VPN Abbrüche ASA <--> Cisco Router

[glady 10]

Hallo,

 

kämpfe mit einem hartnäckigem Problem. Gibt es bekannte Probleme mit irgendwelchen Einstellungen/Parametern bei VPN-Verbindungen zwischen ASA und Cisco Router?

Details Umgebung:

- Beide Seiten Internetstandleitung ohne Zwangstrennung

- ASA 505 mit Software 8.0(4) zu Cisco 7206

- Beide öffentliche IP-Adressen werden überwacht --> keine Aussetzer

- Testhalber Software 8.0.3(19) auf der ASA eingesetzt --> keine Besserung

 

Problem liegt vermutlich an der ASA, weil der Router zentral eingesetzt wird und zu anderen Standorten keine Probleme bestehen.

Problem tritt sporadisch auf, 3x am Tag bis 2x die Woche. Die öffentlichen IP's sind parallel definitiv erreichbar.

 

Im Syslog der ASA mit Version 8.0(4) war zu sehen:

... Tunnel has been torn down

 

Mit Version 8.0.3(19) steht nun:

 

%ASA-7-713906: Group = x.x.x.x, IP = x.x.x.x, IKE SA MM:38aa0e9d terminating: flags 0x0121c006, refcnt 0, tuncnt 0

%ASA-7-713906: Group = x.x.x.x, IP = x.x.x.x, sending delete/delete with reason message

%ASA-7-715046: Group = x.x.x.x, IP = x.x.x.x, constructing blank hash payload

%ASA-7-715046: Group = x.x.x.x, IP = x.x.x.x, constructing IKE delete payload

%ASA-7-715046: Group = x.x.x.x, IP = x.x.x.x, constructing qm hash payload

%ASA-7-713236: IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=519f8536) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 80

%ASA-5-713904: IP = x.x.x.x, Received encrypted packet with no matching SA, dropping

 

Anbei die Konfiguration.

 

Hat mir jemand einen Tip?

 

Gruß, Glady

konfig.txt

[blackbox 10]

Hallo,

 

welches Interface ist den Outside2 ? Die PoE Ports würde ich nicht für Lan Failover nehmen - wo ist das VLAN 4 vom Port 0/6 ?

 

Der ganze Fehler hört sich nach fehlerhaften "Lifetimes" an - da ich nicht erkennen kann wie es auf der anderen Seite ist - solltest du das überprüfen. Welche von den Cryptomap ist den die Richtige - da du untzerschiedlich die IPs´entzaubert hast - kann man da nix mehr zuorden.

[Otaku19 33]

failover ist eh deaktiviert ;)

[glady 10]

Das Outside2 ist das Interface Vlan4 und steht auf shutdown.

 

Relevante Parameter:

crypto map outside_map 10 match address outside_zentrale

crypto map outside_map 10 set peer 99.99.99.99

crypto map outside_map 10 set transform-set ESP-AES-256-SHA

crypto map outside_map 10 set security-association lifetime seconds 28800

crypto map outside_map 10 set security-association lifetime kilobytes 4608000

crypto map outside_map 10 set nat-t-disable

 

crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac

 

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

 

crypto isakmp policy 10

authentication pre-share

encryption aes-256

hash sha

group 2

lifetime 43200 (aktualisiert)

 

group-policy DfltGrpPolicy attributes

vpn-idle-timeout none

user-authentication-idle-timeout 60

 

tunnel-group 1.2.3.4 type ipsec-l2l

 

tunnel-group 1.2.3.4 ipsec-attributes

pre-shared-key *

 

access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.251.0.0 255.255.128.0

access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.200.1.0 255.255.255.0

 

 

Zentrale Router:

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 2

lifetime 43200

 

crypto ipsec transform-set aes256sha esp-aes 256 esp-sha-hmac

 

crypto isakmp profile aussenstelle-IKE-PROFILE

vrf vlan144-vrf

keyring ALL-MAP-KEYRING

match identity address 1.2.3.4 255.255.255.255

 

crypto map VPN-KUNDEN 14401 ipsec-isakmp

set peer 1.2.3.4

set security-association lifetime seconds 28800

set transform-set aes256sha

set isakmp-profile aussenstelle-IKE-PROFILE

match address aussenstelle-crypto-acl

 

ip access-list extended aussenstelle-crypto-acl

permit ip 10.251.0.0 0.0.127.255 ip 10.0.0.0 0.0.0.255

permit ip 10.200.1.0 0.0.0.255 ip 10.0.0.0 0.0.0.255

 

access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.251.0.0 255.255.128.0

access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.200.1.0 255.255.255.0

[blackbox 10]

Hi,

 

hast du "jetzt" die Lifetime angepasst - oder war die angepasst - nimm von der ASA noch die "crypto ipsec security-association lifetime kilobytes 4608000" runter oder füg die auf dem Router noch hinzu - falls du doch mal die kilobytes erreichen solltest (kenne die Bandbreiten nicht). Was mir noch auffällt - beim Zetrale Router hast du für Phase 1 keinen HASH definiert - aber das sollte nur ein Schönheitsfehler sein, da du die Verbindung ja aufgebaut bekommst.

[glady 10]

@blackbox

die Lifetime war bereits angepasst

 

Ich konnte weiter eingrenzen. Die Sessions gehen immer nach Rekeying der Phase 2 flöten.

 

Auf der ASA:

2009-05-01 08:19:30 Local4.Notice x.x.x.x May 01 2009 08:19:30: %ASA-5-713041: Group = x.x.x.x, IP = 88.79.244.4, IKE Initiator: Rekeying Phase 2, Intf outside, IKE Peer x.x.x.x local Proxy Address x.x.x.x, remote Proxy Address x.x.x.x, Crypto map (outside_map)

 

2009-05-01 08:19:46 Local4.Info x.x.x.x May 01 2009 08:19:46: %ASA-6-302014: Teardown TCP connection 1340969 for outside:x.x.x.x/3210 to inside:x.x.x.x/1119 duration 1:06:56 bytes 1225264 Tunnel has been torn down

 

Warum geht die Session beim IPSEC Rekeying verloren?

[Wordo 11]

Mach mal ein 255er Debug auf Phase II, dann siehst es schon ... (deb crypto ipsec)

[glady 10]

Was mich wundert, dass das Rekeying, nicht nach den definierten 28800 Sek., sondern nach 27366Sek. startet.

 

Meinste auf dem Router deb crypto ipsec oder auf der ASA? Auf dem Router läuft er schon, aber da sieht man so gut wie gar nichts...

 

Was meinst Du mit 255er Debug?

[Wordo 11]

Auf der ASA kannste noch die "detailiertheit" im Debugbefehl mit angeben.

Ein "deb crypto ipsec" entspricht dem Wert 1. Ein "deb crypto ipsec 255" bombt dich voll mit Meldungen. Evtl. reicht auch 128 :)