out remark POP3
access-list guestswlan_access_out extended permit tcp any any eq pop3
access-list guestswlan_access_out remark SMTP
access-list guestswlan_access_out extended permit tcp any any eq smtp
access-list guestswlan_access_out remark IMAP
access-list guestswlan_access_out extended permit tcp any any eq imap4
access-list guestswlan_access_out remark Domain
access-list guestswlan_access_out extended permit udp any any eq domain
access-list RAVPN-Client_splitTunnelAcl extended permit ip 192.168.2.0 255.255.255.0 any
access-list outside_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.0.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu guestswlan 1500
ip local pool RAVPN 192.168.10.100-192.168.10.105 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any echo-reply outside
icmp permit any time-exceeded outside
icmp permit any unreachable outside
asdm image disk0:/asdm-649.bin
no asdm history enable
arp timeout 14400
nat (inside,outside) source static Inside_Network-192.168.2.0 Inside_Network-192.168.2.0 destination static RAVPN_Hosts-192.168.10.0 RAVPN_Hosts-192.168.10.0 no-proxy-arp route-lookup
nat (inside,outside) source static Inside_Network-192.168.2.0 Inside_Network-192.168.2.0 destination static Remote-Network-192.168.0.0 Remote-Network-192.168.0.0 no-proxy-arp route-lookup
!
object network Inside_Network-192.168.2.0
nat (inside,outside) dynamic interface
object network Guestswlan_Network-192.168.3.0
nat (guestswlan,outside) dynamic interface
access-group outside_access_in in interface outside
access-group outside_access_out out interface outside
access-group guestswlan_access_out out interface guestswlan
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.2.0 255.255.255.0 inside
http 192.168.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 20 set ikev1 transform-set ESP-AES-256-SHA TRANS_ESP_3DES_SHA
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 40 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 40 set ikev1 transform-set ESP-AES-256-SHA TRANS_ESP_3DES_SHA
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 60 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 60 set ikev1 transform-set ESP-AES-256-SHA TRANS_ESP_3DES_SHA
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer 111.111.111.111
crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 1 set ikev2 pre-shared-key xxx
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map inside_map interface inside
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
crypto ikev1 enable inside
crypto ikev1 enable outside
crypto ikev1 policy 5
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 192.168.2.0 255.255.255.0 inside
telnet 192.168.10.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
management-access inside
vpdn group T-Com request dialout pppoe
vpdn group T-Com localname xxx
vpdn group T-Com ppp authentication pap
vpdn username xxx

dhcpd auto_config outside
!
dhcpd address 192.168.2.100-192.168.2.200 inside
dhcpd dns 217.237.150.115 217.237.148.70 interface inside
dhcpd enable inside
!
dhcpd address 192.168.3.100-192.168.3.200 guestswlan
dhcpd dns 217.237.150.115 217.237.148.70 interface guestswlan
dhcpd enable guestswlan
!
threat-detection basic-threat
threat-detection statistics
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
ntp server 130.149.17.21 prefer
webvpn
enable outside
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
vpn-tunnel-protocol ikev1 l2tp-ipsec
ip-comp enable
re-xauth enable
secure-unit-authentication enable
user-authentication enable
user-authentication-idle-timeout none
group-policy RAVPN-Client internal
group-policy RAVPN-Client attributes
vpn-tunnel-protocol ikev1
split-tunnel-policy tunnelspecified
split-tunnel-network-list value RAVPN-Client_splitTunnelAcl
group-policy GroupPolicy_111.111.111.111 internal
group-policy GroupPolicy_111.111.111.111 attributes
vpn-tunnel-protocol ikev2
username xxx password xxx nt-encrypted privilege 0
username xxx attributes
vpn-group-policy DefaultRAGroup
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout none
vpn-session-timeout none
vpn-tunnel-protocol ikev1 l2tp-ipsec
vpn-framed-ip-address 192.168.10.11 255.255.255.0
service-type remote-access
username xxx password xxx nt-encrypted privilege 0
username xxx attributes
vpn-group-policy RAVPN-Client
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout none
vpn-session-timeout none
vpn-tunnel-protocol ikev1 l2tp-ipsec
vpn-framed-ip-address 192.168.10.100 255.255.255.0
group-lock value RAVPN-Client
service-type remote-access
tunnel-group DefaultRAGroup general-attributes
address-pool (inside) RAVPN
address-pool RAVPN
authentication-server-group (inside) LOCAL
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key xxx
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
tunnel-group RAVPN-Client type remote-access
tunnel-group RAVPN-Client general-attributes
address-pool RAVPN
default-group-policy RAVPN-Client
tunnel-group RAVPN-Client ipsec-attributes
ikev1 pre-shared-key xxx
tunnel-group 111.111.111.111 type ipsec-l2l
tunnel-group 111.111.111.111 general-attributes
default-group-policy GroupPolicy_111.111.111.111
tunnel-group 111.111.111.111 ipsec-attributes
ikev2 remote-authentication pre-shared-key xxx
ikev2 local-authentication pre-shared-key xxx
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect netbios
inspect tftp
inspect ip-options
inspect sip
class class-default
user-statistics accounting
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
hpm topN enable

