Jump to content
Sign in to follow this  
Schahn

CISCO ASA 5510 VPN-Unterbrechung

Recommended Posts

Hallo,

 

ich habe ein eigenartiges Problem. Zunächst in Kurzfassung unsere Konfiguration hier:

 

- 2x CISCO ASA 5510 (Failover-Verbund)

- 1x SDSL-Leitung Versatel mit festem IP-Bereich permanenter Verbindung (VPN direkt)

- 1x SDSL-Leitung T-Com mit Einwahl und fester IP (VPN über NAT-T)

- Aussenstellen: CISCO 876 bzw. 871

 

Es geht um die T-SDSL-Leitung. Die Einwahl wird von einem CISCO 871 bewerkstelligt, der in einer DMZ steht und über einen HP ProCurve Switch 1700-8G an einem der Outside-Interface der ASA hängt.

 

Es passiert nun folgendes:

 

Die Aussenstellen bauen das VPN auf über die Leitung. Die Verbindung ist funktional. Sporadisch fällt jedoch der Datentransfer auf dem Outside-Interface für 10-20 sec auf nahezu 0, aber OHNE dass die PPP-Verbindung unterbrochen wird. Das führt dann, je nach Länge des "Aussetzers" zum Zusammenbruch der VPN-Tunnel. Diese bauen sich i.d.R. relativ schnell wieder auf, da wir aber draussen Citrix-Sessions fahren, bleibt jedesmal alles dort stehen.

 

Wir haben schon folgendes gemacht:

 

- T-Com angemault... mehrtägige Leitungsüberwachung brachte keine Fehler

- VPN-Timeouts verändert... keine Besserung

- Mittels SLA-Monitor mit sehr kurzer Wartezeit versucht, den Aussetzer irg.wie zu loggen... kein Erfolg

 

Wie es ausschaut, ist die Leitung für die ASA immer ok, im Debug-Log werden nur die VPN-Abbrüche dokumentiert, entweder mit "Lost Service" oder mit "Keepalive DPD".

 

Ich bin gelinde gesagt vollkommen ratlos mittlerweile, woran das liegen könnte. Hat hier vielleicht jemand ein paar Tipps parat?

 

Vielen Dank schonmal :)

 

mfg, Schahn

Share this post


Link to post

D.H. die ASA macht VPN? Sind die im Active/Active konfiguriert? Wie sieht denn dann die NAT Konfiguration auf der 871 aus?

Share this post


Link to post

Das Failover ist Active/Standby...

 

Das NAT im 871 ist nach innen und aussen aktiviert (ip nat inside am VLAN1, ip nat outside am DI10). Der 871 nat-tet also in seine DMZ 192.168.20.0. Auf dem 871 ist alles offen, die ASA macht dann den VPN-Tunnel zu den Aussenstellen.

 

Grundsätzlich funktioniert ja alles, auch manchmal viele Stunden lang. Bis es dann wieder "kracht". Das sieht im Interface-Log dann so aus:

 

Cisco ASDM 6.0 for ASA - 10.10.10.2 - Graph (1)

Interface outside3, Bit Rates

ASA Time (CEST) Input Bit Rate (Kbps) Output Bit Rate (Kbps)

22.02.2008 11:49 473 456

22.02.2008 11:49 540 686

22.02.2008 11:49 489 627

22.02.2008 11:49 296 10

22.02.2008 11:49 53 1

22.02.2008 11:49 74 1

22.02.2008 11:50 52 1

22.02.2008 11:50 38 1

22.02.2008 11:50 133 489

22.02.2008 11:50 506 912

22.02.2008 11:50 339 493

22.02.2008 11:50 261 407

 

Wie man sieht, fällt die Output-Bitrate faktisch auf 0. Das führt dann zur Trennung der VPNs, entweder von ASA-Seite oder von Aussenstellen-Seite, je nachdem, wo zuerst das Timeout greift.

 

mfg, Schahn

Share this post


Link to post

Da du ja Pakete noch empfaengst sollte es an der ASA liegen. kannst du denn in der Zeit die 871 pingen? Nur zum testen obs an der ASA generell oder nur am VPN liegt.

Share this post


Link to post

Den 871 habe ich nicht pingen lassen, aber ich habe ein Trackobjekt mit SLA-Monitor auf eine externe Adresse laufen über dieses Interface mit sehr geringer Toleranz, der müsste sich also im Log melden, wenn Unterbrechungen von mehr als 1 sec auftreten. Tut er aber nicht, mit anderen Worten, pingen nach draussen scheint zu gehen, auch während der "Hänger"

 

mfg, Schahn

Share this post


Link to post

Na ich denke ja schon, sonst würde ich ja einen Log-Eintrag bekommen. Habe ja auch noch andere Trackobjekte, die auch reagieren, wenn z.B. eine Leitung komplett stirbt.

 

Das Trackobjekt pingt also von der ASA aus eine externe Adresse im Internet an, also quasi durch den 871 durch. Wenn es da klemmen würde, käme der Ping ja nicht durch.

 

Hm... Alles sehr verworren. Ich könnte ja mal nen Call bei CISCO aufmachen, aber was soll ich denen erzählen?

 

mfg, Schahn

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...