Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec Site to Site tunnel send errors

Mitglied: brammer

brammer (Level 4) - Jetzt verbinden

07.12.2018 um 13:47 Uhr, 193 Aufrufe, 3 Kommentare

Hallo,

ich habe einen existierenden Site to Site Tunnel durch den mehrere Netze gehen . Tunnel ist auch in Ordnung
Aber mit einem Netz habe ich eine Problem.

01.
xxxxxxxxx001#sh cry ipsec sa peer xxx.xxx.xxx.xxx | beg 10.170.173.217
02.
   remote ident (addr/mask/prot/port): (10.170.173.217/255.255.255.255/0/0)
03.
   current_peer xxx.xxx.xxx.xxx port 500
04.
     PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
05.
    **#pkts encaps: 0, **#pkts encrypt: 0, #pkts digest: 0
06.
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
07.
    #pkts compressed: 0, #pkts decompressed: 0
08.
    #pkts not compressed: 0, #pkts compr. failed: 0
09.
    #pkts not decompressed: 0, #pkts decompress failed: 0
10.
    **#send errors 1863**, #recv errors 0
auf die IP 10.170.173.217 läuft ein dauerping

Eigentlich sollte der counter für

#pkts encaps
die Pakete hochzählen....

tut er aber nicht... .

aber der Zähler für #send errors
zählt hoch ....

Da der #send errors counter hoch zählt weiß ich das die Pakete am Tunnel ankommen, aber wieso werden die als send errors gezählt?
Und wo setze ich an?

brammer
Mitglied: aqui
07.12.2018 um 15:15 Uhr
Sieht ja etwas nach Cisco aus...
Möglich das die ACL nicht stimmt die den Traffic für diesen Tunnel klassifiziert. Hast du das mal geprüft ? Gilt auch für die remote Seite.
MTU kommt einem da auch in den Sinn.
Der Tunnel selber kommt ja problemlos zustande, oder gibts da Auffälligkeiten im Log ?
Bitte warten ..
Mitglied: brammer
07.12.2018 um 15:47 Uhr
Hallo ,

@aqui
in dem Tunnel sind diverse Netze. die sind erreichbar.
MTU Size sollte daher kein Thema sein.
die ACL zählt meine Ping suaber mit hoch... der #send errors geht parallel dazu hoch....

01.
xxxxxxxxxr001#sh access-lists | inc 10.170.173.217
02.
    970 permit ip 192.168.216.0 0.0.7.255 host 10.170.173.217 (114916 matches)
03.
xxxxxxxxx001#sh access-lists | inc 10.170.173.217
04.
    970 permit ip 192.168.216.0 0.0.7.255 host 10.170.173.217 (114918 matches)
05.
xxxxxxxxx001#sh access-lists | inc 10.170.173.217
06.
    970 permit ip 192.168.216.0 0.0.7.255 host 10.170.173.217 (115035 matches)
07.
xxxxxxxxx001#
Und ja ... natürlich Cisco.... Gegenseite übrigens auch

Ich vermute das die ACL auf der Gegenseite das Problem ist.
Wenn auf der Gegenseite das Netz unbekannt ist wird encaps pkts nicht hochzählen können da die Gegenseite das Packet verwirft und auf meiner Seite geht dadurch #send errors hoch...

aber gegenüber der Dienstleister ist im Wochenende....

brammer
Bitte warten ..
Mitglied: aqui
08.12.2018 um 12:35 Uhr
Ja, denke ich auch. Checke die Gegenseite mal. Da landet einseitg irgendwas im Tunnel was die andere Seite nicht mag.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routingproblem IPsec Tunnel
gelöst Frage von tvprog1Router & Routing3 Kommentare

Hallo, folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider ...

Netzwerke
Ipsec VPN Tunnel RV110W - Bintec Be.IP
Frage von Zero01Netzwerke2 Kommentare

Hallo, kann mir jemand helfen eine IPsec LAN - LAN Verbindung zwischen diesen beiden Geräten auf zu bauen? Ist ...

Router & Routing

IPsec VPN Tunnel - Tunnel ok aber div. Clients nicht sichtbar?

gelöst Frage von joeyschweizRouter & Routing5 Kommentare

Hallo Zusammen, ich stehe gerade vor einem Rätsel. Um ein Homeofficeplatz mit dem Firmennetzwerk zu verbinden wurde eine IPsec ...

Batch & Shell

ERRORS Entfernen

Frage von tefayeBatch & Shell7 Kommentare

Hey ^^ ich spiele gerade bisl mit Batch herrum und wollte fragen wie man die Errors Weg bekommt ;D ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 2 TagenHumor (lol)3 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 3 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 6 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 6 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
PCIe 1.0 Grafikkarte für 3840x2160
Frage von Windows10GegnerGrafikkarten & Monitore29 Kommentare

Hallo, mein Vater hat einen neuen Monitor gekauft, welcher eine native Auflösung von 3840*2160 hat. Diese muss jetzt auch ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

Windows Server
Dienstnamen und oder Deutsche und Englische Beschreibung in services.msc gleichzeitig anzeigen
gelöst Frage von vafk18Windows Server21 Kommentare

Guten Morgen, die Suche nach Diensten in services.msc gestaltet sich immer wieder schwierig, weil mir je nach Aufgabe die ...

Linux
Info Monitor für eine Schule
gelöst Frage von CAT404Linux13 Kommentare

Moin, ich möchte einen Infomonitor betreiben; derzeit läuft da ein Windows 10 Rechner bei dem Firefox beim Start in ...