ef8619
Goto Top

Cisco: Verbindungsabbrüche mit VPN seitdem Layer 3 Switch im Netz hängt

Hallo liebes Forum,

ich habe ein seltsames Problem in unserem Netzwerk, welches ich leider nicht lösen kann. Folgende Infos:

Vorher:
1x Cisco ISR 1921 Router -> verschiedene VLANs, DHCP, DNS und IPSec VPN

Jetzt:
1x Cisco ISR 1921 Router -> DNS, IPSec VPN
1x Cisco SG300-52 -> die VLANs vom Router übernommen, DHCP

Nun, ich habe bei der Installation und Konfiguration des neuen Switches darauf geachtet, dass die VLANs, die auf den Switch migriert wurden, auch auf dem Router mithilfe einer Access-List Zugang zum Internet bekommen, d.h. auch unsere Server von außen erreichbar sind und das VPN weiterhin funktioniert.

Geht auch soweit, ABER: ich erlebe nun sporadische Verbindungsabbrüche.

Ein Beispiel: Ich wähle mich mit einem OS X oder Windows Client in unser VPN ein und verbinde mich mithilfe des vSphere Clients zu unserem ESXi. Dort führe ich verschiedene Aufgaben aus und plötzlich reagiert der Client nicht mehr. Ein Ping zum Server hat auch keinen Erfolg. Auch mit andern Servern ist es das gleiche. Warte ich einige Zeit ab, bekomme ich wieder Antworten auf meine ICMP-Anfragen und kann weiterarbeiten.

Dieses Problem hatten wir vor der Installation des Layer 3 Switches nicht. Vorher war ein Cisco SGE2000 Layer 2 Switch drin, wo alles problemlos funktionierte, das Routing allerdings nur über den 1921 ging und das Netzwerk daher ziemlich lahm war.

Habt ihr eine Idee warum das VPN nicht mehr stabil läuft? Muss ich noch irgendwas am Switch einstellen? Oder liegt es daran, dass das GB-Interfaces vom Router, welches in LAN geht noch als VLAN (ID: 1) definiert ist?

Vielen Dank schon einmal.

Übrigens hier noch die running-config vom ISR 1921:

Current configuration : 7589 bytes
!
! Last configuration change at 10:17:23 Berlin Fri Oct 16 2015 by admin
version 15.2
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname <hostname>
!
boot-start-marker
boot system flash:c1900-universalk9-mz.SPA.152-4.M5.bin
boot-end-marker
!
!
security authentication failure rate 3 log
logging buffered 51200 warnings
logging console critical
enable secret 4 <secret>
!
aaa new-model
!
!
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authentication ppp default local
aaa authorization network default if-authenticated
aaa authorization network ciscocp_vpn_group_ml_1 local
!
!
!
!
!
aaa session-id common
clock timezone Berlin 1 0
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
!
no ip source-route
ip cef
!
!
!
!


!
!
!
!
ip flow-cache timeout active 1
no ip bootp server
ip domain name <domain-name>
ip host <host>
ip name-server <dns1>
ip name-server <dns2>
no ipv6 cef
!
multilink bundle-name authenticated
!
vpdn enable
!
!
crypto pki trustpoint TP-self-signed-2083690069
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2083690069
 revocation-check none
 rsakeypair TP-self-signed-2083690069
!
!
crypto pki certificate chain TP-self-signed-2083690069
 certificate self-signed 01
  <certificate>
  	quit
license udi pid CISCO1921/K9 sn FGL1704224A
license boot module c1900 technology-package securityk9
license boot module c1900 technology-package datak9
!
!
<usernames>
!
redundancy
!
!
!
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
 encr aes 256
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group <groupname>
 key <key>
 dns 10.80.1.254
 domain <domain-name>
 pool SDM_POOL_1
 acl 101
 save-password
 netmask 255.255.0.0
crypto isakmp profile ciscocp-ike-profile-1
   match identity group <groupname>
   client authentication list ciscocp_vpn_xauth_ml_1
   isakmp authorization list ciscocp_vpn_group_ml_1
   client configuration address respond
   virtual-template 3
!
!
crypto ipsec transform-set Default_TS esp-aes 256 esp-md5-hmac
 mode tunnel
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set Default_TS
 set isakmp-profile ciscocp-ike-profile-1
!
!
!
crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1
 connect auto
 group Default_Authentication key <key>
 mode client
 peer 10.80.1.254
 virtual-interface 2
 username admin password <password>
 xauth userid mode local
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description Management$ETH-LAN$
 ip address 10.80.1.252 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
 crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1 inside
!
interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 10.80.10.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 no cdp enable
 crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1 inside
!
interface GigabitEthernet0/1
 description VDSL Internet Verbindung$FW_OUTSIDE$
 ip address dhcp
 ip access-group no_dhcp_queries in
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1
!
interface Virtual-Template2 type tunnel
 no ip address
 tunnel mode ipsec ipv4
!
interface Virtual-Template3 type tunnel
 description $FW_OUTSIDE$
 ip unnumbered GigabitEthernet0/1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile CiscoCP_Profile1
!
ip local pool SDM_POOL_1 10.80.100.100 10.80.100.199
ip forward-protocol nd
!
ip http server
ip http authentication local
no ip http secure-server
!
ip dns server
ip nat inside source list 101 interface GigabitEthernet0/1 overload
ip nat inside source list 110 interface GigabitEthernet0/1 overload
ip nat inside source list 120 interface GigabitEthernet0/1 overload
ip nat inside source list 130 interface GigabitEthernet0/1 overload
ip nat inside source list 140 interface GigabitEthernet0/1 overload
ip nat inside source list 180 interface GigabitEthernet0/1 overload
ip nat inside source list 190 interface GigabitEthernet0/1 overload
ip nat inside source static tcp 10.80.10.190 443 <public ip> 443 extendable
ip route 10.0.0.0 255.0.0.0 10.80.1.254
!
ip access-list extended no_dhcp_queries
 deny   udp any eq bootpc any eq bootps
 permit ip any any
!
no logging trap
access-list 101 remark CCP_ACL Category=22
access-list 101 permit ip 10.80.1.0 0.0.0.255 any
access-list 101 permit ip 10.80.10.0 0.0.0.255 10.80.100.0 0.0.0.255
access-list 110 permit ip 10.80.10.0 0.0.0.255 any
access-list 120 permit ip 10.80.20.0 0.0.0.255 any
access-list 130 permit ip 10.80.30.0 0.0.0.255 any
access-list 140 permit ip 10.80.40.0 0.0.0.255 any
access-list 180 permit ip 10.80.80.0 0.0.0.255 any
access-list 190 permit ip 10.80.90.0 0.0.0.255 any
!
!
snmp-server ifindex persist
snmp-server enable traps entity-sensor threshold
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport output ssh
 stopbits 1
line vty 0 4
 access-class 23 in
 privilege level 15
 transport input ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 transport input ssh
!
no scheduler allocate
!
end

Content-Key: 285805

Url: https://administrator.de/contentid/285805

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: 108012
108012 17.10.2015 aktualisiert um 10:43:19 Uhr
Goto Top
Hallo,

dass das GB-Interfaces vom Router, welches in LAN geht noch als VLAN (ID: 1) definiert ist?
Das VLAN1 ist recht oft das so genannte default VLAN bei sehr vielen Herstellern und von
daher sind dort dann auch immer alle Geräte Mitglied in diesem VLAN1. Daran sollte es nicht liegen!

Wird denn ICMP von extern (Internet oder WAN Schnittstelle) default mäßig geblockt oder
sollte das eventuell für den VPN Tunnel frei gegeben werden und auch auf den Switchen?


