CISCO VPN Client

[hegl 10]

Hallo,

 

ich teste gerade den CISCO VPN Client in Verbindung mit einer PIX 520, Version 6.3.3.

Grundsätzlich funktioniert die Verbindung auch; das Problem ist aber dass die Verbindung in unregelmäßigen Abständen - mal 5 min, 15 min , 60 min oder mehr - getrennt wird.

Auf der Client-Seite erhalte ich die Fehlermeldung "Secure VPN Connection terminated locally by the Client. Reason 412: The remote peer is no longer responding." Merkwürdigerweise laufen Site-to-Site VPN´s und PPTP-Clients weiter.

Hat jemand eine Idee was das sein könnte, bzw. wie ich an die Sache herangehen kann?

Ein ping auf das VPN-Peer ist ok, d.h. keine Zeitüberschreitungen oder erhöhte Antwortwerte.

 

Gruß

hegl

[schusterharry 10]

hallo,

 

bei uns in der FIrma verbinden wir aussendienstler uns ebenfalls mit dem cisco client und unser Support findet keine Lölsung für das von dir beschriebene Problem, seit locker einem Monat hab ich genau deine Meldung mehrmals täglich...:mad:

 

mfg

 

harry

[hegl 10]

Welche HW nutzt ihr als VPN-Peer? Mit welcher Version?

[hegl 10]

Bei CISCO habe ich gerade folgendes gefunden:

 

Q. Why does the VPN Client disconnect after 30 minutes? Can I extend this time period?

 

A. If there is no communication activity on a user connection during this 30-minute period, the system terminates the connection. The default idle timeout setting is 30 minutes, with a minimum allowed value of 1 minute and a maximum allowed value of 2,147,483,647 minutes (more than 4,000 years).

 

Select Configuration > User Management > Groups and choose the appropriate group name to modify the idle timeout setting. Select Modify Group, go to the HW Client tab, and type the desired value in the User Idle Timeout field. Type 0 to disable timeout and allow an unlimited idle period.

 

Leider habe ich keinen Schimmer, wo das einzustellen ist :mad:

 

Wer weiss was?

[Weihnachtsmann 10]

Select Configuration > User Management > Groups ...

 

das sieht für mich ganz nach der Konfiguration eines VPN Concentrators aus. Wo man das bei einer PIX einstellt weis ich leider nicht.

[hegl 10]

Das scheint damit aber auch nichts zu tun zu haben. Ich habe eben mal alle time-out-Werte auf 8 Stunden gesetzt. Zur Zeit fliege ich ca. alle 15 min raus :confused:

wobei die PIX ohne eine Unterbrechung in vernünftigen Zeiten antwortet.

[hegl 10]

Ich habe weiter getestet und einen Dauerping auf eine freigegebene Ressource laufen lassen.

Ergebnis, auch nach fast 3 Stunden war der Tunnel noch aktiv. Nachdem ich den ping dann beendete, wurde die VPN- Verbindung nach weiteren 16 min. getrennt. Ich habe mal das logging beim Client als Kopie angehangen. Interessant wird es ab Ereignis 179, wobei da noch alles seinen rechten Weg zu gehen scheint. In Zeile 220 folgt dann eine erste Fehlermeldung, die verantwortlich für den Abbruch scheint. Leider sagt mir dies gar nichts.

 

WER KANN HELFEN???

Abbruch nach 3 Stunden.txt

[Wordo 11]

Kannst du mir die Datei mal schnell zumailen, ich wuerd sie dann online stellen. Bis die Datei freigeschalten wurde is mein Bart laenger als der von Osama ...

[Wordo 11]

Da is mal der Dump:

http://leute.server.de/pics2000/heql-dump.txt

 

 

 

 

EDIT: Kannst du mal den entsprechenden Log bei einer erfolgreichen Herstellung des VPN's posten damit man das weiter eingrenzen kann? Merci

[hegl 10]

Das log-file enthält ca. 11000 Zeichen und ich kann nur 4000 posten :mad:

Also muss ich wohl auf die Freischaltung warten

 

hegl

[Wordo 11]

Ne, so wie dus mir geschickt hast, halt nur das noetigste. Und das halt bei ner erfolgreichen Herstellung.

[Wordo 11]

Hier ist dann der naechste Dump:

 

http://leute.server.de/pics2000/heql-dump2.txt

[Wordo 11]

Hmmm .. also ich tippe entweder auf das Firmware (sprich auf 6.3.5 update) oder auf ein NAT Problem. Stell doch mal ipsec-over-tcp an und connecte den Client ueber TCP/10000. Ah halt .. das geht mit 6.X nicht. Wie bist du denn im Netz mit dem VPN Client?

[hegl 10]

Ich bin per DSL im Netz und habe den gleichen Provider wie unsere Firma. Also ist der connect auch nur ein paar Hops. Merkwürdigerweise läuft der VPN Client auf einem PC, angeschlossen hinter dem Provider-Router (also im gleichen Netz wie unser VPN-Peer), den ganzen Tag schon störungsfrei, während ich zu Hause mehrmals geflogen bin. Pings sind aber nach wie vor von daheim bestens, d.h. keine Zeitüberschreitungen und selten mal ein Wert über 100 ms, sonst alles bei ca. 45 ms.

Habe mittlerweile auch mit mehreren Rechnern gleichzeitig zu Hause getestet. Fazit: ich fliege bein allen gleichzeitig raus, ist egal ob die eine schon 10 min und die andere Verbindung schon 30 min läuft.

Mein Provider erzählte mir gerade (habe gute Connection :) ) ich solle es mal mit einem extended log auf der PIX versuchen. Davon habe ich aber leider (noch) keine Ahnung.

 

Wer weiß mehr?

 

hegl

[Wordo 11]

Kannst du dich daheim mal direkt ans DSL haengen, ohne Router? Dann koennte man das weiter eingrenzen obs am Router oder am PC liegt.