ASA VPN Client -Fragen

[glady 10]

Hallo,

 

wer hat Erfahrung mit diversen Einstellungsmöglichkeiten bei den Anbindungen von IPSec- und SSL-Clients und kann mir Tips für sinnvolle Einstellungen geben:

- Monitor keepalives

- Keepalive Messages

 

SSL VPN Client

Key Renegotiation Settings

- Renegotiation Interval

- Renegotiation Method

Dead Peer Detection

- Gateway Side Detection

- Client Side Detection

 

Ich habe die Dokus gelesen, habe aber nicht verstanden, wie sich die einzelnen Einstellungen in der Praxis auswirken könnten.

 

Glady

[glady 10]

Hat schon jemand Erfahrungen mit diesen Parametern machen können?

 

Die Beschreibungen dazu auf der Cisco-Seite finde ich nicht sehr hilfreich...

[Wordo 11]

Also bei DPD ist schon mal wichtig das sie auf beiden Seiten gleich sind!

[glady 10]

Hallo Wordo,

 

kannst Du erklären, warum der Wert bei beiden gleich sein sollte? Das soll keine Kritik sein, ich möchte es nur verstehen!

 

Glady

[hegl 10]

Bei SSL VPN´s habe ich keine Erfahrungen, bei IPSec kann ich Dir etwas zu den keepalive´s mitteilen.

 

Nachdem wir nun ca. 6 Wochen unsere ASA´s im Einsatz haben laufen die IPSec-Clients stabil. Anfangs hatte ich massive Probleme, dass die Verbindungen in unregelmäßigen Abständen (3 min. - 8 min. - 15 min - 45 min. usw) abbrachen. Dabei hatte ich die Vorgabe eines CCIE beherzigt und ein keepalive von 30/2 gewählt. Hiebei habe ich weiter festgestellt, dass Clients, die hinter einem NAT-Device lagen und damit NAT-T nutzten länger die Verbindung gehalten haben, als die, die nicht NAT-T nicht nutzten. Dies waren speziell unsere UMTS-User, da diese eine globale IP vom Provider zugewiesen bekommen. Nach langen Hin-und-Her habe ich mich nun entschlossen das Fetaure "Headend will never initiate keepalive monitoring" (über ASDM) zu aktivieren. Dies hat zum Nachteil, dass ungewollte Verbindungsabbrüche erst nach einem IDLE-Timeout von 30 min. auf dem VPN-Server bemerkt werden. Weitere Nachteile habe ich noch nicht festgestellt und sind mir auch nicht bekannt.

[glady 10]

Hi,

 

meinst Du mit NAT-T den klassichen DSL-Zugang mit einem "NAT-Router", der also ein privates Netz mit einer öffentlichen IP im Internet darstellt? Ist das bei UMTS theretisch nicht gleich? Die Karte erhäkt eine private IP vom Provider und wird dann wieder in eine öffentiche IP gewandelt. Ich nehme an, die machen das auch per PAT, ist also keine 1:1 staische Umsetzung.

 

Vielleicht kann mich jemand aufklären.

 

Ich habe das Feature "Headend will never initiate keepalive monitoring" über ASDM auf der ASA nicht gefunden.

[Wordo 11]

Das ist mehr oder weniger dasselbe. Clients erhalten eine private IP und werden genattet (1:1 eher unwahrscheinlich).

Geht denn etwas nicht oder wieso deine Frage?

[hegl 10]

Hi,

 

meinst Du mit NAT-T den klassichen DSL-Zugang mit einem "NAT-Router", der also ein privates Netz mit einer öffentlichen IP im Internet darstellt?

 

Ja!

 

 

Ist das bei UMTS theretisch nicht gleich?Die Karte erhäkt eine private IP vom Provider und wird dann wieder in eine öffentiche IP gewandelt. Ich nehme an, die machen das auch per PAT, ist also keine 1:1 staische Umsetzung.

 

Unsere Firma hat Vodafone als UMTS-Anbieter und die arbeiten mittlerweile wegen altbekannter Problematik beim NAT mit globalen IP´s, d.h. es erfolgt keine Adressumsetzung mehr.

 

 

Ich habe das Feature "Headend will never initiate keepalive monitoring" über ASDM auf der ASA nicht gefunden

 

Configuration\Remote Access VPN\ Network (Client) Access\IPsec Connection Profiles\<dein profile>\Advanced\IPSec\IKE Keepalive