Gruß
Dobby
Mitglied: DerSchorsch
DerSchorsch 17.10.2015 um 11:14:37 Uhr
Goto Top
Hallo,

Was macht denn das VLAN 10 in der Konfig? Je nachdem wie die Switchkonfig aussieht, könntest du da ein Routing-Problem haben.
10.0.0.0/8 wird an 10.80.1.254 geroutet, ich nehme an, der Switch. läuft somit durchs VLAN1. Zum 10er gibts aber durch G0/0.10 eine direkte Verbindung. Was haben denn die Endgeräte für eine Routing-Tabelle? Also z.B. dein erwähnter ESX?
Und wie ist die VLAN-Konfig am Switch für diesen Port? Laut Router-Konfig müsste er auf Trunk, untagged 1 (PVID) und tagged 10 stehen.

Gruß

P.S. deine DNS-Konfig für die VPN Clients zeigt auf 10.80.1.254, das ist wohl noch falsch.
Mitglied: ef8619
ef8619 18.10.2015 um 13:14:05 Uhr
Goto Top
Hallo,

ich habe nun das VLAN 10 aus der Konfig entfernt und die DNS-Konfig/Peer auf 10.80.1.252 geändert. Jetzt bekomme ich nach der VPN-Einwahl keinen Ping mehr zu irgendeinem Gerät aus dem VLAN 10, nur noch zum DNS/Peer 10.80.1.252 face-sad

Am Switch ist der Port, an dem das GI 0/0 des Routers angeschlossen ist, im Trunk Modus mit VLAN 1 (untagged) und den entsprechenden anderen VLANS als Tagged.
Mitglied: DerSchorsch
DerSchorsch 18.10.2015 um 20:20:16 Uhr
Goto Top
Hallo,

Bekommst du Zugriff auf andere Systeme in anderen VLANs?
Und wie sieht das Routing bez. VLAN 10 aus?
Mitglied: ef8619
ef8619 19.10.2015 um 08:22:48 Uhr
Goto Top
Hallo,

wenn ich das VLAN 10 auf dem Router entferne, kann ich nichts mehr anpingen außer 10.80.1.252, egal in welchem VLAN. Vielleicht hilft ja die Konfig vom Switch weiter:

config-file-header
DE001-SYS-82-1
v1.3.0.62 / R750_NIK_1_3_647_260
CLI v1.0
set system mode router

