-= Brummbär =- 10 Geschrieben 10. Juli 2008 Melden Teilen Geschrieben 10. Juli 2008 Hallo, Ich habe in den letzten Tagen das Problem, dass meine Tunnel unregelmäßig wegbrechen. Bei einem Tunnel werden die Logs der Firewall zentral gesammelt. Als Fehlermeldung wurde dann immer: QM FSM error (P2 struct &0xd8be4450, mess id 0xe17ce2e8)! angezeigt. Bei meiner Suche bin ich auf no-xauth und Einstellungen zum lifetime gestoßen. Es wäre nett, wenn mir jemand sagen könnte, was ich an den Tunnelkonfigurationen noch anpassen muss, damit es wirklich sauber ist. Von den ACLs etc. gehe ich mal aus, dass die richtig sind, denn die Leute können ja zwischen den Abbrüchen arbeiten :) In der Zentrale steht ein 876 Router auf dem ein Tunnel so konfiguriert ist: crypto ipsec transform-set Mein-Transform-Set esp-3des esp-md5-hmac crypto isakmp key ABCD address 1.2.3.4 ! ! crypto map SDM_CMAP_1 10 ipsec-isakmp set peer 1.2.3.4 set transform-set Mein-Transform-Set match address VPN_pix ! ! ip access-list extended VPN_pix remark SDM_ACL Category=4 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 In der Außenstelle steht jeweils eine PIX 501: isakmp key ABCD address 2.3.4.5 netmask 255.255.255.255 no-xauth no-config-mode isakmp identity address isakmp nat-traversal 30 isakmp policy 10 authentication pre-share isakmp policy 10 encryption aes-256 isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 20 authentication pre-share isakmp policy 20 encryption 3des isakmp policy 20 hash md5 isakmp policy 20 group 2 isakmp policy 20 lifetime 86400 ! crypto map vpnmap 10 ipsec-isakmp crypto map vpnmap 10 match address VPNTUN-Zentrale crypto map vpnmap 10 set peer 2.3.4.5 crypto map vpnmap 10 set transform-set tset3des crypto map vpnmap 10 set security-association lifetime seconds 3600 kilobytes 4608000 Da die Tunnel bisher liefen, sind schwächen in der Konfig wahrscheinlich einfach nur nie richtig aufgefallen. Es wär super, wenn mir jemand einen Tipp geben könnte, was ich in der Konstellation noch anpassen muss. Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 10. Juli 2008 Melden Teilen Geschrieben 10. Juli 2008 Hallo, was mir als erstes einfallen würde wäre ein crypto isakmp keepalive 10 Zitieren Link zu diesem Kommentar
-= Brummbär =- 10 Geschrieben 10. Juli 2008 Autor Melden Teilen Geschrieben 10. Juli 2008 Das wär dann für den Router. Gibt es das auch für die Pix? Was ist denn mit no-xauth und lifetime? Das erste ist im Router scheinbar gar nicht gesetzt und die lifetime sehe ich zwar in der Weboberfläche, aber nicht auf der Konsole. Ich befürchte eher, dass es daran liegt, dann wenn Kollegen arbeiten und der Tunnel zusammen bricht, kann es ja nicht am fehlenden Traffic liegen, oder? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 10. Juli 2008 Melden Teilen Geschrieben 10. Juli 2008 Da musst crypto einfach weglassen glaub ich .. Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 10. Juli 2008 Melden Teilen Geschrieben 10. Juli 2008 Ja bei der pix ist es einfach isakmp keepalive 10. Ja wenn du im Router nichts angibts hat er standard lifetimes für die Phase 1 und 2. Aber weiss jetzt auch nicht was die Stadardwerte sind. Zitieren Link zu diesem Kommentar
-= Brummbär =- 10 Geschrieben 10. Juli 2008 Autor Melden Teilen Geschrieben 10. Juli 2008 Mal zum Verständnis für mich: Phase 1 PIX: isakmp policy 10 lifetime 86400 Phase 2 PIX: lifetime seconds 3600 kilobytes 4608000 Das SDM zeigt für den Router: IKE: 24h = 86400 Sekunden => stimmt IPSec: 4608000 bzw 1h. => stimmt Jetzt zeigt mir das SDM vom Router, dass xauth aktiviert ist. In den PIXen ist es deaktiviert. Kann es daran noch liegen? Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 10. Juli 2008 Melden Teilen Geschrieben 10. Juli 2008 Dann schalt es auf den Router aus. crypto isakmp key xxx address 2.3.4.5 no-xauth Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.