Hallo,
ich habe ein eigenartiges Problem. Zunächst in Kurzfassung unsere Konfiguration hier:
- 2x CISCO ASA 5510 (Failover-Verbund)
- 1x SDSL-Leitung Versatel mit festem IP-Bereich permanenter Verbindung (VPN direkt)
- 1x SDSL-Leitung T-Com mit Einwahl und fester IP (VPN über NAT-T)
- Aussenstellen: CISCO 876 bzw. 871
Es geht um die T-SDSL-Leitung. Die Einwahl wird von einem CISCO 871 bewerkstelligt, der in einer DMZ steht und über einen HP ProCurve Switch 1700-8G an einem der Outside-Interface der ASA hängt.
Es passiert nun folgendes:
Die Aussenstellen bauen das VPN auf über die Leitung. Die Verbindung ist funktional. Sporadisch fällt jedoch der Datentransfer auf dem Outside-Interface für 10-20 sec auf nahezu 0, aber OHNE dass die PPP-Verbindung unterbrochen wird. Das führt dann, je nach Länge des "Aussetzers" zum Zusammenbruch der VPN-Tunnel. Diese bauen sich i.d.R. relativ schnell wieder auf, da wir aber draussen Citrix-Sessions fahren, bleibt jedesmal alles dort stehen.
Wir haben schon folgendes gemacht:
- T-Com angemault... mehrtägige Leitungsüberwachung brachte keine Fehler
- VPN-Timeouts verändert... keine Besserung
- Mittels SLA-Monitor mit sehr kurzer Wartezeit versucht, den Aussetzer irg.wie zu loggen... kein Erfolg
Wie es ausschaut, ist die Leitung für die ASA immer ok, im Debug-Log werden nur die VPN-Abbrüche dokumentiert, entweder mit "Lost Service" oder mit "Keepalive DPD".
Ich bin gelinde gesagt vollkommen ratlos mittlerweile, woran das liegen könnte. Hat hier vielleicht jemand ein paar Tipps parat?
Vielen Dank schonmal :)
mfg, Schahn