Ciscler 10 Geschrieben 19. November 2007 Melden Teilen Geschrieben 19. November 2007 Hallo, habe 2 x PIX 515e beide mit Version 6.3(1). Habe auf der Primary PIX das Failover konfiguriert. Es ist ein normales Failover über das Serielle Kabel. Kein Statefull Failover. Konfiguration auf der Primary PIX: failover failover timeout 0:00:00 failover poll 15 failover ip address outside xxx.xxx.xxx.xxx failover ip address inside xxx.xxx.xxx.xxx Das Failover funktioniert auch. Beim Anschließen der 2 PIX synchronisiert sie sich auch. Wenn ich die Primary PIX vom Strom trenne übernimmt die 2. PIX. Mein Problem ist nur das die 2. PIX sich nicht richtig bzw. komplett mit der Primary PIX synchronisiert. Solche IPSEC Befehle werden nicht von der 2. PIX übernommen: crypto ipsec transform-set xxx esp-3des esp-sha-hmac crypto dynamic-map xxxx 5 set transform-set xxxx Somit fehlen in den jeweiligen Cryptomaps auch die entsprechenden Transformsets. Dann bin ich hingegangen habe die 2. PIX nochmal komplett platt gemacht. Habe dann auf der ersten Write Standby ausgeführt er zeigt mir auch an Start Sync und Complete Sync aber wieder werden nicht alle IPSEC Befehle übernommen. Ist euch sowas bekannt? Ist das evtl. ein IOS Bug ein Konfigurationsfehler kann ich doch ausschließen oder? Gruß Dirk Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 19. November 2007 Melden Teilen Geschrieben 19. November 2007 Hallo Dirk, lt Cisco ist der Bug in der 6.3(2) behoben - in den Release Notes steht was bei Failover von incomplete Crypto Maps. Cisco PIX Firewall Release Notes, Version 6.3(2) [Cisco PIX Firewall Software] - Cisco Systems Würde da den Fehler suchen gehen. Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 20. November 2007 Autor Melden Teilen Geschrieben 20. November 2007 Hallo, das seltsame ist wir haben 2 andere Pixen die als Failover laufen. Diese beiden PIXEN besitzten auch Softwarestand 6.3(1) und da läuft die Sync. ohne Probleme. Gruß Dirk Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 20. November 2007 Melden Teilen Geschrieben 20. November 2007 Hallo, das seltsame ist wir haben 2 andere Pixen die als Failover laufen. Diese beiden PIXEN besitzten auch Softwarestand 6.3(1) und da läuft die Sync. ohne Probleme. Gruß Dirk Die Lizenzen sind auch identisch wie mit der funktionierenden Hardware? Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 20. November 2007 Autor Melden Teilen Geschrieben 20. November 2007 Hallo Wordo, daran liegt es dann wohl. Auf der 2. PIX ist die Lizens VPN-3DES-AES: Disabled Und da wir da 3DES nutzen können die Befehle nicht übernommen werden. Wahrscheinlich muss man sich diese Lizensen dazu kaufen richtig? Danke & Gruß Dirk Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 20. November 2007 Melden Teilen Geschrieben 20. November 2007 Die sollten in jedem Fall gleich sein ... Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 20. November 2007 Autor Melden Teilen Geschrieben 20. November 2007 Hallo, so ich hab mir jetzt kostenlos den VPN-3DES-AES Key von Cisco zu schicken lassen. Wie aktiviert man diesen Key jetzt auf der PIX. Kann ich das auf der Commandozeile machen? Gruß Dirk Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 20. November 2007 Melden Teilen Geschrieben 20. November 2007 conf t activation-key XXX XXX XXX XXX Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 20. November 2007 Autor Melden Teilen Geschrieben 20. November 2007 Hallo Wordo, danke es geht ;) Failover läuft jetzt Gruß Dirk Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.