IPSec VPN Tunnel kommt nicht mehr up

[DocZenith]

Danke für den Hinweis, hat aber leider nicht zum Erfolg geführt.

1) anderer PSK = kein Erfolg
2) Urzeit und Datum sind gleich

[bnice]

Wie sind denn die Settings für Dead Peer Detection (DPD), da scheint was nicht zu passen...
Oder mit NAT, bzw. NAT-T, wie Wordo schon erwähnte?
Ist auf der Gegenseite evtl NAT-T aktiv?

Code:

#crypto isakmp nat-traversal

[DocZenith]

Zitat von bnice Wie sind denn die Settings für Dead Peer Detection (DPD), da scheint was nicht zu passen... Oder mit NAT, bzw. NAT-T, wie Wordo schon erwähnte? Ist auf der Gegenseite evtl NAT-T aktiv? Code: #crypto isakmp nat-traversal

mh...dieser Befehl gibt es bei den Router nicht.

[bnice]

Oops, sorry, war ASA...
Mal sehen, ob ich schnell das Äquivalent fürn Router finde...

Code:

crypto ipsec nat-transparency udp-encapsulation

bzw.

Code:

no crypto ipsec nat-transparency udp-encapsulation

um NAT-T zu deaktivieren

[Otaku19]

Zitat von bnice Und check ansonsten nochmal, dass beide Router die korrekte Uhrzeit haben (allerdings sollten dann die anderen VPNs auch irgendwann down gehen, wenns da nicht passt)

spielt nur bei Zertifikaten ne Rolle

[DocZenith]

Kann es denn sein, dass sich die Verbindungsaufbauversuche beider Router überschneiden, und dadurch Duplikate erzeugt werden und dadurch der Tunnel nicht aufgebaut wird?

Gruß
Ein Verzweifelter

[DocZenith]

Nabend!

Ich hab jetzt mal das Debug geprüft und etwas eingegrenzt, ich schätze es hängt an folgender Sache:

Jun 28 23:31:38.487 GMT1: ISAKMP: constructed NAT-T vendor-07 ID
Jun 28 23:31:38.487 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jun 28 23:31:38.487 GMT1: ISAKMP: Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jun 28 23:31:38.487 GMT1: ISAKMP: Old State = IKE_R_MM1 New State = IKE_R_MM2

Jun 28 23:31:48.467 GMT1: ISAKMP: received packet from 192.168.1.1 dport 500 sport 500 Global (R) MM_SA_SETUP
Jun 28 23:31:48.467 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet.
Jun 28 23:31:48.467 GMT1: ISAKMP: retransmitting due to retransmit phase 1
Jun 28 23:31:48.967 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP...
Jun 28 23:31:48.967 GMT1: ISAKMP: incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
Jun 28 23:31:48.967 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP
Jun 28 23:31:48.967 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jun 28 23:31:58.468 GMT1: ISAKMP: received packet from 192.168.1.1 dport 500 sport 500 Global (R) MM_SA_SETUP
Jun 28 23:31:58.468 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet.
Jun 28 23:31:58.468 GMT1: ISAKMP: retransmitting due to retransmit phase 1
Jun 28 23:31:58.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP...
Jun 28 23:31:58.968 GMT1: ISAKMP: incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
Jun 28 23:31:58.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP
Jun 28 23:31:58.968 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jun 28 23:32:08.468 GMT1: ISAKMP: received packet from 192.168.1.1 dport 500 sport 500 Global (R) MM_SA_SETUP
Jun 28 23:32:08.468 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet.
Jun 28 23:32:08.468 GMT1: ISAKMP: retransmitting due to retransmit phase 1
Jun 28 23:32:08.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP...
Jun 28 23:32:08.968 GMT1: ISAKMP: incrementing error counter on sa, attempt 3 of 5: retransmit phase 1
Jun 28 23:32:08.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP
Jun 28 23:32:08.968 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 (R) MM_SA_SETUP

Der Router versucht 5 mal hintereinander die Verbindung aufzubauen, scheitert aber immer wieder an dem was hier im Debug steht. Danach läuft eigentlich alles wieder von vorne ab. Leider hab ich noch nicht genau rausfinden können, was es sein kann.

Vielleicht hat jemand einen Gedankenblitz, ein Tipp oder ne Idee.

Gruß.

[Wordo]

Ja, ich hab eine ... dieselbe von vorhin:

Da ist ein NAT-Device dazwischen, einer der Router erkennt das, stellt um auf Kommunikation mit Port 4500. Der andere Router erhaelt/erkennt das nicht, also kommt nach einem Timeout wieder 500. Das ist dann der duplicate ...

Comprende?

[DocZenith]

Hallo Wordo,

naja, nicht wirklich Comprende :-(

Es gibt kein physikalisches NAT-Device. Es gibt an jedem Ende ein Router, der direkt am Company Connect des rosa T's hängt, mit öffentl. IP. Auf dem Router selbst ist das NAT konfiguriert, so wie es schon immer konfiguriert war:

IP NAT INSIDE, IP NAT OUTSIDE an den Interfaces und...

ip nat inside source route-map NATLIST interace FastEthernet0/0 overload

route-map NATLIST permit 10
match ip address NONAT

ip access-list extended NONAT
...

Ich kenne sonst keine weitere NAT Einstellung die evtl. explizit für VPN Konfigurationen genutzt wird. Vielleicht reden wir aneinander vorbei.

Aber ich schau weiter die Konfig durch, hoffe noch etwas zu finden...

[Wordo]

Hm ... ich wuerde an der Zentrale mit den dyn-maps mal ALLES debuggen.

Und dann an einer Stelle einen Catalyst zwischen Modem und Router haengen und mal mit nem Sniffer da ran.