Cisco Forum — Allgemein

DocZenith · 25.06.2010, 19:06

Hallo!

Ich bin gerade am verzweifeln, vielleicht kann mir hier jemand weiterhelfen. Heute Mittag ist ohne Einwirkung, oder Konfigurationsänderung eine VPN Strecke zwischen zwei Standorten ausgefallen. die Verbindung läuft sonst ohne Probleme rund um die uhr. Ich hab beide Router schon neu gestartet; unter sh crypto isakmp sa sieht man kurz, dass die Connection "IDLE" ist, danach direkt wieder down :-(

Befehle wie

clear crypto session remote A.B.C.D oder
clear crypto isakmp ... halfen nicht

Das Debug ist angehängt.

Hoffe das hilft.

Gruß.

Otaku19 · 25.06.2010, 21:08

die interessanten config teile würden sicher auch noch weiterhelfen

XP-Fan · 25.06.2010, 21:14

Ich habe den Anhang von DocZenith freigeschaltet.

Otaku19 · 25.06.2010, 21:20

ok, da kann ich jetzt genau rauslesen das es wohl schon bei Phase 1 Probleme gibt...

DocZenith · 28.06.2010, 11:38

Hier mal ein Debug des zweiten Routers, etwas abgekürzt:

Jun 28 11:17:42.734 GMT1: ISAKMP: : success
Jun 28 11:17:42.734 GMT1: ISAKMP:found peer pre-shared key matching
A.B.C.D
Jun 28 11:17:42.734 GMT1: ISAKMP: local preshared key found
Jun 28 11:17:42.734 GMT1: ISAKMP: Scanning profiles for xauth ... vpnclients
Jun 28 11:17:42.734 GMT1: ISAKMP: Authentication by xauth preshared
Jun 28 11:17:42.734 GMT1: ISAKMP: Checking ISAKMP transform 1 against priority 10 policy
Jun 28 11:17:42.734 GMT1: ISAKMP: encryption 3DES-CBC
Jun 28 11:17:42.734 GMT1: ISAKMP: hash SHA
Jun 28 11:17:42.734 GMT1: ISAKMP: default group 2
Jun 28 11:17:42.734 GMT1: ISAKMP: auth pre-share
Jun 28 11:17:42.734 GMT1: ISAKMP: life type in seconds
Jun 28 11:17:42.734 GMT1: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
Jun 28 11:17:42.734 GMT1: ISAKMP: atts are acceptable. Next payload is 0
Jun 28 11:17:42.742 GMT1: ISAKMP: processing vendor id payload
Jun 28 11:17:42.742 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 69 mismatch
Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 245 mismatch
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v7
Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 157 mismatch
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v3
Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 123 mismatch
Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v2
Jun 28 11:17:42.746 GMT1: ISAKMP: Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jun 28 11:17:42.746 GMT1: ISAKMP: Old State = IKE_R_MM1 New State= IKE_R_MM1
Jun 28 11:17:42.750 GMT1: ISAKMP: constructed NAT-T vendor-07 ID
Jun 28 11:17:42.750 GMT1: ISAKMP: sending packet to A.B.C.D my_port 500 peer_port 500 (R) MM_SA_SETUP
Jun 28 11:17:42.750 GMT1: ISAKMP: Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jun 28 11:17:42.750 GMT1: ISAKMP: Old State = IKE_R_MM1 New State= IKE_R_MM2
Jun 28 11:17:52.723 GMT1: ISAKMP: received packet from A.B.C.D dport 500 sport 500 Global (R) MM_SA_SETUP
Jun 28 11:17:52.723 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet.
Jun 28 11:17:52.723 GMT1: ISAKMP: retransmitting due to retransmit phase 1
Jun 28 11:17:53.223 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP...
Jun 28 11:17:53.223 GMT1: ISAKMP: incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
Jun 28 11:17:53.223 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP
Jun 28 11:17:53.223 GMT1: ISAKMP: sending packet to A.B.C.D my_port 500 peer_port 500 (R) MM_SA_SETUP

Wordo · 28.06.2010, 11:41

Passt da was mit NAT nicht? Das er den Port 4500 nicht mag, bzw. die Firewall davor?

