CISCO ASA5510 - VPN Problem - VPN bricht weg

Hallo zusammen,

ich benötige etwas Hilfe zum Thema VPN Debugging.
Ichh abe das problem, das wir mehrere L2L Kopplungen haben. Diese gehen vom Hauptstandort zu den Nebenstandorten (3 Stück).
Die Verbindung (VPN) vom Hauptstandort zu zwei Nebenstandorten und auch die Verbindungen über den VPN Client schmieren täglich einmal weg. Das Blöde ist, das passiert wärend der produktiven zeit. Also unvorhergesehen.
Da die VPN Verbindung zu einem Standort bestehen bleibt, liegt es vermutlich am Hauptstandort. Sprich an der ASA5510. Die anderen ASA's sind alle 5505.
Das VPN ist sonst stabil.

Das ASA Image ist: asa825-26-k8.bin

Gruß

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 205207

Url: https://administrator.de/forum/cisco-asa5510-vpn-problem-vpn-bricht-weg-205207.html

Ausgedruckt am: 07.04.2025 um 16:04 Uhr

8 Kommentare

Neuester Kommentar

Welches VPN Tunnelprotokoll benutzt du, IPsec ?
Ganz wichtig: Was sagt das Cisco Log ? Ist Logging entsprechend aktiviert (Syslog Server) ?
Siehst du dort irgendwelche Messages zeitgleich zum Abbruch ?
Welche Anbindung hast du ? DSL, Standleitung, usw. ?
Wenn DSL liegt die tägliche Zwangstrennung in dem Zeitfenster ?
Passieren die Abbrüche mehrfach am Tag ?
Wie sind die IPsec Phase 1 und Phase 2 Lifetimes synchron konfiguriert ? (Sofern du überhaupt IPsec nutzt ?!)
Gibt der Hauptstandort Peer diese IPsec Parameter im Profile vor ?
Gibt es ggf. zeitgleich auch einen Abbruch der Internet Verbindung ?

Du siehst schon anhand deiner Fragen das deine Schilderung ziemlich oberflächlich ist und eine zielführende Hilfestellung damit fast unmöglich ist solange wir nicht die o.a. Parameter wissen.
Konfig Auszug aus den Crypto Settings der Peers wäre ebenso hilfreich.

Hallo,

ich benötige etwas Hilfe zum Thema VPN Debugging.

und wir immer die Protokolldatei (den Logfile)!

Ichh abe das problem, das wir mehrere L2L Kopplungen haben.

Seit wann und wie lange habt Ihr die schon?
Lief vorher alles tutti oder schon immer Problem behaftet?

Die Verbindung (VPN) vom Hauptstandort zu zwei Nebenstandorten und auch die Verbindungen über den VPN Client schmieren täglich einmal weg.

Kann das ein Synchronisationsproblem sein?
Haben die alle die selben Zeitzonen und Server eingetragen?

Das Blöde ist, das passiert wärend der produktiven zeit. Also unvorhergesehen.

Das ist schnell erklärt, am Wochenende merkt es ja keiner!

Bitte vorher hier nachschauen wie man einen Logfile einfügt, sonst bekommen wir hier alle Augenkrebs

Gruß
Dobby

Hi,
@aqui:
Protokoll:ipsec
Cisco Log habe ich gerade auf meinem PC gespeichert, musste erst raussuchen wo das ging. - Syslogserver => Nein
Das sind Company Connect Leitungen der Telekom bzw. noch einem zweiten Anbieter, aber alles Standleitungen mit 10M (2 Standorte) eine 4M und eine 2M
Internet bleibt bestehen (zumindest ist mir da nichts aufgefallen, da die anderen VPN's bestehen. Also zwischen zwei Nebenstandorten und zu einem anderem Standort.
Die VPN's wurden seinerzeit mal von einem Systemhaus eingerichtet. Das sollte passen. Dieser Fehler tritt erst seit zwei Tagen auf, immer nach 9 Uhr.

@d.o.b.b.y:
die L2L Kopplungen bestehen schon seit "Jahren" - die letzte kam 2011 hinzu, bzw zwischen zwei Nebenstandorten vor ca. 1 Monat. (der bleibt komischerweise auch bestehen).
Die syncen sich eigentlich über NTP mit der Zeit, In wie weit meinst du Synchronisationsproblem?
Zum Thema Logfile einfügen: Das hätte ich in Code Tags gemacht...

So, Schaue nun mal die Log durch um die Uhrzeit herum und suche nach verdächtigen Sachen... Poste diese dann hier.

Gruß

Hier ein Auszug aus den logs:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
Apr 18 2013 09:11:08 fw01 : %ASA-3-713123: Group = remote2, IP = remote2, IKE lost contact with remote peer, deleting connection (keepalive type: DPD)
Apr 18 2013 09:11:08 fw01 : %ASA-5-713259: Group = remote2, IP = remote2, Session is being torn down. Reason: Lost Service
Apr 18 2013 09:11:08 fw01 : %ASA-4-113019: Group = remote2, Username = remote2, IP = fw04-OUTSIDE, Session disconnected. Session Type: IPsec, Duration: 22h:52m:19s, Bytes xmt: 673736511, Bytes rcv: 177023452, Reason: Lost Service
Apr 18 2013 09:11:09 fw01 : %ASA-5-713041: IP = remote2, IKE Initiator: New Phase 1, Intf inside, IKE Peer remote2  local Proxy Address 10.0.0.0, remote Proxy Address 192.168.164.0,  Crypto map (outside_map)
Apr 18 2013 09:11:18 fw01 : %ASA-3-713123: Group = remote1, IP = remote1, IKE lost contact with remote peer, deleting connection (keepalive type: DPD)
Apr 18 2013 09:11:18 fw01 : %ASA-5-713259: Group = remote1, IP = remote1, Session is being torn down. Reason: Lost Service
Apr 18 2013 09:11:18 fw01 : %ASA-4-113019: Group = remote1, Username = remote1, IP = fw02-OUTSIDE, Session disconnected. Session Type: IPsec, Duration: 22h:53m:06s, Bytes xmt: 2898205746, Bytes rcv: 663921379, Reason: Lost Service
Apr 18 2013 09:11:20 fw01 : %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 4 per second, max configured rate is 10; Current average rate is 6 per second, max configured rate is 5; Cumulative total count is 4094
Apr 18 2013 09:11:20 fw01 : %ASA-5-713041: IP = remote1, IKE Initiator: New Phase 1, Intf inside, IKE Peer remote1  local Proxy Address 10.0.0.0, remote Proxy Address 10.1.0.0,  Crypto map (outside_map)
Apr 18 2013 09:11:33 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.154.232.155/80 to unbenutze-outside-adresse/62560 flags PSH ACK  on interface outside
Apr 18 2013 09:11:33 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.154.232.155/80 to unbenutze-outside-adresse/62560 flags FIN ACK  on interface outside
Apr 18 2013 09:11:33 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.154.232.155/80 to unbenutze-outside-adresse/62560 flags PSH ACK  on interface outside
Apr 18 2013 09:11:34 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.154.232.155/80 to unbenutze-outside-adresse/62560 flags PSH ACK  on interface outside
Apr 18 2013 09:11:35 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.154.232.155/80 to unbenutze-outside-adresse/62560 flags PSH ACK  on interface outside
Apr 18 2013 09:11:36 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.154.232.155/80 to unbenutze-outside-adresse/62560 flags PSH ACK  on interface outside
Apr 18 2013 09:11:40 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.154.232.155/80 to unbenutze-outside-adresse/62560 flags PSH ACK  on interface outside
Apr 18 2013 09:11:40 fw01 : %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 5 per second, max configured rate is 10; Current average rate is 6 per second, max configured rate is 5; Cumulative total count is 4077
Apr 18 2013 09:11:47 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.154.232.155/80 to unbenutze-outside-adresse/62560 flags PSH ACK  on interface outside
Apr 18 2013 09:11:52 fw01 : %ASA-5-713041: IP = remote1, IKE Initiator: New Phase 1, Intf inside, IKE Peer remote1  local Proxy Address 10.0.0.0, remote Proxy Address 10.1.0.0,  Crypto map (outside_map)
Apr 18 2013 09:11:54 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.104.23.46/443 to unbenutze-outside-adresse/57553 flags PSH ACK  on interface outside
Apr 18 2013 09:12:00 fw01 : %ASA-5-713041: IP = remote2, IKE Initiator: New Phase 1, Intf inside, IKE Peer remote2  local Proxy Address 10.0.0.0, remote Proxy Address 192.168.164.0,  Crypto map (outside_map)
Apr 18 2013 09:12:00 fw01 : %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 5 per second, max configured rate is 10; Current average rate is 6 per second, max configured rate is 5; Cumulative total count is 4156
Apr 18 2013 09:12:01 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.154.232.155/80 to unbenutze-outside-adresse/62560 flags PSH ACK  on interface outside
Apr 18 2013 09:12:20 fw01 : %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 5 per second, max configured rate is 10; Current average rate is 7 per second, max configured rate is 5; Cumulative total count is 4276
Apr 18 2013 09:12:22 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.104.23.46/443 to unbenutze-outside-adresse/25109 flags PSH ACK  on interface outside
Apr 18 2013 09:12:26 fw01 : %ASA-5-713041: IP = remote1, IKE Initiator: New Phase 1, Intf inside, IKE Peer remote1  local Proxy Address 10.0.0.0, remote Proxy Address 10.1.0.0,  Crypto map (outside_map)
Apr 18 2013 09:12:29 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.154.232.155/80 to unbenutze-outside-adresse/62560 flags PSH ACK  on interface outside
Apr 18 2013 09:12:34 fw01 : %ASA-5-713041: IP = remote2, IKE Initiator: New Phase 1, Intf inside, IKE Peer remote2  local Proxy Address 10.0.0.0, remote Proxy Address 192.168.164.0,  Crypto map (outside_map)