Hallo,

Dein Problem heißt in Wirklichkeit Synchronisation und zwar die des Routers mit dem
DynDNS Zugang. Damit die neue IP Adresse auch bekannt ist und die Verbindung wieder
aufgebaut werden kann.

Gruß
Dobby

Wie mehrfach geschrieben, DynDNS wird überhaupt nicht verwendet. Jeder Standort hat eine statische WAN IP Adresse.

Nur nochmal dumm nachgefragt:

Standort 111.111.111.111: lokales Netz 192.168.0.0
VDSL Modem <-> ASA 5505
Standort 222.222.222.222: lokales Netz 192.168.2.0
ADSL Modem <-> ASA5505

1.) Die dort zitierten "Modems" sind das wirklich rein nur Modems, also reine Medienwandler (die ASA hält die öffentliche Provider IP Adresse !) oder sind das NAT Router die vor das ASA liegen ?
Nur um technisch ganz sicher zu gehen....
2.) Der Provider an "Local:111.111.111.111" ist der identisch zu dem am anderen Standort ?
3.) Wenn nein, hast du über diesen Provider noch andere Kunden VPNs am laufen oder passiert dies nur bei diesem einzigen Provider ?
4.) Im Zweifel ist es sinnvoll den VPN Verbindungsaufbau nach einem dieser Hänger mal mit dem Wireshark anzusehen um mal ganz genau zu sehen WER hier Pakete nicht weiterleitet oder WO Antworten fehlen oder ins Leere laufen.
Blind getippt scheint es was mit dem spezifischen Provider zu tun zu haben wenn dieses VPN Konzept so fehlerlos mit anderen Kundennetzen rennt.

zu 1.: ja, reine Modems, WAN IP ist jeweils an der ASA aktiv auf Outside. Selbige Modems sind auch bei anderen Kunden im Einsatz
zu 2.: ja, an beiden Standorten ist es ein Anschluss der Telekom (VDSL, ADSL).
zu 3.: -

Als nächstes muss ich wohl mal das VDSL Modem tauschen, denn die Ursache tritt ja nur nach der 24 Stundentrennung am VDSLer auf. Der ADSLer ist ca. 30 Minuten vorher dran, danach baut sich der Tunnel immer wieder auf.
Die Frage die ich mir stelle, was ist nach einer 24 Stundentrennung anders zwecks Tunnelaufbau, als wenn dieser manuell getrennt wird. Zudem hilft auch nur ein Neustart der ASA am Standort 111.111.111.111 (VDSL). Ein Neustart am ADSLer hilft gar nicht.

Hallo,

Zitat von @mcgiga:
Selbige Modems sind auch bei anderen Kunden im Einsatz
zu 2.: ja, an beiden Standorten ist es ein Anschluss der Telekom (VDSL, ADSL).

Was denn jetzt? ADSL und VDSL am gleichen Anschluss? Und deinerste Antwort lässt uns zu den Gedanken kommen das du sowohl für ADSL und VDSL die gleichen Modems verwendest, oder? Das Modell und Hersteller ist ein Betriebsgeheimnis oder warum nennst du die nicht?

Als nächstes muss ich wohl mal das VDSL Modem tauschen
Zudem hilft auch nur ein Neustart der ASA am Standort 111.111.111.111 (VDSL).

Das bedeutet das dort das VDSL Modem und deine ASA gleichzeitig kaputt sind. Warum das Modem tauschen wenn nur ein Neustart der ASA hilft? Das deutet auf eine Fehler in der Hardware der ASA hin oder eben falsche Konfiguration. Die Unterschiede VDSL und ADSL sind die bekannt?

Der ADSLer ist ca. 30 Minuten vorher dran,

Wie und wann die Zwangstrennung gemacht wird ist dir klar und wie du die Zeit wann diese gemacht wird beeinflussen kannst?

als wenn dieser manuell getrennt wird.

Bei Automatischer Zwnagstrennung wird kein Stecker gezogen. Du bei Manuell aber vermutlich den Stecker irgendwo ziehst.

Zudem hilft auch nur ein Neustart der ASA am Standort 111.111.111.111 (VDSL)

Fehlerhafte Konfig?

