zerocoolx
Goto Top

Cisco PIX - regelmäßiger Tunnel reset notwendig

Diese Frage richtet sich an alle Cisco Experten, welche hoffentlich eine Idee für mich parat haben.

Wir haben in unserem Netz diverse Außenlokationen welche über einen VPN Tunnel miteinander verbunden sind. An beiden Seiten wird diese Verbindung über eine Cisco PIX initiiert.

Auf einer Seite kommt eine Cisco Pix PIX-506E und auf der anderen eine Cisco PIX-515E zum Einsatz.

Das VPN ist folgendermaßen konfiguriert:

PIX1
crypto map outside_map 40 ipsec-isakmp
crypto map outside_map 40 match address outside_cryptomap_40
crypto map outside_map 40 set peer xxx.xxx.xxx.xxx
crypto map outside_map 40 set transform-set ESP-AES-256-MD5
isakmp key address xxx.xxx.xxx.xxx netmask 255.255.255.255 no-xauth no-config-mode


PIX2
crypto map outside_map 10 ipsec-isakmp
crypto map outside_map 10 match address outside_cryptomap_10
crypto map outside_map 10 set peer xxx.xxx.xxx.xxx
crypto map outside_map 10 set transform-set ESP-AES-256-MD5
isakmp key address xxx.xxx.xxx.xxx netmask 255.255.255.255 no-xauth no-config-mode


Nun passiert es regelmäßig, das die Verbindung über den Tunnel abbricht, so dass dieser über den Befehl "clear crypto ipsec sa peer xxx.xxx.xxx.xxx" zurückgesetzt werden muss.

Hat vielleicht jemand eine Idee, wie man den regelmäßig sporadisch auftredenden Verbindungsabbruch verhindern kann?

Besten Dank schon mal im Voraus!

Content-ID: 130096

Url: https://administrator.de/contentid/130096

Ausgedruckt am: 25.11.2024 um 17:11 Uhr

Komabaer
Komabaer 24.11.2009 um 11:39:45 Uhr
Goto Top
Hm schonmal darüber nachgedacht das IOS zu aktualisieren?
brammer
brammer 24.11.2009, aktualisiert am 18.10.2012 um 18:40:04 Uhr
Goto Top
Hallo,

der Vorschlag von Komabaer ist sicher nicht verkehrt, aber dafür müsste man mal wissen was du überhaupt für eine IOS Version verwendest.

Bricht nur ein bestimmter Tunnel weg, oder sind es verschiedene, oder alle?

Ich habe mir mal Freihait genommen aus einem anderen Beitrag hier im Forum etwas rauszukopieren
(Einen Dank an Spacyfreak):

3. VPN Troubleshooting:

          • debug crypto isakmp 7 (Zeigt in Echtzeit an wie der VPN Tunnel aufgebaut wird, IKE Phase1)
          • debug crypto ipsec 7 (Zeig in Echtzeit IKE Phase 2 an)
          • no debug crypto isakmp (Nach Fehlersuche wieder debug abschalten!)
          • no debug crypto ipsec (Nach Fehlersuche wieder debug abschalten!)

Lass die Befehle mal mitlaufen (Danach aber ein "undebug all" nicht vergessen.)

Nicht das es "nur" daran liegt das der Provider Probleme hat.

brammer
zerocoolx
zerocoolx 24.11.2009 um 17:53:59 Uhr
Goto Top
Danke für die Hinweise. Die werde ich schnellstmöglich mal beherzigen.
Welche IOS Version aktiv ist, werde ich morgen mal schauen. Bin aber sicher, dass diese schon etwas betagt ist.
brammer
brammer 26.11.2009 um 12:34:09 Uhr
Goto Top
Hallo,

und, wie sieht es aus?

brammer