Apr 18 2013 09:12:40 fw01 : %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 3 per second, max configured rate is 10; Current average rate is 7 per second, max configured rate is 5; Cumulative total count is 4285
Apr 18 2013 09:12:54 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.104.23.46/443 to unbenutze-outside-adresse/18682 flags PSH ACK  on interface outside
Apr 18 2013 09:12:56 fw01 : %ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Group 5  Cfg'd: Group 2  
Apr 18 2013 09:12:56 fw01 : %ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Group 2  Cfg'd: Group 5  
Apr 18 2013 09:12:56 fw01 : %ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Group 2  Cfg'd: Group 5  
Apr 18 2013 09:12:56 fw01 : %ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Group 5  Cfg'd: Group 2  
Apr 18 2013 09:12:56 fw01 : %ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Group 2  Cfg'd: Group 5  
Apr 18 2013 09:12:56 fw01 : %ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Group 2  Cfg'd: Group 5  
Apr 18 2013 09:12:56 fw01 : %ASA-5-713119: Group = remote1, IP = remote1, PHASE 1 COMPLETED
Apr 18 2013 09:12:57 fw01 : %ASA-5-713049: Group = remote1, IP = remote1, Security negotiation complete for LAN-to-LAN Group (remote1)  Responder, Inbound SPI = 0x41067a44, Outbound SPI = 0x827ca77c
Apr 18 2013 09:12:57 fw01 : %ASA-5-713120: Group = remote1, IP = remote1, PHASE 2 COMPLETED (msgid=3d219a7a)
Apr 18 2013 09:12:58 fw01 : %ASA-3-713902: IP = remote1, Invalid packet detected!
Apr 18 2013 09:13:00 fw01 : %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 3 per second, max configured rate is 10; Current average rate is 7 per second, max configured rate is 5; Cumulative total count is 4298
Apr 18 2013 09:13:00 fw01 : %ASA-4-733100: [ Scanning] drop rate-2 exceeded. Current burst rate is 0 per second, max configured rate is 8; Current average rate is 6 per second, max configured rate is 4; Cumulative total count is 23843
Apr 18 2013 09:13:06 fw01 : %ASA-3-713902: IP = remote1, Invalid packet detected!
Apr 18 2013 09:13:06 fw01 : %ASA-5-713041: IP = remote2, IKE Initiator: New Phase 1, Intf inside, IKE Peer remote2  local Proxy Address 10.0.0.0, remote Proxy Address 192.168.164.0,  Crypto map (outside_map)
Apr 18 2013 09:13:14 fw01 : %ASA-3-713902: IP = remote1, Invalid packet detected!
Apr 18 2013 09:13:20 fw01 : %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 6 per second, max configured rate is 10; Current average rate is 7 per second, max configured rate is 5; Cumulative total count is 4360
Apr 18 2013 09:13:28 fw01 : %ASA-2-106001: Inbound TCP connection denied from 31.13.84.8/443 to unbenutze-outside-adresse/64259 flags FIN PSH ACK  on interface outside
Apr 18 2013 09:13:40 fw01 : %ASA-5-713041: IP = remote2, IKE Initiator: New Phase 1, Intf inside, IKE Peer remote2  local Proxy Address 10.0.0.0, remote Proxy Address 192.168.164.0,  Crypto map (outside_map)
Apr 18 2013 09:13:41 fw01 : %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 2 per second, max configured rate is 10; Current average rate is 7 per second, max configured rate is 5; Cumulative total count is 4454
Apr 18 2013 09:13:46 fw01 : %ASA-3-713902: IP = remote2, Invalid packet detected!
Apr 18 2013 09:13:48 fw01 : %ASA-5-713201: IP = remote2, Duplicate Phase 1 packet detected.  Retransmitting last packet.
Apr 18 2013 09:13:49 fw01 : %ASA-5-713119: Group = remote2, IP = remote2, PHASE 1 COMPLETED
Apr 18 2013 09:13:49 fw01 : %ASA-5-713050: Group = remote2, IP = remote2, Connection terminated for peer remote2.  Reason: Peer Terminate  Remote Proxy 10.0.0.0, Local Proxy 192.168.164.0
Apr 18 2013 09:13:49 fw01 : %ASA-3-713902: Group = remote2, IP = remote2, Removing peer from correlator table failed, no match!
Apr 18 2013 09:13:49 fw01 : %ASA-5-713049: Group = remote2, IP = remote2, Security negotiation complete for LAN-to-LAN Group (remote2)  Initiator, Inbound SPI = 0xc5d4646c, Outbound SPI = 0xecf0cb3b
Apr 18 2013 09:13:49 fw01 : %ASA-5-713120: Group = remote2, IP = remote2, PHASE 2 COMPLETED (msgid=9375a742)
Apr 18 2013 09:14:01 fw01 : %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 3 per second, max configured rate is 10; Current average rate is 7 per second, max configured rate is 5; Cumulative total count is 4432
Apr 18 2013 09:14:20 fw01 : %ASA-2-106001: Inbound TCP connection denied from 62.104.23.46/443 to unbenutze-outside-adresse/35876 flags PSH ACK  on interface outside
Apr 18 2013 09:14:21 fw01 : %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 3 per second, max configured rate is 10; Current average rate is 7 per second, max configured rate is 5; Cumulative total count is 4385
Apr 18 2013 09:14:41 fw01 : %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 3 per second, max configured rate is 10; Current average rate is 7 per second, max configured rate is 5; Cumulative total count is 4354
Apr 18 2013 09:14:43 fw01 : %ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Group 2  Cfg'd: Group 5  
[...]
Apr 18 2013 09:14:43 fw01 : %ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Group 2  Cfg'd: Group 5  

