HHO 10 Geschrieben 19. Mai 2005 Melden Teilen Geschrieben 19. Mai 2005 Wir haben in der Zentrale eine Pix 515 stehen und in den Außenstellen 1721 stehen. Die VPN-Tunnel laufen relativ problemlos. Zwischendurch allerdings gibt es Aussetzer. Bei der nächtlichen Datensicherung werden Netzlaufwerke durch den Tunnel gemappt. Dann fängt die Sicherung an zu laufen und irgendwann zwischendurch, allerdings auch nicht immer, werden die gemappten Laufwerke verloren, weil kurzfristig der Tunnel nicht steht. Hat jemand ein ähnliches Problem mit IPSec-Tunneln oder eine Idee wonach man schauen kann? Danke Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 19. Mai 2005 Melden Teilen Geschrieben 19. Mai 2005 könnte das eine "DSL alle-24h-Zwangtrennung" des Providers sein? Ansonsten über Nacht Interface/Tunnel loggen. Wisst Ihr ob nur der Tunnel zusammenbricht oder ist die darunterliegende WAN-Verbindung? Gruss Robert Zitieren Link zu diesem Kommentar
HHO 10 Geschrieben 19. Mai 2005 Autor Melden Teilen Geschrieben 19. Mai 2005 Nein, ist nicht die 24h-Stunden Trennung und die WAN-Verbindung läuft auch durch! Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 19. Mai 2005 Melden Teilen Geschrieben 19. Mai 2005 Hi, ich denk mal dass du eine Ipsec verwendest.. wie lange ist die Lifetime der IPsec SA ? Vielleicht kann es irgendwie damit zusammenhängen...oder mit dem "Rekeying" von IKE (isakmp).. Aktivier auf alle Fälle das logging. Grüsse Zitieren Link zu diesem Kommentar
HHO 10 Geschrieben 20. Mai 2005 Autor Melden Teilen Geschrieben 20. Mai 2005 SO ich lasse es diese Nacht mal mitloggen. An der Lifetime hab ich auch schon herumgespielt, egal ob 8 Stunden, 1 Stunde oder 5 Minuten. Das Problem tritt bei jeder Einstellung auf. Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 20. Mai 2005 Melden Teilen Geschrieben 20. Mai 2005 fällt mir noch was ein: IPSec Konfiguration mit Hostnamen (per DNS) statt mit IP-Adressen implementiert - Ausfall DNS -> Ausfall Tunnel - ... möglich wärs .. Gruss Robert Zitieren Link zu diesem Kommentar
HHO 10 Geschrieben 20. Mai 2005 Autor Melden Teilen Geschrieben 20. Mai 2005 Danke für den Tip, aber es sind IP-Adressen und nicht Hostnamen! Zitieren Link zu diesem Kommentar
HHO 10 Geschrieben 27. Mai 2005 Autor Melden Teilen Geschrieben 27. Mai 2005 Das Logfile auf dem Router spuckt keine nennenswerten Infos aus. Interessanter wird es auf der Pix in der Zentrale. Dort taucht u.a. diese Meldung auf: %PIX-4-402101: decaps: rec'd IPSEC packet has invalid spi for Merkwürdigerweise passiert das aber nur Nachts, ausgerechnet wenn eine Datensicherung über den Tunnel erfolgt. Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 28. Mai 2005 Melden Teilen Geschrieben 28. Mai 2005 Hi, hier die Beschreibung lt. cisco: %PIX-4-402101: decaps: rec'd IPSEC packet has invalid spi for destaddr=ip-addr, prot=protocol, spi=spi Explanation Received IPSec packet specifies SPI that does not exist in SADB. This may be a temporary condition due to slight differences in aging of SAs between the IPSec peers, or it may be because the local SAs have been cleared. It may also be because of incorrect packets sent by the IPSec peer. This may also be an attack. Action The peer may not acknowledge that the local SAs have been cleared. If a new connection is established from the local router, the two peers may then reestablish successfully. Otherwise, if the problem occurs for more than a brief period, either attempt to establish a new connection or contact the peer's administrator. Ist die lifetime der IPsec SA´s auf beiden peers gleich ? Setz diese ev. mal auf 24h oder so. ...oder vielleicht will jemand, dass dein Tunnel zusammenbricht.. Grüsse Thomas Zitieren Link zu diesem Kommentar
HHO 10 Geschrieben 28. Mai 2005 Autor Melden Teilen Geschrieben 28. Mai 2005 Naja, die lifetime ist gleich. Hab sie ja auch schon abgeändert auf alle möglichen Werte. Nachteil wenn man sie hochsetzt, dann braucht der Tunnel leider auch genauso lange bis er sich wieder aufbaut. Wie gesagt das merkwürdige ist das der Tunnel eigentlich nur abschmiert wenn die Dasi läuft. Egal ob diese Nachts oder Morgens läuft. Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 29. Mai 2005 Melden Teilen Geschrieben 29. Mai 2005 Sprich doch mal was zum Thema Sicherung. Welche Software nutzt ihr ? Welche Optionen sind für die Sicherung eingestellt ? Wenn ich die erklärung für die Fehlermeldung richtig verstehe könnte da was übermittelt werden, was als Angriff deklariert wird und somit geblockt wird. Spiel doch mal mit den Sicherungsoptionen ein wenig rum. Nur so ein Gedanke.... Greetings Ralf Zitieren Link zu diesem Kommentar
HHO 10 Geschrieben 2. Juni 2005 Autor Melden Teilen Geschrieben 2. Juni 2005 Also habe die Sache intensivst beobachtet und auch noch diverse Einstellungen geändert. Jetzt bei der letzten Sicherung ist nur ein Tunnel abgestürzt und das nach einer Datei, die 15MB groß war, was ungewöhnlich groß ist. Hat jemand sowas schonmal gehabt oder fällt einem dazu mehr ein? Zitieren Link zu diesem Kommentar
HHO 10 Geschrieben 22. Juni 2005 Autor Melden Teilen Geschrieben 22. Juni 2005 Kurzes Update zu diesem Thema. Ich habe die Lifetimes auf 5 Minuten inzwischen gestellt und Tunnelausfälle gibt es kaum. Immer noch habe ich aber das Problem das kurzfristig zwischendurch wohl die Tunnel nicht da sind. Z.B. werden auch ICA-Sitzungen kurz getrennt, genauso wie die Laufwerksmappings. Hat denn keiner mal so ein ähnliches Problem gehabt? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.