Welche anderen Standorte hast du bei deinen Kunden welche auch mit VDSL des gleichen ISP Arbeitet wo auch das gleiche Modem und ASA in gleicher Konfiguration verwendest (ADSL <> VDSL)? Was ergibt ein Vergleich mit deren Konfiguration(en)?

Was sagt ein Wireshark auf der Verbindung zwischen Modem und ASA?

Gruß,
Peter

Nein natürlich nicht am gleichen Anschluss. Wie in meiner ersten Antwort schon geschrieben, Standort 111.111.111.111 hat VDSL, Standort 222.222.222.222 hat ADSL.
Typen:
VDSL = ZyXEL VMG1312
ADSL = D-Link DSL 321B

Wie auch schon geschrieben, wurde die ASA ausgetauscht, das Problem bleibt aber. Konfiguration kannst du oben sehen. Natürlich sind mir die Unterschiede zw. ADSL und VDSL bekannt... Wie gesagt, ich habe zahlreiche! Standorte mit derartiger Konfig laufen, bisher nie Probleme, nur hier.

Natürlich ist mir bekannt wie sich die Zwangstrennung "steuern" lässt. Es ging lediglich darum, dass Standort 222.222.222.222. ca. 30 Minuten vorher den Disconnect ausführt, der Tunnel jedoch problemlos wieder kommt. Aber immer nach dem Disconnect von Standort 111.111.111.111 der Tunnel nicht mehr kommt.

24 Stundentrennung = Tunnel bricht ab. Was ist anders zw. dieser Art von Abbruch und einer manuellen Trennung des Tunnels über den ASDM.

An zahlreichen Standort sind identische Netz-Konfigs (was Modem, ASA etc. anbelangt) vorhanden, ein Vergleich der Konfigs hat keinen Unterschiede gebracht (bis auf notwendige Unterschiede). Dies ergibt halt keinen Sinn, daher auch der Tausch der ASA.

Hallo,

- Hast Du einmal an eine Zeitschaltuhr gedacht die eventuell nach der
Zwangstrennung am VDSL Standort die ASA neu startet, also nach der
Zwangstrennung das was Du zur Zeit manuell ausführst, automatisch
für Dich erledigt, ich meine dass ist zwar auch keine Lösung nur Du
musst eben nicht immer wieder "Hand anlegen".

Gruß
Dobby

Hallo!

Mal ganz was anderes.

Ich hatte eine korrekte Konfiguration laufen (Allerdings Unitymedia - Kabel). Jedenfalls, bevor das Gebäude, was ich neu versorgt hatte, auf Last ging, d. h. den täglichen Betrieb aufnahm. Ab dann kam es immer zu Verbindungsabbrüchen, wobei nur ein Routerreset / Neustart half, ab dann ging die Anwahl problemlos und hielt Zeitraum x (mal länger, mal kürzer). Diagnostisch nix zu finden, alles durchgemessen (Provider). Ansonsten Konfig ähnlich wie bei dir, auch feste Adressen usw.

Lösung: Das ganze steht im Rack. Das Modem direkt beim Router. Das Modem hat wohl in den Router gestört. Als ich das an eine andere Stelle gesetzt hatte, waren die Probleme vorbei.

Muss zu deinem Problem nicht unbedingt passen, aber ich war zunächst auch ähnlich Ratlos wie du.

Gruß,

Andreas

Hi

Nur mal so nebenbei das Zyxel VMG1312 ist kein Modem. Sondern ein Router mit Modem.
System Specifications:
VDSL Compliance
ITU-T G.993.1 VDSL1 compliant
ITU-T G.993.2 VDSL2, band plan 997, 998
Support VDSL profile: 8a/b/c/d, 12a/b, and 17a
Rate adaption
Dual-latency
Seamless Rate Adaption (SRA)
INP: up to 16 symbols
PTM mode
G.INP
PhyR configurable
ADSL Compliance
ITU-T G.992.1 (G.dmt) compliant
ITU-T G.992.2 (G.lite) compliant
ITU-T G.992.3 (ADSL2) compliant
ITU-T G.992.5 (ADSL2+) compliant
Reach-Extended ADSL (RE ADSL)
Seamless Rate Adaption (SRA)

Support VC-based and LLC-based multiplexing

WLAN
IEEE 802.11 b/g/n compliance
Frequency: 2.4 GHz
Data rate: 300 Mbps
WPA/WPA-PSK, WPA2/WPA2-PSK
WEP data encryption 64/128 bit
Wireless Protected Setup (WPS)

Multi SSID (up to 4) and hidden SSID support

USB
File sharing
3G backup support
Bridge/Router
PPPoE (RFC2516)
PPPoA (RFC2364)
DHCP client/server/relay
DNS proxy
Dynamic DNS
RIP I/RIP II supported
UPnP
Static/policy route

