VPN Verbindung bricht in unregelmäßigen abständen ab

[shoty 10]

Hi Leute,

 

hab ein Problem mit meiner PIX 525 und zwar, das die VPN Verbindungen der User in unregelmäßigen abständen abbricht mit der meldung:

 

Secure VPN Connection terminated locally by the Client.

Reason 412: The Remote Peer is no longer responding.

 

VPN Client 4.7...

Pix Image 7.1 (2)

 

Log:

 

%PIX-5-713050: Group = XXXXX, Username = XXXXXX, IP = X.xXX.Xx.Xx, Connection terminated for peer xxxxxxx. Reason: Peer Terminate Remote Proxy 10.XX.X.XX, Local Proxy 0.0.0.0

%PIX-4-113019: Group = xxxxx, Username = xxxxx, IP = xx.xx.xx.xxx, Session disconnected. Session Type: IPSec, Duration: 0h:25m:37s, Bytes xmt: 16888026, Bytes rcv: 812754, Reason: User Requested

 

Direct danach kommen immer ein paar Meldung von meiner Standby Firewall:

 

%PIX-3-713902: Group = xxxxx, Username = xxxxxxx, IP = xx.xxx.xxx.xx, Removing peer from correlator table failed, no match!

%PIX-3-713235: Group = xxxxxx, Username = xxxxxx, IP = xx.xx.xx.x, Attempt to send an IKE packet from standby unit. Dropping the packet!

%PIX-3-305005: No translation group found for udp src inside:192.168.Xxx.xxx/514 dst inside:10.xx.x.x/514

 

Hat das was damit zu tun??

 

Ich hab auch schon mit dem Befehl: "isakmp nat-traversal 20" versucht, wie in einem Thread beschrieben, hat aber leider auch nicht geklappt!!

 

Hat jemand da eine Idee??!??

[daveman 10]

hatte ein ähnliches Problem dort lag es aber nicht an der Konfig wie ich lange dachte sondern am Internetprovider. Die haben in der umgebung Kölns immernoch starke Probleme.

[hegl 10]

hatte ein ähnliches Problem dort lag es aber nicht an der Konfig wie ich lange dachte sondern am Internetprovider. Die haben in der umgebung Kölns immernoch starke Probleme.

 

Auf welchen Provider spielst Du an?

[hegl 10]

Ich hab auch schon mit dem Befehl: "isakmp nat-traversal 20" versucht, wie in einem Thread beschrieben, hat aber leider auch nicht geklappt!!

 

Hat jemand da eine Idee??!??

 

Nutzen die Clients denn auch IPSec over UDP, wenn Du nat-traversal konfigurierst? Ich hatte mal das Problem in einer Testumgebung, dass trotz nat-traversal kein IPSec over UDP lief - weiß der Geier warum :mad:

Allerdings war das noch unter 6.3.x

[Wordo 11]

Ein Debug am VPN-Client waere hilfreich. Und passiert das bei allen Clients?

[shoty 10]

Die Clients sind alle auf IPSec over UDP (NAT / PAT) eingerichtet!

[shoty 10]

Ein Debug am VPN-Client waere hilfreich. Und passiert das bei allen Clients?

 

Das Problem ist es passiert ja nicht immer! Und auch nicht bei allen Clients!

 

Ich werde jetzt mal ein Client bei mir anschließen und mit logging laufen lassen , ich wette der läuft bis morgen durch ohne abzubrechen! Aber schaun wir mal ich werde berichten:p

[Wordo 11]

24h Disconnect?

[hegl 10]

Die Clients sind alle auf IPSec over UDP (NAT / PAT) eingerichtet!

 

Nutzen sie das denn auch? Schau mal bei einer aktiven Verbindung im Client in die Statistik, dort siehst Du den Transport Modus.

[shoty 10]

Nutzen sie das denn auch? Schau mal bei einer aktiven Verbindung im Client in die Statistik, dort siehst Du den Transport Modus.

 

Bei meinem Test Client der gerade läuft steht unter Transport Modus:

Transport Tunneling: Active on UDP port 4500

 

Im ASDM unter Monitoring - Protokoll Encryption steht bei den meisten Usern IPSecOverNAT einige haben auch nur IPSec drin stehen!

[shoty 10]

24h Disconnect?

 

Hab ihn noch nicht solange laufen lassen, hab aber auch keinerlei Disconnect (Timeouts) eingerichtet!

[Wordo 11]

Das ist ja auch eine Zwangstrennung (der Clients)!

[shoty 10]

Das ist ja auch eine Zwangstrennung (der Clients)!

 

So lange brauch ich ja keine Verbindung, das Problem ist ja das es manchmal schon nach 3mins, nach 7mins oder auch erst nach 45mins getrennt wird.

Mein Test Rechner läuft jetzt schon seit 2 Stunden ohne Problem!! Ich versteh das nicht!

[hegl 10]

So lange brauch ich ja keine Verbindung, das Problem ist ja das es manchmal schon nach 3mins, nach 7mins oder auch erst nach 45mins getrennt wird.

Mein Test Rechner läuft jetzt schon seit 2 Stunden ohne Problem!! Ich versteh das nicht!

 

Dann schau mal, ob die Rechner die nicht abbrechen, mit IPSec over UDP laufen und die, die abbrechen, nicht...

[shoty 10]

Dann schau mal, ob die Rechner die nicht abbrechen, mit IPSec over UDP laufen und die, die abbrechen, nicht...

 

 

Dieser war über IPSecOverNAT angemeldet, wurde auch rausgeschmissen!! Siehe unten:

 

Aktive Firewall:

 

2007-10-16 14:50:54 Local0.Notice 192.168.Xx.XX Oct 16 2007 14:44:52 192.168.xxx.xxx : %PIX-5-713050: Group = xxxxxx, Username = xxxxxxxx, IP = xx.xxx.xxx.xx, Connection terminated for peer xxxxxx. Reason: Peer Terminate Remote Proxy 10.xx.x.xxx, Local Proxy 0.0.0.0

 

********************************

Meldung von der Failover Firewall:

 

2007-10-16 14:50:54 Local0.Error 192.168.xxx.xxx Oct 16 2007 14:47:31 192.168.xxxx.xxx : %PIX-3-713902: Group = xxxxx, Username = xxxxxxx, IP = xx.xxx.xxx.xxx, Removing peer from correlator table failed, no match!

 

********************************

Aktive Firewall:

 

2007-10-16 14:50:54 Local0.Warning 192.168.xxx.xxx Oct 16 2007 14:44:52 192.168.xxx.xx : %PIX-4-113019: Group = xxxxxxxx, Username = xxxxxx, IP = xx.xx.xx.xx, Session disconnected. Session Type: IPSecOverNatT, Duration: 1h:44m:32s, Bytes xmt: 2772416, Bytes rcv: 859714, Reason: User Requested

 

Kann es denn sein, das es irgendetwas mit der Failover Firewall zu tun hat????