brammer
Goto Top

IPSec Site to Site tunnel send errors

Hallo,

ich habe einen existierenden Site to Site Tunnel durch den mehrere Netze gehen . Tunnel ist auch in Ordnung
Aber mit einem Netz habe ich eine Problem.

xxxxxxxxx001#sh cry ipsec sa peer xxx.xxx.xxx.xxx | beg 10.170.173.217
   remote ident (addr/mask/prot/port): (10.170.173.217/255.255.255.255/0/0)
   current_peer xxx.xxx.xxx.xxx port 500
     PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
    **#pkts encaps: 0, **#pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    **#send errors 1863**, #recv errors 0

auf die IP 10.170.173.217 läuft ein dauerping

Eigentlich sollte der counter für

#pkts encaps
die Pakete hochzählen....

tut er aber nicht... .

aber der Zähler für #send errors
zählt hoch ....

Da der #send errors counter hoch zählt weiß ich das die Pakete am Tunnel ankommen, aber wieso werden die als send errors gezählt?
Und wo setze ich an?

brammer

Content-ID: 395031

Url: https://administrator.de/forum/ipsec-site-to-site-tunnel-send-errors-395031.html

Ausgedruckt am: 24.12.2024 um 20:12 Uhr

aqui
aqui 07.12.2018 um 15:15:58 Uhr
Goto Top
Sieht ja etwas nach Cisco aus... face-wink
Möglich das die ACL nicht stimmt die den Traffic für diesen Tunnel klassifiziert. Hast du das mal geprüft ? Gilt auch für die remote Seite.
MTU kommt einem da auch in den Sinn.
Der Tunnel selber kommt ja problemlos zustande, oder gibts da Auffälligkeiten im Log ?
brammer
brammer 07.12.2018 um 15:47:34 Uhr
Goto Top
Hallo ,

@aqui
in dem Tunnel sind diverse Netze. die sind erreichbar.
MTU Size sollte daher kein Thema sein.
die ACL zählt meine Ping suaber mit hoch... der #send errors geht parallel dazu hoch....

xxxxxxxxxr001#sh access-lists | inc 10.170.173.217
    970 permit ip 192.168.216.0 0.0.7.255 host 10.170.173.217 (114916 matches)
xxxxxxxxx001#sh access-lists | inc 10.170.173.217
    970 permit ip 192.168.216.0 0.0.7.255 host 10.170.173.217 (114918 matches)
xxxxxxxxx001#sh access-lists | inc 10.170.173.217
    970 permit ip 192.168.216.0 0.0.7.255 host 10.170.173.217 (115035 matches)
xxxxxxxxx001#

Und ja ... natürlich Cisco.... Gegenseite übrigens auch

Ich vermute das die ACL auf der Gegenseite das Problem ist.
Wenn auf der Gegenseite das Netz unbekannt ist wird encaps pkts nicht hochzählen können da die Gegenseite das Packet verwirft und auf meiner Seite geht dadurch #send errors hoch...

aber gegenüber der Dienstleister ist im Wochenende....

brammer
aqui
aqui 08.12.2018 um 12:35:53 Uhr
Goto Top
Ja, denke ich auch. Checke die Gegenseite mal. Da landet einseitg irgendwas im Tunnel was die andere Seite nicht mag.