Schahn 10 Geschrieben 28. Februar 2008 Melden Teilen Geschrieben 28. Februar 2008 Hallo, ich habe ein eigenartiges Problem. Zunächst in Kurzfassung unsere Konfiguration hier: - 2x CISCO ASA 5510 (Failover-Verbund) - 1x SDSL-Leitung Versatel mit festem IP-Bereich permanenter Verbindung (VPN direkt) - 1x SDSL-Leitung T-Com mit Einwahl und fester IP (VPN über NAT-T) - Aussenstellen: CISCO 876 bzw. 871 Es geht um die T-SDSL-Leitung. Die Einwahl wird von einem CISCO 871 bewerkstelligt, der in einer DMZ steht und über einen HP ProCurve Switch 1700-8G an einem der Outside-Interface der ASA hängt. Es passiert nun folgendes: Die Aussenstellen bauen das VPN auf über die Leitung. Die Verbindung ist funktional. Sporadisch fällt jedoch der Datentransfer auf dem Outside-Interface für 10-20 sec auf nahezu 0, aber OHNE dass die PPP-Verbindung unterbrochen wird. Das führt dann, je nach Länge des "Aussetzers" zum Zusammenbruch der VPN-Tunnel. Diese bauen sich i.d.R. relativ schnell wieder auf, da wir aber draussen Citrix-Sessions fahren, bleibt jedesmal alles dort stehen. Wir haben schon folgendes gemacht: - T-Com angemault... mehrtägige Leitungsüberwachung brachte keine Fehler - VPN-Timeouts verändert... keine Besserung - Mittels SLA-Monitor mit sehr kurzer Wartezeit versucht, den Aussetzer irg.wie zu loggen... kein Erfolg Wie es ausschaut, ist die Leitung für die ASA immer ok, im Debug-Log werden nur die VPN-Abbrüche dokumentiert, entweder mit "Lost Service" oder mit "Keepalive DPD". Ich bin gelinde gesagt vollkommen ratlos mittlerweile, woran das liegen könnte. Hat hier vielleicht jemand ein paar Tipps parat? Vielen Dank schonmal :) mfg, Schahn Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. Februar 2008 Melden Teilen Geschrieben 28. Februar 2008 Kannst du vll. ne kleine Zeichnung posten? Ich komm grad mit 871, Einwahl, hinter ASA nicht ganz klar. Zitieren Link zu diesem Kommentar
Schahn 10 Geschrieben 28. Februar 2008 Autor Melden Teilen Geschrieben 28. Februar 2008 Bitteschön... Ich habe mal alles unwichtige ausgeblendet. Der dargestellte Zweig macht den Ärger. Der angesprochene HP-Switch ist hier nicht zu sehen. Der verbindet die jeweiligen Outside3 der beiden ASAs mit dem 871. http://www.schahn.de/ASA.jpg mfg, Schahn Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. Februar 2008 Melden Teilen Geschrieben 28. Februar 2008 D.H. die ASA macht VPN? Sind die im Active/Active konfiguriert? Wie sieht denn dann die NAT Konfiguration auf der 871 aus? Zitieren Link zu diesem Kommentar
Schahn 10 Geschrieben 28. Februar 2008 Autor Melden Teilen Geschrieben 28. Februar 2008 Das Failover ist Active/Standby... Das NAT im 871 ist nach innen und aussen aktiviert (ip nat inside am VLAN1, ip nat outside am DI10). Der 871 nat-tet also in seine DMZ 192.168.20.0. Auf dem 871 ist alles offen, die ASA macht dann den VPN-Tunnel zu den Aussenstellen. Grundsätzlich funktioniert ja alles, auch manchmal viele Stunden lang. Bis es dann wieder "kracht". Das sieht im Interface-Log dann so aus: Cisco ASDM 6.0 for ASA - 10.10.10.2 - Graph (1) Interface outside3, Bit Rates ASA Time (CEST) Input Bit Rate (Kbps) Output Bit Rate (Kbps) 22.02.2008 11:49 473 456 22.02.2008 11:49 540 686 22.02.2008 11:49 489 627 22.02.2008 11:49 296 10 22.02.2008 11:49 53 1 22.02.2008 11:49 74 1 22.02.2008 11:50 52 1 22.02.2008 11:50 38 1 22.02.2008 11:50 133 489 22.02.2008 11:50 506 912 22.02.2008 11:50 339 493 22.02.2008 11:50 261 407 Wie man sieht, fällt die Output-Bitrate faktisch auf 0. Das führt dann zur Trennung der VPNs, entweder von ASA-Seite oder von Aussenstellen-Seite, je nachdem, wo zuerst das Timeout greift. mfg, Schahn Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. Februar 2008 Melden Teilen Geschrieben 28. Februar 2008 Da du ja Pakete noch empfaengst sollte es an der ASA liegen. kannst du denn in der Zeit die 871 pingen? Nur zum testen obs an der ASA generell oder nur am VPN liegt. Zitieren Link zu diesem Kommentar
Schahn 10 Geschrieben 28. Februar 2008 Autor Melden Teilen Geschrieben 28. Februar 2008 Den 871 habe ich nicht pingen lassen, aber ich habe ein Trackobjekt mit SLA-Monitor auf eine externe Adresse laufen über dieses Interface mit sehr geringer Toleranz, der müsste sich also im Log melden, wenn Unterbrechungen von mehr als 1 sec auftreten. Tut er aber nicht, mit anderen Worten, pingen nach draussen scheint zu gehen, auch während der "Hänger" mfg, Schahn Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. Februar 2008 Melden Teilen Geschrieben 28. Februar 2008 Das Tracking laeuft aber auf der ASA und geht nicht durch! ;) Zitieren Link zu diesem Kommentar
Schahn 10 Geschrieben 29. Februar 2008 Autor Melden Teilen Geschrieben 29. Februar 2008 Na ich denke ja schon, sonst würde ich ja einen Log-Eintrag bekommen. Habe ja auch noch andere Trackobjekte, die auch reagieren, wenn z.B. eine Leitung komplett stirbt. Das Trackobjekt pingt also von der ASA aus eine externe Adresse im Internet an, also quasi durch den 871 durch. Wenn es da klemmen würde, käme der Ping ja nicht durch. Hm... Alles sehr verworren. Ich könnte ja mal nen Call bei CISCO aufmachen, aber was soll ich denen erzählen? mfg, Schahn Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 29. Februar 2008 Melden Teilen Geschrieben 29. Februar 2008 Du musst von deinem LAN aus tracken um das weiter eingrenzen zu koennen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.