DPD-Abgebrochene VPN-Verbindungen werden nicht gelöscht

[niedax 10]

Hallo zusammen,

 

wir nutzen einen Cisco 2811 mit IOS-Version 12.4(3a) und den Cisco VPN-Client Ver. 4.8.01 um unsere Aussendienstler anzubinden.

Ab und zu tritt folgendes Problem auf:

 

Die Internet-Verbindung bricht z.B. durch fehlende GPRS-/UMTS-Versorgung ab, der VPN-Client verliert die Verbindung zum VPN-Gateway. Meistens ist dies kein Problem, sobald wieder I-Netverb. vorhanden ist, kann man sich neu am VPN-GW anmelden. Doch ab und an funktioniert dies dann nicht mehr, der Client zeigt nur "Contacting the security gateway" an und der Befehl "show crypto session groups" zeigt den User auch noch an, als wäre er noch eingewählt (wir nutzen pro User eine Gruppe).

In der Ausgabe von "show crypto session detail" sind jedoch keine Informationen, wie z.B. öffentl. IP-Adresse, zu dem User zu finden. Daher kann die verwaiste Verbindung auch nicht mit "clear crypto..." rausgelöscht werden.

Eigentlich sollte ja Dead Peer Detection solche Probleme lösen. Folgendes haben wir konfiguriert:

 

crypto isakmp keepalive 60 periodic

 

Die Ausgabe von "debug crypto isakmp" bestätigt uns, dass DPD funktioniert. Allerdings sind keine DPD/R_U_THERE-Pakete zwischen VPN-GW und Client zu sehen. Bis auf die o.g. Groups-Einträge sieht alles so aus, als wenn der jeweilige User nicht mehr aktiv wäre.

Manchmal ist das Problem nach mehreren Stunden erledigt, der User erscheint nicht mehr. Nach einem reload ist das Problem ebenfalls behoben.

Hat jemand ne Idee?

Vielen Dank im Voraus.

Cruz,

 

Stefan

[Wordo 11]

In der Tat ein kurioses Problem. Hab mal saemtliche Caveats von 12.4 und 12.4T durchsucht, da wurde aber nie was gefixed oder gemeldet. Kannst du mal den Client debuggen und schauen was er sagt wenn die ganze Zeit nur "Contacting Gateway" dasteht?

[niedax 10]

Servus Wordo,

 

danke für die Mühe, die du dir gemacht hast. Werde die Tage mal versuchen, das Problem zu forcieren und dann das Log mal posten.

Gruß,

 

Stefan