QoS classification route

Firewall/Security
PAP and CHAP support
MS-CHAPv1 and v2 support
Stateful Packet Inspection (SPI)
DoS Attack Prevention

Parental Control

QoS
Queuing and scheduling

Queue management

Management

Web GUI
Command Line Interpreter (CLI) via SSH or Telnet
Firmware upgrade via Web/FTP/TFTP
DSL forum TR-064, 069, 098,111

Configurable access control for remote management

Hardware Specifications

WAN:
One RJ-11 port (VMG1312-B10A) for VDSL/ADSL2+ over POTS
One RJ-45 port (VMG1312-B30A) for VDSL/ADSL2+ over ISDN
LAN: Four Fast Ethernet ports
WLAN: Two internal antennas
USB: One for USB2.0 host interface
WLAN/WPS button: One real button for WLAN on/off and WPS configuration
Reset/Restore button: One real button for restore factory default settings

Status LED indicator: Power, Ethernet, DSL, Internet, WLAN/WPS, USB

Physical Specifications

Item dimensions (W x D x H):186 x 121 x 39 mm (7.32” x 4.76” x 1.54”)
Item weight: 245 g (0.54 lb.)
Packing dimensions (W x D x H):300 x 195 x 50 mm (11.81” x 7.68” x 1.97”)

Packing weight: 540 g (1.19 lb.)

Environmental Specifications
Operating Environment

Temperature: 0°C to 40°C (32°F to 104°F)

Humidity: 20% to 95% RH (Non-condensing)

Storage Environment

Temperature: -30°C to 60°C (-22°F to 140°F)

Humidity: 20% to 95% RH (Non-condensing)

Certification

EMC: CE, FCC
Safety: CE

Die Konfiguration dieses geräts wäre eventuell auch intressant für die Lösung.

LG

Danke für deinen Tipp. Der Router und das Modem stehen knapp 1m von einander entfernt. Das wird es leider nicht sein.

Es ist kein reines Modem, das ist richtig. Es ist aber im Bridge Mode konfiguriert, sodass es nur als reines Modem agiert. Mit selber Konfig läuft dieses Modell auch an anderen Standorten.

Am Sonntag habe ich den Site to Site Tunnel von IKEv2 auf IKEv1 umgestellt. Seit dem baut sich der Tunnel immer wieder auf. Ich beobachte das noch bis Mittwoch und Tausche dann die Cisco wieder zurück. Ggf. werde ich noch das VDSL Modem tauschen.

Sorry, dass ich den alten Thread nochmal aufgreife, aber gabs hier noch irgendwelche Ergebnisse oder Erkenntnisse? Wir haben ähnliche Phänomene. Haben hier knapp 50 ASA 5505 die hier zentral auf eine 5520 terminieren. Großteil über Telekom ADSL 16000. Konfig außer den Standortunterschiedlichen Parametern absolut identisch. Die meisten Standort laufen absolut problemlos.
Bei einigen wenigen aber genau die gleichen Probleme wie hier genannt. Immer nach genau 24 h fliegt an diesen Problemkindern der VPN-Tunnel weg und kommt nicht wieder hoch. Dann booten wir die externe ASA über die öffentliche IP-Adresse und der Tunnel kommt wieder. Wir haben schon zig Versuche gemacht, ohne Lösung...
Wie gesagt wäre sehr interessiert, ob hier noch was rausgekommen ist. Danke!

Hi

Wenn es vorort an den nicht funktionierenden standorten einen Server oder PC gibt den du benutzen kannst würde ich mit https://www.pingplotter.com/ einen Ping über den VPN Tunnel laufen lassen einen zum Gateway deiner Internetverbindung und schauen was für Erkenntnisse du gewinnst.

Wie schauen den die Einstellungen der VPN tunnels aus ? Sollte der bei einer Trennung automatisch neu verbinden ? Ist DPD ach auf beiden seiten Aktiv ?

LG

Frage Netzwerke LAN, WAN, Wireless

Mehr von mcgiga

Neustartprozess eines HP ProBook 450 G3 dauert zwischen 5 und 10 Minutenmcgiga

Keine Verbindung zur SQL Instanz für Sage GS-Auftrag auf drei PCs möglich, auf einem neuen virtuellen PC jedoch ohne Probleme möglichmcgiga - 5 Kommentare

Weitere Drucker werden nicht per Gruppenrichtlinie an einem bestimmten Client verteiltmcgiga - 2 Kommentare

Zugriff per VPN auf IP oder Hostname nicht möglich, Outlook verbindet nichtmcgiga - 5 Kommentare

Heiß diskutiert