Jump to content

ASA VPN Client -Fragen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

wer hat Erfahrung mit diversen Einstellungsmöglichkeiten bei den Anbindungen von IPSec- und SSL-Clients und kann mir Tips für sinnvolle Einstellungen geben:

- Monitor keepalives

- Keepalive Messages

 

SSL VPN Client

Key Renegotiation Settings

- Renegotiation Interval

- Renegotiation Method

Dead Peer Detection

- Gateway Side Detection

- Client Side Detection

 

Ich habe die Dokus gelesen, habe aber nicht verstanden, wie sich die einzelnen Einstellungen in der Praxis auswirken könnten.

 

Glady

Link to comment
  • 2 months later...

Bei SSL VPN´s habe ich keine Erfahrungen, bei IPSec kann ich Dir etwas zu den keepalive´s mitteilen.

 

Nachdem wir nun ca. 6 Wochen unsere ASA´s im Einsatz haben laufen die IPSec-Clients stabil. Anfangs hatte ich massive Probleme, dass die Verbindungen in unregelmäßigen Abständen (3 min. - 8 min. - 15 min - 45 min. usw) abbrachen. Dabei hatte ich die Vorgabe eines CCIE beherzigt und ein keepalive von 30/2 gewählt. Hiebei habe ich weiter festgestellt, dass Clients, die hinter einem NAT-Device lagen und damit NAT-T nutzten länger die Verbindung gehalten haben, als die, die nicht NAT-T nicht nutzten. Dies waren speziell unsere UMTS-User, da diese eine globale IP vom Provider zugewiesen bekommen. Nach langen Hin-und-Her habe ich mich nun entschlossen das Fetaure "Headend will never initiate keepalive monitoring" (über ASDM) zu aktivieren. Dies hat zum Nachteil, dass ungewollte Verbindungsabbrüche erst nach einem IDLE-Timeout von 30 min. auf dem VPN-Server bemerkt werden. Weitere Nachteile habe ich noch nicht festgestellt und sind mir auch nicht bekannt.

Link to comment

Hi,

 

meinst Du mit NAT-T den klassichen DSL-Zugang mit einem "NAT-Router", der also ein privates Netz mit einer öffentlichen IP im Internet darstellt? Ist das bei UMTS theretisch nicht gleich? Die Karte erhäkt eine private IP vom Provider und wird dann wieder in eine öffentiche IP gewandelt. Ich nehme an, die machen das auch per PAT, ist also keine 1:1 staische Umsetzung.

 

Vielleicht kann mich jemand aufklären.

 

Ich habe das Feature "Headend will never initiate keepalive monitoring" über ASDM auf der ASA nicht gefunden.

Link to comment
Hi,

 

meinst Du mit NAT-T den klassichen DSL-Zugang mit einem "NAT-Router", der also ein privates Netz mit einer öffentlichen IP im Internet darstellt?

 

Ja!

 

 

Ist das bei UMTS theretisch nicht gleich?Die Karte erhäkt eine private IP vom Provider und wird dann wieder in eine öffentiche IP gewandelt. Ich nehme an, die machen das auch per PAT, ist also keine 1:1 staische Umsetzung.

 

Unsere Firma hat Vodafone als UMTS-Anbieter und die arbeiten mittlerweile wegen altbekannter Problematik beim NAT mit globalen IP´s, d.h. es erfolgt keine Adressumsetzung mehr.

 

 

Ich habe das Feature "Headend will never initiate keepalive monitoring" über ASDM auf der ASA nicht gefunden

 

Configuration\Remote Access VPN\ Network (Client) Access\IPsec Connection Profiles\<dein profile>\Advanced\IPSec\IKE Keepalive

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...