DocZenith 12 Geschrieben 28. Juni 2010 Autor Melden Teilen Geschrieben 28. Juni 2010 Kann es denn sein, dass sich die Verbindungsaufbauversuche beider Router überschneiden, und dadurch Duplikate erzeugt werden und dadurch der Tunnel nicht aufgebaut wird? Gruß Ein Verzweifelter Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 28. Juni 2010 Autor Melden Teilen Geschrieben 28. Juni 2010 Nabend! Ich hab jetzt mal das Debug geprüft und etwas eingegrenzt, ich schätze es hängt an folgender Sache: Jun 28 23:31:38.487 GMT1: ISAKMP: constructed NAT-T vendor-07 ID Jun 28 23:31:38.487 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 ® MM_SA_SETUP Jun 28 23:31:38.487 GMT1: ISAKMP: Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE Jun 28 23:31:38.487 GMT1: ISAKMP: Old State = IKE_R_MM1 New State = IKE_R_MM2 Jun 28 23:31:48.467 GMT1: ISAKMP: received packet from 192.168.1.1 dport 500 sport 500 Global ® MM_SA_SETUP Jun 28 23:31:48.467 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet. Jun 28 23:31:48.467 GMT1: ISAKMP: retransmitting due to retransmit phase 1 Jun 28 23:31:48.967 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP... Jun 28 23:31:48.967 GMT1: ISAKMP: incrementing error counter on sa, attempt 1 of 5: retransmit phase 1 Jun 28 23:31:48.967 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP Jun 28 23:31:48.967 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 ® MM_SA_SETUP Jun 28 23:31:58.468 GMT1: ISAKMP: received packet from 192.168.1.1 dport 500 sport 500 Global ® MM_SA_SETUP Jun 28 23:31:58.468 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet. Jun 28 23:31:58.468 GMT1: ISAKMP: retransmitting due to retransmit phase 1 Jun 28 23:31:58.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP... Jun 28 23:31:58.968 GMT1: ISAKMP: incrementing error counter on sa, attempt 2 of 5: retransmit phase 1 Jun 28 23:31:58.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP Jun 28 23:31:58.968 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 ® MM_SA_SETUP Jun 28 23:32:08.468 GMT1: ISAKMP: received packet from 192.168.1.1 dport 500 sport 500 Global ® MM_SA_SETUP Jun 28 23:32:08.468 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet. Jun 28 23:32:08.468 GMT1: ISAKMP: retransmitting due to retransmit phase 1 Jun 28 23:32:08.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP... Jun 28 23:32:08.968 GMT1: ISAKMP: incrementing error counter on sa, attempt 3 of 5: retransmit phase 1 Jun 28 23:32:08.968 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP Jun 28 23:32:08.968 GMT1: ISAKMP: sending packet to 192.168.1.1 my_port 500 peer_port 500 ® MM_SA_SETUP Der Router versucht 5 mal hintereinander die Verbindung aufzubauen, scheitert aber immer wieder an dem was hier im Debug steht. Danach läuft eigentlich alles wieder von vorne ab. Leider hab ich noch nicht genau rausfinden können, was es sein kann. Vielleicht hat jemand einen Gedankenblitz, ein Tipp oder ne Idee. Gruß. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 29. Juni 2010 Melden Teilen Geschrieben 29. Juni 2010 Ja, ich hab eine ... dieselbe von vorhin: Da ist ein NAT-Device dazwischen, einer der Router erkennt das, stellt um auf Kommunikation mit Port 4500. Der andere Router erhaelt/erkennt das nicht, also kommt nach einem Timeout wieder 500. Das ist dann der duplicate ... Comprende? :) Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 29. Juni 2010 Autor Melden Teilen Geschrieben 29. Juni 2010 Hallo Wordo, naja, nicht wirklich Comprende :-( Es gibt kein physikalisches NAT-Device. Es gibt an jedem Ende ein Router, der direkt am Company Connect des rosa T's hängt, mit öffentl. IP. Auf dem Router selbst ist das NAT konfiguriert, so wie es schon immer konfiguriert war: IP NAT INSIDE, IP NAT OUTSIDE an den Interfaces und... ip nat inside source route-map NATLIST interace FastEthernet0/0 overload route-map NATLIST permit 10 match ip address NONAT ip access-list extended NONAT ... Ich kenne sonst keine weitere NAT Einstellung die evtl. explizit für VPN Konfigurationen genutzt wird. Vielleicht reden wir aneinander vorbei. Aber ich schau weiter die Konfig durch, hoffe noch etwas zu finden... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 29. Juni 2010 Melden Teilen Geschrieben 29. Juni 2010 Hm ... ich wuerde an der Zentrale mit den dyn-maps mal ALLES debuggen. Und dann an einer Stelle einen Catalyst zwischen Modem und Router haengen und mal mit nem Sniffer da ran. Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 29. Juni 2010 Autor Melden Teilen Geschrieben 29. Juni 2010 Wow! Ich hab das Problem gerade gelöst! Unglaublich, es lag am Routing! Eine statische Route hat gefehlt. Wie kann sowas einfach verwinden, am Tag, während der Arbeitzeit...?!?! Habe es rausgefunden über einen eingerichteten Debug: access-list 188 permit ip any a.b.c.ddebug ip packet detail 188 Hier konnte ich sehen, dass der Router die VPN über einen bereits vorhandenen GRE Tunnel aufbauen wollte und nicht über das Dialer Interface, wie es sonst richtig ist! In so fern hatte Wordo dann auch recht, mit dem NAT Problem ;-) Vielen Dank für die Tipps und Unterstützung. Gruß. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.