Site-to-Site VPN keepAlive

[maccros 10]

Hallo!

 

In einer Anwendung sollen zwei Standorte mittels VPN über ADSL vernetzt werden. Dazu sind zwei Cisco1841 im Einsatz. Der Router auf der Aussenstelle (dyn Ip) baut die Verbindung zur Zentrale (fixe Ip) auf.

 

Nun zum Problem, der Tunnel wird durch die Aussenstelle erst aufgebaut, wenn Pakete für das Netz der Zentrale unterwegs sind, und nach einem Timeout wir der Tunnel wieder geschlossen. Umgekert müsste ich aber auch jederzeit von der Zentrale auf die Aussenstelle zugreiffen können. Wie muss die Ausstenstelle konfiguriert werden, dass nach dem Hochfahren des Routers der Tunnel unmittelbar aufgebaut und offen gehalten wird?

 

VPN Aussenstelle

=========================================================

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key xxxxxxxxx address 212.xxx.xxx.xxx

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

!

crypto map SDM_CMAP_1 1 ipsec-isakmp

set peer 212.xxx.xxx.xxx

set transform-set ESP-3DES-SHA

match address 102

!

interface Dialer0

crypto map SDM_CMAP_1

!

access-list 102 permit ip 10.128.0.0 0.0.0.255 192.168.11.0 0.0.0.255

=========================================================

 

thx

[Wordo 11]

So zum Beispiel:

 

crypto isakmp keepalive 120 10 periodic

 

 

EDIT: Auf beiden Seiten eingeben!

[maccros 10]

Besten Dank, der Tunnel hält!

 

Nach einem Neustart der Aussenstelle wird der Tunnel jedoch nicht automatisch aufgebaut. Kann dieser Aufbau erzwungen werden?

[maccros 10]

Hallo Leute

 

Schlage mich immer noch mit demselben Problem herum... Wenn der Tunnel steht kann er mit keepAlive am Leben erhalten werden, funktioniert bestens! Wird er aber aus einem Grund unterbrochen (Neustart Router, IP-Wechsel, ...) so kommt der Tunnel nicht mehr hoch. Weiss jemand wie ein Tunnelaufbau erzwungen werden kann?

[Wordo 11]

Gibts denn keinen Traffic der den Aufbau erzwingt?

[maccros 10]

Der Router in der Aussenstelle hat eine dynamische Ip und baut die Verbindung zur Zentrale mit fixer IP auf. In der Aussenstelle steht ein TerminalServer auf welchen von der Zentrale aus zugegriffen werden soll.

 

Dadurch ist die Richtung des Tunnelaufbaus und die Verwendungsrichtung des Tunnels gegenläuftig, was erfordert das sich der Tunnel ohne anstossende Pakete von der Aussenstelle sich selbst inizieren muss. Zur Zeit wird vom Terminalserver periodisch der Router in der Zentrale angepingt, was aber keine Lösung von dauer sein kann...

[Wordo 11]

Sorry, aber bei so einer Konstellation, was erwartest du??? Wohin soll denn der Router in der Zentrale sein VPN aufbauen wenn sein Peer 0.0.0.0 ist?

[maccros 10]

Ops, vermutlich haben wir jetzt aneinander vorbeigetextet! Der Router in der Aussenstelle baut die Verbindung zur Zentrale auf. Die Zentrale hat die fixe IP. Es funktioniert auch alles soweit, auch mit keepAlive. Das Problem liegt nur darin dass die Aussenstelle nicht ohne weiteres zutun (Paket mit Zieladresse der Zentrale) den Tunnel zur Zentrale aufbaut.

[Wordo 11]

Was fuer ne IOS Version auf der Aussenstelle? Nochmal die Config mit keepalive posten.