DocZenith 12 Geschrieben 25. Juni 2010 Melden Teilen Geschrieben 25. Juni 2010 Hallo! Ich bin gerade am verzweifeln, vielleicht kann mir hier jemand weiterhelfen. Heute Mittag ist ohne Einwirkung, oder Konfigurationsänderung eine VPN Strecke zwischen zwei Standorten ausgefallen. die Verbindung läuft sonst ohne Probleme rund um die uhr. Ich hab beide Router schon neu gestartet; unter sh crypto isakmp sa sieht man kurz, dass die Connection "IDLE" ist, danach direkt wieder down :-( Befehle wie clear crypto session remote A.B.C.D oder clear crypto isakmp ... halfen nicht Das Debug ist angehängt. Hoffe das hilft. Gruß. debug.txt Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 25. Juni 2010 Melden Teilen Geschrieben 25. Juni 2010 die interessanten config teile würden sicher auch noch weiterhelfen Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 25. Juni 2010 Melden Teilen Geschrieben 25. Juni 2010 Ich habe den Anhang von DocZenith freigeschaltet. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 25. Juni 2010 Melden Teilen Geschrieben 25. Juni 2010 ok, da kann ich jetzt genau rauslesen das es wohl schon bei Phase 1 Probleme gibt... Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 28. Juni 2010 Autor Melden Teilen Geschrieben 28. Juni 2010 Hier mal ein Debug des zweiten Routers, etwas abgekürzt: Jun 28 11:17:42.734 GMT1: ISAKMP: : success Jun 28 11:17:42.734 GMT1: ISAKMP:found peer pre-shared key matching A.B.C.D Jun 28 11:17:42.734 GMT1: ISAKMP: local preshared key found Jun 28 11:17:42.734 GMT1: ISAKMP: Scanning profiles for xauth ... vpnclients Jun 28 11:17:42.734 GMT1: ISAKMP: Authentication by xauth preshared Jun 28 11:17:42.734 GMT1: ISAKMP: Checking ISAKMP transform 1 against priority 10 policy Jun 28 11:17:42.734 GMT1: ISAKMP: encryption 3DES-CBC Jun 28 11:17:42.734 GMT1: ISAKMP: hash SHA Jun 28 11:17:42.734 GMT1: ISAKMP: default group 2 Jun 28 11:17:42.734 GMT1: ISAKMP: auth pre-share Jun 28 11:17:42.734 GMT1: ISAKMP: life type in seconds Jun 28 11:17:42.734 GMT1: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80 Jun 28 11:17:42.734 GMT1: ISAKMP: atts are acceptable. Next payload is 0 Jun 28 11:17:42.742 GMT1: ISAKMP: processing vendor id payload Jun 28 11:17:42.742 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 69 mismatch Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 245 mismatch Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v7 Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 157 mismatch Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v3 Jun 28 11:17:42.746 GMT1: ISAKMP: processing vendor id payload Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID seems Unity/DPD but major 123 mismatch Jun 28 11:17:42.746 GMT1: ISAKMP: vendor ID is NAT-T v2 Jun 28 11:17:42.746 GMT1: ISAKMP: Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE Jun 28 11:17:42.746 GMT1: ISAKMP: Old State = IKE_R_MM1 New State= IKE_R_MM1 Jun 28 11:17:42.750 GMT1: ISAKMP: constructed NAT-T vendor-07 ID Jun 28 11:17:42.750 GMT1: ISAKMP: sending packet to A.B.C.D my_port 500 peer_port 500 ® MM_SA_SETUP Jun 28 11:17:42.750 GMT1: ISAKMP: Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE Jun 28 11:17:42.750 GMT1: ISAKMP: Old State = IKE_R_MM1 New State= IKE_R_MM2 Jun 28 11:17:52.723 GMT1: ISAKMP: received packet from A.B.C.D dport 500 sport 500 Global ® MM_SA_SETUP Jun 28 11:17:52.723 GMT1: ISAKMP: phase 1 packet is a duplicate of a previous packet. Jun 28 11:17:52.723 GMT1: ISAKMP: retransmitting due to retransmit phase 1 Jun 28 11:17:53.223 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP... Jun 28 11:17:53.223 GMT1: ISAKMP: incrementing error counter on sa, attempt 1 of 5: retransmit phase 1 Jun 28 11:17:53.223 GMT1: ISAKMP: retransmitting phase 1 MM_SA_SETUP Jun 28 11:17:53.223 GMT1: ISAKMP: sending packet to A.B.C.D my_port 500 peer_port 500 ® MM_SA_SETUP Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. Juni 2010 Melden Teilen Geschrieben 28. Juni 2010 Passt da was mit NAT nicht? Das er den Port 4500 nicht mag, bzw. die Firewall davor? Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 28. Juni 2010 Autor Melden Teilen Geschrieben 28. Juni 2010 davor ist keine Firewall. von daher wird also nichts geblockt. es laufen weitere VPNs auf dem Router, NUR diese eine klappt nicht mehr :-( gibt es denn bestimmte NAT einstellungen die ich für VPNs beachten muss? Gruß. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 28. Juni 2010 Melden Teilen Geschrieben 28. Juni 2010 ja wenn du uns mal die aktuellen Settings zeigen würdest....wenn möglich nur die wichtigen Teile beider Seiten Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 28. Juni 2010 Autor Melden Teilen Geschrieben 28. Juni 2010 Router HH2: ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key 12345 address A.B.C.D no-xauth crypto isakmp keepalive 10 ! ! crypto ipsec transform-set ESP_3DES_SHA1 esp-3des esp-sha-hmac crypto ipsec df-bit clear ! crypto map MERLIN-AUSSEN 20 ipsec-isakmp description HH2 <-> HH1 set peer A.B.C.D set security-association lifetime seconds 28800 set transform-set ESP_3DES_SHA1 match address CRYPTOLIST-HH qos pre-classify ! interface Dialer1 description TDSL bandwidth 927 ip address negotiated ip access-group INTERNET_IN in no ip unreachables ip mtu 1492 ip nat outside ip inspect LAN out ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1300 load-interval 30 dialer pool 1 dialer remote-name dummy dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname ... ppp chap password ... ppp ipcp dns request crypto map MERLIN-AUSSEN max-reserved-bandwidth 100 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 10.100.0.0 255.255.0.0 Dialer1 ip route 10.101.110.0 255.255.255.0 10.101.100.2 ! ip nat inside source route-map NATLIST interface Dialer1 overload ! ip access-list extended CRYPTOLIST-HH permit ip 10.101.0.0 0.0.255.255 10.100.0.0 0.0.255.255 ! Router HH: ! crypto keyring aussenstellen pre-shared-key address 0.0.0.0 0.0.0.0 key 12345 ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp keepalive 10 ! crypto isakmp profile aussenstellen description LANtoLAN IPSec-Verbindungen zu dynamischen DSL-Aussenstellen keyring default keyring aussenstellen match identity address 0.0.0.0 ! crypto ipsec transform-set ESP_3DES_SHA1 esp-3des esp-sha-hmac crypto ipsec df-bit clear ! crypto dynamic-map dynmap 10 description Terminierung dynamischer DSL-Aussenstellen set transform-set ESP_3DES_SHA1 set isakmp-profile aussenstellen ! crypto map MERLIN-AUSSEN 65535 ipsec-isakmp dynamic dynmap ! interface FastEthernet0/0 description WAN-Interface bandwidth 10240 ip address A.B.C.D 255.255.255.248 ip access-group INTERNET_IN in no ip unreachables ip nat outside ip inspect LAN out ip virtual-reassembly ip tcp adjust-mss 1300 load-interval 30 duplex full speed 100 no cdp enable crypto map MERLIN-AUSSEN max-reserved-bandwidth 100 service-policy output QoS-CC10-Mother ! ip classless ip route 0.0.0.0 0.0.0.0 A.B.C.D ip route 10.100.110.0 255.255.255.0 10.100.100.2 ip route 10.101.0.0 255.255.0.0 A.B.C.D ip route 10.101.100.0 255.255.255.0 A.B.C.D ip route 10.101.110.0 255.255.255.0 A.B.C.D ! ip nat inside source route-map NATLIST interface FastEthernet0/0 overload ! ip access-list extended INTERNET_IN ... permit icmp any any echo-reply permit icmp any any unreachable permit icmp any any time-exceeded ... permit ip 10.101.0.0 0.0.255.255 10.100.0.0 0.0.255.255 ... permit udp any host A.B.C.D eq isakmp permit esp any host A.B.C.D permit udp any host A.B.C.D eq non500-isakmp ! Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 28. Juni 2010 Melden Teilen Geschrieben 28. Juni 2010 Hatte vor kurzem genau das gleiche Phänomen - eins von 5 VPNs kam nicht mehr hoch, keine Änderungen durchgeführt und dem Debug nach zu urteilen ein Phase 1 Problem. Sämtliche Einstellungen mit der Gegenstelle abgeglichen, keinen Fehler gefunden. Dann einfach auf Verdacht einen neuen PSK generiert und auf beiden Seiten eingetragen, und es lief wieder... Vorher war der PSK aber auch auf beiden Seiten identisch... Und check ansonsten nochmal, dass beide Router die korrekte Uhrzeit haben (allerdings sollten dann die anderen VPNs auch irgendwann down gehen, wenns da nicht passt) Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 28. Juni 2010 Autor Melden Teilen Geschrieben 28. Juni 2010 Danke für den Hinweis, hat aber leider nicht zum Erfolg geführt. 1) anderer PSK = kein Erfolg 2) Urzeit und Datum sind gleich Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 28. Juni 2010 Melden Teilen Geschrieben 28. Juni 2010 Wie sind denn die Settings für Dead Peer Detection (DPD), da scheint was nicht zu passen... Oder mit NAT, bzw. NAT-T, wie Wordo schon erwähnte? Ist auf der Gegenseite evtl NAT-T aktiv? #crypto isakmp nat-traversal Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 28. Juni 2010 Autor Melden Teilen Geschrieben 28. Juni 2010 Wie sind denn die Settings für Dead Peer Detection (DPD), da scheint was nicht zu passen...Oder mit NAT, bzw. NAT-T, wie Wordo schon erwähnte? Ist auf der Gegenseite evtl NAT-T aktiv? #crypto isakmp nat-traversal mh...dieser Befehl gibt es bei den Router nicht. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 28. Juni 2010 Melden Teilen Geschrieben 28. Juni 2010 Oops, sorry, war ASA... Mal sehen, ob ich schnell das Äquivalent fürn Router finde... crypto ipsec nat-transparency udp-encapsulation bzw. no crypto ipsec nat-transparency udp-encapsulation um NAT-T zu deaktivieren Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 28. Juni 2010 Melden Teilen Geschrieben 28. Juni 2010 Und check ansonsten nochmal, dass beide Router die korrekte Uhrzeit haben (allerdings sollten dann die anderen VPNs auch irgendwann down gehen, wenns da nicht passt) spielt nur bei Zertifikaten ne Rolle Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.