DPD-Abgebrochene VPN-Verbindungen werden nicht gelöscht
Hallo zusammen,
wir nutzen einen Cisco 2811 mit IOS-Version 12.4(3a) und den Cisco VPN-Client Ver. 4.8.01 um unsere Aussendienstler anzubinden.
Ab und zu tritt folgendes Problem auf:
Die Internet-Verbindung bricht z.B. durch fehlende GPRS-/UMTS-Versorgung ab, der VPN-Client verliert die Verbindung zum VPN-Gateway. Meistens ist dies kein Problem, sobald wieder I-Netverb. vorhanden ist, kann man sich neu am VPN-GW anmelden. Doch ab und an funktioniert dies dann nicht mehr, der Client zeigt nur "Contacting the security gateway" an und der Befehl "show crypto session groups" zeigt den User auch noch an, als wäre er noch eingewählt (wir nutzen pro User eine Gruppe).
In der Ausgabe von "show crypto session detail" sind jedoch keine Informationen, wie z.B. öffentl. IP-Adresse, zu dem User zu finden. Daher kann die verwaiste Verbindung auch nicht mit "clear crypto..." rausgelöscht werden.
Eigentlich sollte ja Dead Peer Detection solche Probleme lösen. Folgendes haben wir konfiguriert:
crypto isakmp keepalive 60 periodic
Die Ausgabe von "debug crypto isakmp" bestätigt uns, dass DPD funktioniert. Allerdings sind keine DPD/R_U_THERE-Pakete zwischen VPN-GW und Client zu sehen. Bis auf die o.g. Groups-Einträge sieht alles so aus, als wenn der jeweilige User nicht mehr aktiv wäre.
Manchmal ist das Problem nach mehreren Stunden erledigt, der User erscheint nicht mehr. Nach einem reload ist das Problem ebenfalls behoben.
Hat jemand ne Idee?
Vielen Dank im Voraus.
Cruz,
Stefan
|
