Probleme mit Cisco ASA 5510
Sporadischer Ausfall einer Cisco ASA 5510
Hallo,
ich habe mal wieder ein Problem mit einer ASA 5510.
Diese dient hier als VPN Gateway für unsere Geschäftstellen.
ASA Version 7.2(3)
ASDM 5.2(3)
Es hängen zur Zeit sieben L2L Tunnel an der ASA 5510. Diese funkionieren einwandfrei ... bis irgendwann alle Tunnels wegbrechen und sich nicht mehr authentifizieren können.
Folgende Meldung hab ich nun mitgeloggt:
Nach Reboot/Reload der ASA 5510 können sich die Geschäftstellen ASAs wieder verbinden. Und alles funktioniert wieder bis der gleiche Fehler wieder auftritt !
Kann mir bitte irgendwer helfen um dieses Problem zu lösen ??
Danke und Gruß
Underline
Hallo,
ich habe mal wieder ein Problem mit einer ASA 5510.
Diese dient hier als VPN Gateway für unsere Geschäftstellen.
ASA Version 7.2(3)
ASDM 5.2(3)
Es hängen zur Zeit sieben L2L Tunnel an der ASA 5510. Diese funkionieren einwandfrei ... bis irgendwann alle Tunnels wegbrechen und sich nicht mehr authentifizieren können.
Folgende Meldung hab ich nun mitgeloggt:
2008-09-02 15:47:48 Local4.Debug 10.10.0.2 %ASA-7-715065: IP = 217.91.54.xx, IKE MM Responder FSM error history (struct &0x48890a0) <state>, <event>: MM_DONE, EV_ERROR-->MM_WAIT_MSG3, EV_TIMEOUT-->MM_WAIT_MSG3, NullEvent-->MM_SND_MSG2, EV_SND_MSG-->MM_SND_MSG2, EV_START_TMR-->MM_SND_MSG2, EV_RESEND_MSG-->MM_WAIT_MSG3, EV_TIMEOUT-->MM_WAIT_MSG3, NullEvent
2008-09-02 15:47:48 Local4.Debug 10.10.0.2 %ASA-7-713906: IP = 217.91.54.xx, IKE SA MM:2872595f terminating: flags 0x01000002, refcnt 0, tuncnt 0
2008-09-02 15:47:48 Local4.Debug 10.10.0.2 %ASA-7-713906: IP = 217.91.54.xx, sending delete/delete with reason message
2008-09-02 15:47:48 Local4.Error 10.10.0.2 %ASA-3-713902: IP = 217.91.54.xx, Removing peer from peer table failed, no match!
2008-09-02 15:47:48 Local4.Warning 10.10.0.2 %ASA-4-713903: IP = 217.91.54.xx, Error: Unable to remove PeerTblEntry
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-710005: UDP request discarded from 0.0.0.0/68 to Inside:255.255.255.255/67
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-715065: IP = 217.91.54.xx, IKE MM Responder FSM error history (struct &0x47e01d8) <state>, <event>: MM_DONE, EV_ERROR-->MM_WAIT_MSG3, EV_TIMEOUT-->MM_WAIT_MSG3, NullEvent-->MM_SND_MSG2, EV_SND_MSG-->MM_SND_MSG2, EV_START_TMR-->MM_SND_MSG2, EV_RESEND_MSG-->MM_WAIT_MSG3, EV_RESEND_MSG-->MM_WAIT_MSG3, NullEvent
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-713906: IP = 217.91.54.xx, IKE SA MM:dc365d5e terminating: flags 0x01000002, refcnt 0, tuncnt 0
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-713906: IP = 217.91.54.xx, sending delete/delete with reason message
2008-09-02 15:47:49 Local4.Error 10.10.0.2 %ASA-3-713902: IP = 217.91.54.xx, Removing peer from peer table failed, no match!
2008-09-02 15:47:49 Local4.Warning 10.10.0.2 %ASA-4-713903: IP = 217.91.54.xx, Error: Unable to remove PeerTblEntry
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-713236: IP = 217.91.54.xx, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 108
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-715047: IP = 217.91.54.xx, processing SA payload
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-713906: IP = 217.91.54.xx, Oakley proposal is acceptable
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-715047: IP = 217.91.54.xx, processing VID payload
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-715049: IP = 217.91.54.xx, Received Fragmentation VID
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-715064: IP = 217.91.54.xx, IKE Peer included IKE fragmentation capability flags: Main Mode: True Aggressive Mode: True
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-715047: IP = 217.91.54.xx, processing IKE SA payload
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-715028: IP = 217.91.54.xx, IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 3
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-715046: IP = 217.91.54.xx, constructing ISAKMP SA payload
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-715046: IP = 217.91.54.xx constructing Fragmentation VID + extended capabilities payload
2008-09-02 15:47:49 Local4.Debug 10.10.0.2 %ASA-7-713236: IP = 217.91.54.xx, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 108
Nach Reboot/Reload der ASA 5510 können sich die Geschäftstellen ASAs wieder verbinden. Und alles funktioniert wieder bis der gleiche Fehler wieder auftritt !
Kann mir bitte irgendwer helfen um dieses Problem zu lösen ??
Danke und Gruß
Underline
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 95919
Url: https://administrator.de/forum/probleme-mit-cisco-asa-5510-95919.html
Ausgedruckt am: 24.12.2024 um 17:12 Uhr
1 Kommentar
Probleme mit Cisco ASA 5510
1. Was für ein Firewall gibt es auf der andere Seite? Wenn Cisco ASA/PIX: Was ist die Software Version des Firewalls? Vielleicht eine Siete ist buggy?
2. Hast du schon Release Note untersucht für deine Version?
3. In jedem fall müssen wir untersuchen cisco.com für Fehlermeldungs:
Error Message %PIX|ASA-7-715065: IKE state_machine subtype FSM error history (struct
data_structure_address) state, event: state/event pairs
Explanation A phase 1 error occurred and the state, event history pairs will be displayed in reverse chronological order.
Recommended Action Most of these errors are benign. If these messages are associated with undesirable behavior, then copy the error message exactly as it appears on the console or in the system log, contact the Cisco TAC for further support and provide the gathered information.
Quelle:
http://cisco.com/en/US/docs/security/asa/asa72/system/message/logmsgs.h ...
Wenn du keine Möglichkeit zu TAC Dienstlesitung hast, kannst du eine andere SW Version versuchen, vielleicht 7.2.4 funktioniert besser, ohne Fehler
Akos
1. Was für ein Firewall gibt es auf der andere Seite? Wenn Cisco ASA/PIX: Was ist die Software Version des Firewalls? Vielleicht eine Siete ist buggy?
2. Hast du schon Release Note untersucht für deine Version?
3. In jedem fall müssen wir untersuchen cisco.com für Fehlermeldungs:
Error Message %PIX|ASA-7-715065: IKE state_machine subtype FSM error history (struct
data_structure_address) state, event: state/event pairs
Explanation A phase 1 error occurred and the state, event history pairs will be displayed in reverse chronological order.
Recommended Action Most of these errors are benign. If these messages are associated with undesirable behavior, then copy the error message exactly as it appears on the console or in the system log, contact the Cisco TAC for further support and provide the gathered information.
Quelle:
http://cisco.com/en/US/docs/security/asa/asa72/system/message/logmsgs.h ...
Wenn du keine Möglichkeit zu TAC Dienstlesitung hast, kannst du eine andere SW Version versuchen, vielleicht 7.2.4 funktioniert besser, ohne Fehler
Akos