underline
Goto Top

Probleme mit Cisco ASA 5510

Sporadischer Ausfall einer Cisco ASA 5510

Hallo,

ich habe mal wieder ein Problem mit einer ASA 5510.
Diese dient hier als VPN Gateway für unsere Geschäftstellen.

ASA Version 7.2(3)
ASDM 5.2(3)

Es hängen zur Zeit sieben L2L Tunnel an der ASA 5510. Diese funkionieren einwandfrei ... bis irgendwann alle Tunnels wegbrechen und sich nicht mehr authentifizieren können.

Folgende Meldung hab ich nun mitgeloggt:

2008-09-02 15:47:48	Local4.Debug	10.10.0.2	%ASA-7-715065: IP = 217.91.54.xx, IKE MM Responder FSM error history (struct &0x48890a0)  <state>, <event>:  MM_DONE, EV_ERROR-->MM_WAIT_MSG3, EV_TIMEOUT-->MM_WAIT_MSG3, NullEvent-->MM_SND_MSG2, EV_SND_MSG-->MM_SND_MSG2, EV_START_TMR-->MM_SND_MSG2, EV_RESEND_MSG-->MM_WAIT_MSG3, EV_TIMEOUT-->MM_WAIT_MSG3, NullEvent
2008-09-02 15:47:48	Local4.Debug	10.10.0.2	%ASA-7-713906: IP = 217.91.54.xx, IKE SA MM:2872595f terminating:  flags 0x01000002, refcnt 0, tuncnt 0
2008-09-02 15:47:48	Local4.Debug	10.10.0.2	%ASA-7-713906: IP = 217.91.54.xx, sending delete/delete with reason message
2008-09-02 15:47:48	Local4.Error	10.10.0.2	%ASA-3-713902: IP = 217.91.54.xx, Removing peer from peer table failed, no match!
2008-09-02 15:47:48	Local4.Warning	10.10.0.2	%ASA-4-713903: IP = 217.91.54.xx, Error: Unable to remove PeerTblEntry
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-710005: UDP request discarded from 0.0.0.0/68 to Inside:255.255.255.255/67
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-715065: IP = 217.91.54.xx, IKE MM Responder FSM error history (struct &0x47e01d8)  <state>, <event>:  MM_DONE, EV_ERROR-->MM_WAIT_MSG3, EV_TIMEOUT-->MM_WAIT_MSG3, NullEvent-->MM_SND_MSG2, EV_SND_MSG-->MM_SND_MSG2, EV_START_TMR-->MM_SND_MSG2, EV_RESEND_MSG-->MM_WAIT_MSG3, EV_RESEND_MSG-->MM_WAIT_MSG3, NullEvent
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-713906: IP = 217.91.54.xx, IKE SA MM:dc365d5e terminating:  flags 0x01000002, refcnt 0, tuncnt 0
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-713906: IP = 217.91.54.xx, sending delete/delete with reason message
2008-09-02 15:47:49	Local4.Error	10.10.0.2	%ASA-3-713902: IP = 217.91.54.xx, Removing peer from peer table failed, no match!
2008-09-02 15:47:49	Local4.Warning	10.10.0.2	%ASA-4-713903: IP = 217.91.54.xx, Error: Unable to remove PeerTblEntry
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-713236: IP = 217.91.54.xx, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 108
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-715047: IP = 217.91.54.xx, processing SA payload
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-713906: IP = 217.91.54.xx, Oakley proposal is acceptable
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-715047: IP = 217.91.54.xx, processing VID payload
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-715049: IP = 217.91.54.xx, Received Fragmentation VID
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-715064: IP = 217.91.54.xx, IKE Peer included IKE fragmentation capability flags:  Main Mode:        True  Aggressive Mode:  True
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-715047: IP = 217.91.54.xx, processing IKE SA payload
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-715028: IP = 217.91.54.xx, IKE SA Proposal # 1, Transform # 1 acceptable  Matches global IKE entry # 3
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-715046: IP = 217.91.54.xx, constructing ISAKMP SA payload
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-715046: IP = 217.91.54.xx constructing Fragmentation VID + extended capabilities payload
2008-09-02 15:47:49	Local4.Debug	10.10.0.2	%ASA-7-713236: IP = 217.91.54.xx, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 108


Nach Reboot/Reload der ASA 5510 können sich die Geschäftstellen ASAs wieder verbinden. Und alles funktioniert wieder bis der gleiche Fehler wieder auftritt !

Kann mir bitte irgendwer helfen um dieses Problem zu lösen ??

Danke und Gruß

Underline

Content-ID: 95919

Url: https://administrator.de/forum/probleme-mit-cisco-asa-5510-95919.html

Ausgedruckt am: 24.12.2024 um 17:12 Uhr

Akosbeginner
Akosbeginner 11.12.2008 um 10:04:06 Uhr
Goto Top
Probleme mit Cisco ASA 5510

1. Was für ein Firewall gibt es auf der andere Seite? Wenn Cisco ASA/PIX: Was ist die Software Version des Firewalls? Vielleicht eine Siete ist buggy?
2. Hast du schon Release Note untersucht für deine Version?
3. In jedem fall müssen wir untersuchen cisco.com für Fehlermeldungs:

Error Message %PIX|ASA-7-715065: IKE state_machine subtype FSM error history (struct
data_structure_address) state, event: state/event pairs

Explanation A phase 1 error occurred and the state, event history pairs will be displayed in reverse chronological order.

Recommended Action Most of these errors are benign. If these messages are associated with undesirable behavior, then copy the error message exactly as it appears on the console or in the system log, contact the Cisco TAC for further support and provide the gathered information.

Quelle:
http://cisco.com/en/US/docs/security/asa/asa72/system/message/logmsgs.h ...

Wenn du keine Möglichkeit zu TAC Dienstlesitung hast, kannst du eine andere SW Version versuchen, vielleicht 7.2.4 funktioniert besser, ohne Fehler face-wink


Akos