DocZenith · 28.06.2010, 12:05

davor ist keine Firewall. von daher wird also nichts geblockt. es laufen weitere VPNs auf dem Router, NUR diese eine klappt nicht mehr :-(

gibt es denn bestimmte NAT einstellungen die ich für VPNs beachten muss?

Gruß.

Otaku19 · 28.06.2010, 12:37

ja wenn du uns mal die aktuellen Settings zeigen würdest....wenn möglich nur die wichtigen Teile beider Seiten

DocZenith · 28.06.2010, 13:03

Router HH2:

!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key 12345 address A.B.C.D no-xauth
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set ESP_3DES_SHA1 esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto map MERLIN-AUSSEN 20 ipsec-isakmp
description HH2 <-> HH1
set peer A.B.C.D
set security-association lifetime seconds 28800
set transform-set ESP_3DES_SHA1
match address CRYPTOLIST-HH
qos pre-classify
!
interface Dialer1
description TDSL
bandwidth 927
ip address negotiated
ip access-group INTERNET_IN in
no ip unreachables
ip mtu 1492
ip nat outside
ip inspect LAN out
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1300
load-interval 30
dialer pool 1
dialer remote-name dummy
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname ...
ppp chap password ...
ppp ipcp dns request
crypto map MERLIN-AUSSEN
max-reserved-bandwidth 100
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.100.0.0 255.255.0.0 Dialer1
ip route 10.101.110.0 255.255.255.0 10.101.100.2
!
ip nat inside source route-map NATLIST interface Dialer1 overload
!
ip access-list extended CRYPTOLIST-HH
permit ip 10.101.0.0 0.0.255.255 10.100.0.0 0.0.255.255
!

Router HH:

!
crypto keyring aussenstellen
pre-shared-key address 0.0.0.0 0.0.0.0 key 12345
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp keepalive 10
!
crypto isakmp profile aussenstellen
description LANtoLAN IPSec-Verbindungen zu dynamischen DSL-Aussenstellen
keyring default
keyring aussenstellen
match identity address 0.0.0.0
!
crypto ipsec transform-set ESP_3DES_SHA1 esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto dynamic-map dynmap 10
description Terminierung dynamischer DSL-Aussenstellen
set transform-set ESP_3DES_SHA1
set isakmp-profile aussenstellen
!
crypto map MERLIN-AUSSEN 65535 ipsec-isakmp dynamic dynmap
!
interface FastEthernet0/0
description WAN-Interface
bandwidth 10240
ip address A.B.C.D 255.255.255.248
ip access-group INTERNET_IN in
no ip unreachables
ip nat outside
ip inspect LAN out
ip virtual-reassembly
ip tcp adjust-mss 1300
load-interval 30
duplex full
speed 100
no cdp enable
crypto map MERLIN-AUSSEN
max-reserved-bandwidth 100
service-policy output QoS-CC10-Mother
!
ip classless
ip route 0.0.0.0 0.0.0.0 A.B.C.D
ip route 10.100.110.0 255.255.255.0 10.100.100.2
ip route 10.101.0.0 255.255.0.0 A.B.C.D
ip route 10.101.100.0 255.255.255.0 A.B.C.D
ip route 10.101.110.0 255.255.255.0 A.B.C.D
!
ip nat inside source route-map NATLIST interface FastEthernet0/0 overload
!

ip access-list extended INTERNET_IN
...
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any time-exceeded
...
permit ip 10.101.0.0 0.0.255.255 10.100.0.0 0.0.255.255
...
permit udp any host A.B.C.D eq isakmp
permit esp any host A.B.C.D
permit udp any host A.B.C.D eq non500-isakmp
!

bnice · 28.06.2010, 14:45

Hatte vor kurzem genau das gleiche Phänomen - eins von 5 VPNs kam nicht mehr hoch, keine Änderungen durchgeführt und dem Debug nach zu urteilen ein Phase 1 Problem.
Sämtliche Einstellungen mit der Gegenstelle abgeglichen, keinen Fehler gefunden.
Dann einfach auf Verdacht einen neuen PSK generiert und auf beiden Seiten eingetragen, und es lief wieder... Vorher war der PSK aber auch auf beiden Seiten identisch...
Und check ansonsten nochmal, dass beide Router die korrekte Uhrzeit haben (allerdings sollten dann die anderen VPNs auch irgendwann down gehen, wenns da nicht passt)

Cisco Forum — Allgemein

Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls