Jump to content
Sign in to follow this  
DocZenith

IPSec VPN Tunnel kommt nicht mehr up

Recommended Posts

Hallo!

 

Ich bin gerade am verzweifeln, vielleicht kann mir hier jemand weiterhelfen. Heute Mittag ist ohne Einwirkung, oder Konfigurationsänderung eine VPN Strecke zwischen zwei Standorten ausgefallen. die Verbindung läuft sonst ohne Probleme rund um die uhr. Ich hab beide Router schon neu gestartet; unter sh crypto isakmp sa sieht man kurz, dass die Connection "IDLE" ist, danach direkt wieder down :-(

 

Befehle wie

 

clear crypto session remote A.B.C.D oder

clear crypto isakmp ... halfen nicht

 

Das Debug ist angehängt.

 

 

 

Hoffe das hilft.

 

Gruß.

debug.txt

Share this post


Link to post

Hier mal ein Debug des zweiten Routers, etwas abgekürzt:

 

Jun 28 11:17:42.734 GMT1: ISAKMP: : success

Jun 28 11:17:42.734 GMT1: ISAKMP:found peer pre-shared key matching

A.B.C.D

Jun 28 11:17:42.734 GMT1: ISAKMP: local preshared key found

Jun 28 11:17:42.734 GMT1: ISAKMP: Scanning profiles for xauth ... vpnclients

Jun 28 11:17:42.734 GMT1: ISAKMP: Authentication by xauth preshared

Jun 28 11:17:42.734 GMT1: ISAKMP: Checking ISAKMP transform 1 against priority 10 policy

Jun 28 11:17:42.734 GMT1: ISAKMP: encryption 3DES-CBC

Jun 28 11:17:42.734 GMT1: ISAKMP: hash SHA

Jun 28 11:17:42.734 GMT1: ISAKMP: default group 2

Jun 28 11:17:42.734 GMT1: ISAKMP: auth pre-share

Jun 28 11:17:42.734 GMT1: ISAKMP: life type in seconds

Jun 28 11:17:42.734 GMT1: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80

Jun 28 11:17:42.734 GMT1: ISAKMP: atts are acceptable. Next payload is 0

Jun 28 11:17:42.742 GMT1: ISAKMP: processing vendor id payload

Jun 28 11:17:42.742 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 69 mismatch

Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload

Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 245 mismatch

Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v7

Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload

Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 157 mismatch

Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v3

Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload

Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 123 mismatch

Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v2

Jun 28 11:17:42.746 GMT1: ISAKMP: Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE

Jun 28 11:17:42.746 GMT1: ISAKMP: Old State = IKE_R_MM1 New State= IKE_R_MM1

Jun 28 11:17:42.750 GMT1: ISAKMP: constructed NAT-T vendor-07 ID

Jun 28 11:17:42.750 GMT1: ISAKMP: sending packet to A.B.C.D my_port 500 peer_port 500 ® MM_SA_SETUP

Jun 28 11:17:42.750 GMT1: ISAKMP: Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE

Jun 28 11:17:42.750 GMT1: ISAKMP: Old State = IKE_R_MM1 New State= IKE_R_MM2

Jun 28 11:17:52.723 GMT1: ISAKMP: received packet from A.B.C.D dport 500 sport 500 Global ® MM_SA_SETUP

Jun 28 11:17:52.723 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet.

Jun 28 11:17:52.723 GMT1: ISAKMP: retransmitting due to retransmit phase 1

Jun 28 11:17:53.223 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP...

Jun 28 11:17:53.223 GMT1: ISAKMP: incrementing error counter on sa, attempt 1 of 5: retransmit phase 1

Jun 28 11:17:53.223 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP

Jun 28 11:17:53.223 GMT1: ISAKMP: sending packet to A.B.C.D my_port 500 peer_port 500 ® MM_SA_SETUP

Share this post


Link to post

davor ist keine Firewall. von daher wird also nichts geblockt. es laufen weitere VPNs auf dem Router, NUR diese eine klappt nicht mehr :-(

 

gibt es denn bestimmte NAT einstellungen die ich für VPNs beachten muss?

 

Gruß.

Share this post


Link to post

Router HH2:

 

!

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

crypto isakmp key 12345 address A.B.C.D no-xauth

crypto isakmp keepalive 10

!

!

crypto ipsec transform-set ESP_3DES_SHA1 esp-3des esp-sha-hmac

crypto ipsec df-bit clear

!

crypto map MERLIN-AUSSEN 20 ipsec-isakmp

description HH2 <-> HH1

set peer A.B.C.D

set security-association lifetime seconds 28800

set transform-set ESP_3DES_SHA1

match address CRYPTOLIST-HH

qos pre-classify

!

interface Dialer1

description TDSL

bandwidth 927

ip address negotiated

ip access-group INTERNET_IN in

no ip unreachables

ip mtu 1492

ip nat outside

ip inspect LAN out

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1300

load-interval 30

dialer pool 1

dialer remote-name dummy

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname ...

ppp chap password ...

ppp ipcp dns request

crypto map MERLIN-AUSSEN

max-reserved-bandwidth 100

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route 10.100.0.0 255.255.0.0 Dialer1

ip route 10.101.110.0 255.255.255.0 10.101.100.2

!

ip nat inside source route-map NATLIST interface Dialer1 overload

!

ip access-list extended CRYPTOLIST-HH

permit ip 10.101.0.0 0.0.255.255 10.100.0.0 0.0.255.255

!

 

Router HH:

 

!

crypto keyring aussenstellen

pre-shared-key address 0.0.0.0 0.0.0.0 key 12345

!

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

crypto isakmp keepalive 10

!

crypto isakmp profile aussenstellen

description LANtoLAN IPSec-Verbindungen zu dynamischen DSL-Aussenstellen

keyring default

keyring aussenstellen

match identity address 0.0.0.0

!

crypto ipsec transform-set ESP_3DES_SHA1 esp-3des esp-sha-hmac

crypto ipsec df-bit clear

!

crypto dynamic-map dynmap 10

description Terminierung dynamischer DSL-Aussenstellen

set transform-set ESP_3DES_SHA1

set isakmp-profile aussenstellen

!

crypto map MERLIN-AUSSEN 65535 ipsec-isakmp dynamic dynmap

!

interface FastEthernet0/0

description WAN-Interface

bandwidth 10240

ip address A.B.C.D 255.255.255.248

ip access-group INTERNET_IN in

no ip unreachables

ip nat outside

ip inspect LAN out

ip virtual-reassembly

ip tcp adjust-mss 1300

load-interval 30

duplex full

speed 100

no cdp enable

crypto map MERLIN-AUSSEN

max-reserved-bandwidth 100

service-policy output QoS-CC10-Mother

!

ip classless

ip route 0.0.0.0 0.0.0.0 A.B.C.D

ip route 10.100.110.0 255.255.255.0 10.100.100.2

ip route 10.101.0.0 255.255.0.0 A.B.C.D

ip route 10.101.100.0 255.255.255.0 A.B.C.D

ip route 10.101.110.0 255.255.255.0 A.B.C.D

!

ip nat inside source route-map NATLIST interface FastEthernet0/0 overload

!

 

ip access-list extended INTERNET_IN

...

permit icmp any any echo-reply

permit icmp any any unreachable

permit icmp any any time-exceeded

...

permit ip 10.101.0.0 0.0.255.255 10.100.0.0 0.0.255.255

...

permit udp any host A.B.C.D eq isakmp

permit esp any host A.B.C.D

permit udp any host A.B.C.D eq non500-isakmp

!

Share this post


Link to post

Hatte vor kurzem genau das gleiche Phänomen - eins von 5 VPNs kam nicht mehr hoch, keine Änderungen durchgeführt und dem Debug nach zu urteilen ein Phase 1 Problem.

Sämtliche Einstellungen mit der Gegenstelle abgeglichen, keinen Fehler gefunden.

Dann einfach auf Verdacht einen neuen PSK generiert und auf beiden Seiten eingetragen, und es lief wieder... Vorher war der PSK aber auch auf beiden Seiten identisch...

Und check ansonsten nochmal, dass beide Router die korrekte Uhrzeit haben (allerdings sollten dann die anderen VPNs auch irgendwann down gehen, wenns da nicht passt)

Share this post


Link to post

Wie sind denn die Settings für Dead Peer Detection (DPD), da scheint was nicht zu passen...

Oder mit NAT, bzw. NAT-T, wie Wordo schon erwähnte?

Ist auf der Gegenseite evtl NAT-T aktiv?

#crypto isakmp nat-traversal

Share this post


Link to post
Wie sind denn die Settings für Dead Peer Detection (DPD), da scheint was nicht zu passen...

Oder mit NAT, bzw. NAT-T, wie Wordo schon erwähnte?

Ist auf der Gegenseite evtl NAT-T aktiv?

#crypto isakmp nat-traversal

 

 

mh...dieser Befehl gibt es bei den Router nicht.

Share this post


Link to post

Oops, sorry, war ASA...

Mal sehen, ob ich schnell das Äquivalent fürn Router finde...

 

crypto ipsec nat-transparency udp-encapsulation

 

bzw.

 

no crypto ipsec nat-transparency udp-encapsulation

 

um NAT-T zu deaktivieren

Share this post


Link to post

Und check ansonsten nochmal, dass beide Router die korrekte Uhrzeit haben (allerdings sollten dann die anderen VPNs auch irgendwann down gehen, wenns da nicht passt)

 

spielt nur bei Zertifikaten ne Rolle

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...