file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
ssd-control-end ...
!
port jumbo-frame
vlan database
vlan 10,20,30,40,80,100
exit
voice vlan id 20
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 000413 Snom
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
port-channel load-balance src-dst-mac-ip
ip dhcp server
ip dhcp pool network Data Center Lab
address low 10.80.40.180 high 10.80.40.199 255.255.255.0
lease infinite
default-router 10.80.40.254
dns-server 10.80.1.252
exit
ip dhcp pool network Management
address low 10.80.1.100 high 10.80.1.129 255.255.255.0
lease infinite
domain-name <domain-name>
default-router 10.80.1.254
dns-server 10.80.1.252
exit
ip dhcp pool network Printer
address low 10.80.30.200 high 10.80.30.229 255.255.255.0
lease infinite
default-router 10.80.30.254
dns-server 10.80.1.252
exit
ip dhcp pool network Server
address low 10.80.10.220 high 10.80.10.239 255.255.255.0
lease infinite
domain-name <domain-name>
default-router 10.80.10.254
dns-server 10.80.1.252
exit
ip dhcp pool network VoIP
address low 10.80.20.180 high 10.80.20.199 255.255.255.0
lease infinite
default-router 10.80.20.254
dns-server 10.80.1.252
exit
ip dhcp pool network Workstations
address low 10.80.80.220 high 10.80.80.239 255.255.255.0
lease infinite
domain-name <domain-name>
default-router 10.80.80.254
dns-server 10.80.1.252
exit
bonjour interface range vlan 1
hostname DE001-SYS-82-1
management access-list All
permit
exit
management access-class All
username cisco password encrypted <pw> privilege 15
ip ssh server
clock timezone " " 0 minutes 0  
ip domain name <domain-name>
ip name-server  10.80.1.252
ip host <host> 10.80.10.190
ip domain polling-interval 18
ip telnet server
!
interface vlan 1
 ip address 10.80.1.254 255.255.255.0
 no ip address dhcp
!
interface vlan 10
 name Server
 ip address 10.80.10.254 255.255.255.0
!
interface vlan 20
 name Management
 ip address 10.80.20.254 255.255.255.0
!
interface vlan 30
 name Printer
 ip address 10.80.30.254 255.255.255.0
!
interface vlan 40
 name "Data Center Lab"  
 ip address 10.80.40.254 255.255.255.0
!
interface vlan 80
 name Workstations
 ip address 10.80.80.254 255.255.255.0
!
interface vlan 100
 name Experimental
 ip address 10.80.100.254 255.255.255.0
!
interface gigabitethernet1
 switchport trunk allowed vlan add 10,20,30,40,80,100
!
interface gigabitethernet2
 switchport trunk allowed vlan add 40
!
interface gigabitethernet3
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet4
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet5
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet6
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet7
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet8
 channel-group 2 mode on
 switchport mode access
!
interface gigabitethernet9
 channel-group 3 mode on
 switchport mode access
!
interface gigabitethernet10
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet11
 switchport mode access
!
interface gigabitethernet12
 switchport mode access
!
interface gigabitethernet13
 switchport mode access
!
interface gigabitethernet14
 switchport mode access
!
interface gigabitethernet15
 switchport mode access
 switchport access vlan 80
!
interface gigabitethernet16
 switchport mode access
 switchport access vlan 80
!
interface gigabitethernet17
 switchport mode access
 switchport access vlan 80
!
interface gigabitethernet18
 switchport mode access
 switchport access vlan 80
!
interface gigabitethernet19
 switchport mode access
 switchport access vlan 20
!
interface gigabitethernet20
 switchport mode access
 switchport access vlan 20
!
interface gigabitethernet21
 switchport mode access
 switchport access vlan 20
!
interface gigabitethernet22
 switchport mode access
 switchport access vlan 30
!
interface gigabitethernet23
 switchport mode access
 switchport access vlan 30
!
interface gigabitethernet24
 switchport mode access
!
interface gigabitethernet25
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet26
 switchport mode access
 switchport access vlan 80
!
interface gigabitethernet27
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet28
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet29
 switchport mode access
 switchport access vlan 10
!
interface gigabitethernet30
 switchport mode access
!
interface gigabitethernet31
 switchport mode access
 switchport access vlan 100
!
interface gigabitethernet32
 channel-group 2 mode on
 switchport mode access
!
interface gigabitethernet33
 channel-group 3 mode on
 switchport mode access
!
interface gigabitethernet34
 switchport mode access
!
interface gigabitethernet35
 switchport mode access
!
interface gigabitethernet36
 switchport mode access
!
interface gigabitethernet37
 switchport mode access
!
interface gigabitethernet38
 switchport mode access
!
interface gigabitethernet39
 switchport mode access
 switchport access vlan 80
!
interface gigabitethernet40
 switchport mode access
 switchport access vlan 80
!
interface gigabitethernet41
 switchport mode access
 switchport access vlan 80
!
interface gigabitethernet42
 switchport mode access
!
interface gigabitethernet43
 switchport mode access
 switchport access vlan 20
!
interface gigabitethernet44
 switchport mode access
 switchport access vlan 20
!
interface gigabitethernet45
 switchport mode access
 switchport access vlan 20
!
interface gigabitethernet46
 switchport mode access
 switchport access vlan 30
!
interface gigabitethernet47
 switchport mode access
 switchport access vlan 30
!
interface gigabitethernet48
 switchport mode access
!
interface gigabitethernet49
 switchport mode access
!
interface gigabitethernet50
 switchport mode access
!
interface gigabitethernet51
 switchport mode access
!
interface gigabitethernet52
 switchport mode access
!
interface Port-channel1
 flowcontrol auto
 switchport mode access
 switchport access vlan 10
!
interface Port-channel2
 description "HP ProLiant"  
 switchport mode access
 switchport access vlan 10
!
interface Port-channel3
 description "QNAP TS-469U RP"  
 switchport trunk allowed vlan add 10
!
exit
macro auto disabled
ip default-gateway 10.80.1.252