Komisch finde ich, dass er sagt, IKE lost.
Auch komisch sind die Einträge Phase 1 failure Missmatch... Obwohl die VPn Einstellungen auf den Geräten passen (eben nachgeschaut).
UNd es gibt eine Adresse, die ist gar nicht für irgend etwas offen, die aber wohl versucht wird zu erreichen. das ist die "unbenutzte-outside-adresse". Habe nur die IP-Adressen durch die Namen ersetzt.

In Zeile 1 & 2 steht:

01. Apr 18 2013 09:11:08 fw01 : %ASA-3-713123: Group = remote2, IP = remote2, IKE lost contact with remote peer, deleting connection (keepalive type: DPD)
02. Apr 18 2013 09:11:08 fw01 : %ASA-5-713259: Group = remote2, IP = remote2, Session is being torn down. Reason: Lost Service

Nicht dass das die Zwangstrennung der Telekom ist, die um 09:00 Uhr herum stattfindet, oder?

Habt ihr feste also statische IP Adressen? und wenn ja von wem, der T-Com oder DnyDNS oder so etwas.

Gruß
Dobby

Hi,
zwangstrennung dürfte es nicht sein. Es sind alles feste IP's. Zwei Leitungen sind von der Telekom und zwei von MK Netzdienste.
Hauptstandort und ein Nebenstandort sind von MK (die bleiben bestehen) und zwei Nebenstandorte sind Telekom.
remote1 4Mbit T-Com CoCo
remote2 10MBit T-Com CoCo
Haupt und remote3 sind 10M und 2M von MK-Netzdienste.
VPN zwischen remote1 und remote2 bleibt bestehen und zwischen remote3 und haupt auch. Also komischerweise was T-Com ist fliegt raus... Haben die evtl. ein Problem? Etwas höhere Latenzzeiten? (Wobei von MK-Netzdienste wird die Leitung von der Telekom bereit gestellt).

Gruß
Killtec

Dieser Fehler tritt erst seit zwei Tagen auf, immer nach 9 Uhr.

Ich kam da nur Deiner Aussage wegen drauf.

Ist ja kein Problem

- Komisch war es halt nur, dass es zweimal hintereinander um eine "Ähnliche" Zeit war. Also heute um ca. 9 Uhr rum, (22h abgezogen) gestern dann um ca. 11 Uhr. Ist halt komisch dass er nur die IKE verliert, von da, wo direkt die T-Com am Werke ist. Von daher die Idee her, dass es evtl. bei denen irgendwo ist? Hat evtl. irgend ein Router von denen lag? So dass die Pakete evtl. verfälscht ankommen etc...