Problem mit Site to Site VPN

[shoty 10]

Hi Leute,

 

ich hab ein Probblem mit meinem VPN Tunnel, seit letzte Woche Dienstag hab ich keine Verbindung mehr zu meiner Niederlassung.

 

Auf der einen Seite befindet sich eine PIX 525:

So wie es aussieht ist der Tunnel aber aufgebaut, s.u.

 

sh crypto isakmp sa

20 IKE Peer: 87.2xxx.xxx.xxx

Type : L2L Role : responder

Rekey : no State : MM_ACTIVE

 

sh crypto ipsec sa peer 87.2xx.xxx.xxx

peer address: 87.2xx.xxx.xxx

Crypto map tag: outside_map, seq num: 75, local addr: 145.xxx.xxx.xxx

 

access-list outside_cryptomap_75 permit ip any 10.24.2.48 255.255.255.240

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (10.24.2.48/255.255.255.240/0/0)

current_peer: 87.2xx.xxx.xxx

 

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0

#pkts decaps: 2649, #pkts decrypt: 2649, #pkts verify: 2649

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0

#send errors: 0, #recv errors: 0

 

local crypto endpt.: 145.xxx.xxx.xxx, remote crypto endpt.: 87.2xx.xxx.xxx

 

path mtu 1500, ipsec overhead 60, media mtu 1500

current outbound spi: D4003F2C

 

inbound esp sas:

spi: 0xAD612A18 (2908826136)

transform: esp-3des esp-md5-hmac

in use settings ={L2L, Tunnel, PFS Group 2, }

slot: 0, conn_id: 5717, crypto-map: outside_map

sa timing: remaining key lifetime (kB/sec): (4274814/24892)

IV size: 8 bytes

replay detection support: Y

outbound esp sas:

spi: 0xD4003F2C (3556785964)

transform: esp-3des esp-md5-hmac

in use settings ={L2L, Tunnel, PFS Group 2, }

slot: 0, conn_id: 5717, crypto-map: outside_map

sa timing: remaining key lifetime (kB/sec): (4275000/24889)

IV size: 8 bytes

replay detection support: Y

 

Auf der anderen Seite befindet sich ein Cisco 1800 Series Router.

Die Verbindung steht auch, wenn ich aber unter Monitoring schaue, zeigt er unter Bytes Tx: 128738 an und unter Bytes Rx: 0 !!!!

Ich kann auch nichts anpingen auf der anderen Seite. Ein Router neustart wurde schon durchgeführt!

 

Hat sonst noch jemand eine Idee, woran das liegen kann???Es wurde nichts verändert!

 

Vielen Dank

 

nette Grüße

Dennis

[onedread 10]

HI

 

hast du Remotezugriff auf den Router bei der Nebenstelle?

 

ssh am outside interface temporär freigeben?

 

ist jetzt vielleicht etwas weit hergeholt und will dir das auch nicht unterstellen vielleicht wurde acl angelegt und nicht gespeichert und beim router neustart oder vielleicht sogar stromausfall router neu gebootet und konfig weg.

 

maybe.

 

ansonstn mit den Statusmeldungen beim vpn hab ich jetzt nicht soviel Ahnung, aber sieht mal nicht so schlecht aus.

 

Deswegen mal auf dem Router auch die Sa's kontrollieren.

 

mfg

onedread

[shoty 10]

hab leider keinen Zugriff auf den Router, wenn aber gar nichts mehr klappt, werde ich wohl morgen früh mal hinfahren müssen, ist nicht gerade um die Ecke!!

 

ssh Outside Interface hab ich probiert, keine Änderung.

 

ich bin der einzige, der Zugriff auf die Router hat, von daher ist es eigentlich nicht möglich, das da was geändert wurde!

 

Das komische ist ja, das die Verbindung eigentlich steht, ich aber kein Zugriff habe!!

[onedread 10]

HI

 

ja mit ssh am outside interface hab ich eigentlich den Router auf der Gegenseite gemeint, damit du ihn vom Hauptsitz aus warten kannst!!!

 

JA ich bin jetzt nicht der VPN Spezialist auf der Ciscoseite, aber ich würd dann doch mal ein debugging machen beim herstellen der Verbindung und gegebenfalls die ACL'S aufjedenfall überprüfen und das routing.

[shoty 10]

Normalerweise komm ich ja von der Haupstelle auch auf den Router drauf, nur leider jetzt nicht mehr!!

 

Beim Debugging kommt auch nichts auffälliges, der baut die Verbindung ohne Probleme auf, nur Bytes Rx bleibt auf 0 !!!

[shoty 10]

Hab meine PIX neu gestartet und sie da ..... es funktioniert wieder?!?!:suspect:

naja bin mal gespannt für wie lange! :confused:

[onedread 10]

HI

 

Ist interessant najo auch eine PIX kann sich mal verlaufen :)