CISCO ASA 5510 VPN-Unterbrechung

[Schahn]

Hallo,

ich habe ein eigenartiges Problem. Zunächst in Kurzfassung unsere Konfiguration hier:

- 2x CISCO ASA 5510 (Failover-Verbund)
- 1x SDSL-Leitung Versatel mit festem IP-Bereich permanenter Verbindung (VPN direkt)
- 1x SDSL-Leitung T-Com mit Einwahl und fester IP (VPN über NAT-T)
- Aussenstellen: CISCO 876 bzw. 871

Es geht um die T-SDSL-Leitung. Die Einwahl wird von einem CISCO 871 bewerkstelligt, der in einer DMZ steht und über einen HP ProCurve Switch 1700-8G an einem der Outside-Interface der ASA hängt.

Es passiert nun folgendes:

Die Aussenstellen bauen das VPN auf über die Leitung. Die Verbindung ist funktional. Sporadisch fällt jedoch der Datentransfer auf dem Outside-Interface für 10-20 sec auf nahezu 0, aber OHNE dass die PPP-Verbindung unterbrochen wird. Das führt dann, je nach Länge des "Aussetzers" zum Zusammenbruch der VPN-Tunnel. Diese bauen sich i.d.R. relativ schnell wieder auf, da wir aber draussen Citrix-Sessions fahren, bleibt jedesmal alles dort stehen.

Wir haben schon folgendes gemacht:

- T-Com angemault... mehrtägige Leitungsüberwachung brachte keine Fehler
- VPN-Timeouts verändert... keine Besserung
- Mittels SLA-Monitor mit sehr kurzer Wartezeit versucht, den Aussetzer irg.wie zu loggen... kein Erfolg

Wie es ausschaut, ist die Leitung für die ASA immer ok, im Debug-Log werden nur die VPN-Abbrüche dokumentiert, entweder mit "Lost Service" oder mit "Keepalive DPD".

Ich bin gelinde gesagt vollkommen ratlos mittlerweile, woran das liegen könnte. Hat hier vielleicht jemand ein paar Tipps parat?

Vielen Dank schonmal

mfg, Schahn

[Wordo]

Kannst du vll. ne kleine Zeichnung posten? Ich komm grad mit 871, Einwahl, hinter ASA nicht ganz klar.

[Schahn]

Bitteschön... Ich habe mal alles unwichtige ausgeblendet. Der dargestellte Zweig macht den Ärger. Der angesprochene HP-Switch ist hier nicht zu sehen. Der verbindet die jeweiligen Outside3 der beiden ASAs mit dem 871.

http://www.schahn.de/ASA.jpg

mfg, Schahn

[Wordo]

D.H. die ASA macht VPN? Sind die im Active/Active konfiguriert? Wie sieht denn dann die NAT Konfiguration auf der 871 aus?

[Schahn]

Das Failover ist Active/Standby...

Das NAT im 871 ist nach innen und aussen aktiviert (ip nat inside am VLAN1, ip nat outside am DI10). Der 871 nat-tet also in seine DMZ 192.168.20.0. Auf dem 871 ist alles offen, die ASA macht dann den VPN-Tunnel zu den Aussenstellen.

Grundsätzlich funktioniert ja alles, auch manchmal viele Stunden lang. Bis es dann wieder "kracht". Das sieht im Interface-Log dann so aus:

Cisco ASDM 6.0 for ASA - 10.10.10.2 - Graph (1)
Interface outside3, Bit Rates
ASA Time (CEST) Input Bit Rate (Kbps) Output Bit Rate (Kbps)
22.02.2008 11:49 473 456
22.02.2008 11:49 540 686
22.02.2008 11:49 489 627
22.02.2008 11:49 296 10
22.02.2008 11:49 53 1
22.02.2008 11:49 74 1
22.02.2008 11:50 52 1
22.02.2008 11:50 38 1
22.02.2008 11:50 133 489
22.02.2008 11:50 506 912
22.02.2008 11:50 339 493
22.02.2008 11:50 261 407

Wie man sieht, fällt die Output-Bitrate faktisch auf 0. Das führt dann zur Trennung der VPNs, entweder von ASA-Seite oder von Aussenstellen-Seite, je nachdem, wo zuerst das Timeout greift.

mfg, Schahn

[Wordo]

Da du ja Pakete noch empfaengst sollte es an der ASA liegen. kannst du denn in der Zeit die 871 pingen? Nur zum testen obs an der ASA generell oder nur am VPN liegt.

[Schahn]

Den 871 habe ich nicht pingen lassen, aber ich habe ein Trackobjekt mit SLA-Monitor auf eine externe Adresse laufen über dieses Interface mit sehr geringer Toleranz, der müsste sich also im Log melden, wenn Unterbrechungen von mehr als 1 sec auftreten. Tut er aber nicht, mit anderen Worten, pingen nach draussen scheint zu gehen, auch während der "Hänger"

mfg, Schahn

[Wordo]

Das Tracking laeuft aber auf der ASA und geht nicht durch!

[Schahn]

Na ich denke ja schon, sonst würde ich ja einen Log-Eintrag bekommen. Habe ja auch noch andere Trackobjekte, die auch reagieren, wenn z.B. eine Leitung komplett stirbt.

Das Trackobjekt pingt also von der ASA aus eine externe Adresse im Internet an, also quasi durch den 871 durch. Wenn es da klemmen würde, käme der Ping ja nicht durch.

Hm... Alles sehr verworren. Ich könnte ja mal nen Call bei CISCO aufmachen, aber was soll ich denen erzählen?

mfg, Schahn

[Wordo]

Du musst von deinem LAN aus tracken um das weiter eingrenzen zu koennen.