Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 3477 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Verbindungsabbruch

Abyss_X
Hallo zusammen, 
ich habe ein (noch) kleines Problem mit dem VPN Zugriff über den Cisco Client auf die ASG. Bevor ich alle Details erläutere erst einmal das Problem. 

Szenario 1 - Verbindung über Cisco Client von Homeoffie zu Cisco ASA (UMTS) alles OK

Szenario 2 - Verbindung über Cisco Client von Homeoffice zu Cisco ASA (DSL) alles OK

Szenario 3 - Verbindung über Cisco Client von Homeoffice zur ASG (UMTS) alles OK

Szenario 4 - Verbindung über Cisco Client von Homeoffice zur ASG (DSL) immer Verbindungsabbruch nach exakt 1 Stunde

Das Cisco LOG sagt folgendes: 


783    20:03:37.025  08/01/11  Sev=Info/4	IKE/0x63000014

RECEIVING >> ISAKMP OAK INFO *(HASH, NOTIFY[[[[:D]]]]PD_REQUEST) to 80.146.X.X



790    20:03:46.525  08/01/11  Sev=Info/4	IKE/0x63000014

RECEIVING >> ISAKMP OAK INFO *(HASH, NOTIFY[[[[:D]]]]PD_REQUEST) to 80.146.X.X



792    20:03:57.025  08/01/11  Sev=Info/4	IKE/0x63000014

RECEIVING >> ISAKMP OAK INFO *(HASH, DEL) to 80.146.X.X



795    20:04:07.525  08/01/11  Sev=Info/4	IKE/0x63000058

Received an ISAKMP message for a non-active SA, I_Cookie=00A65BC15FB1F9F4 R_Cookie=CCAEE8D3AF9BB9D3



796    20:04:07.525  08/01/11  Sev=Info/4	IKE/0x63000014

RECEIVING 



Kennt vielleicht jemand das Verhalten und weiß abhilfe?


Cu


This thread was automatically locked due to age.
  • 0
    "REASON_PEER_NOT_RESPONDING"
    Was wird auf der ASG protokolliert?
  • 0 in reply to Forscher
    ASG IPSec Log 


    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | *received whack message

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: listening for IKE messages

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | found lo with address 127.0.0.1

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | found eth0 with address 192.168.0.252

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | found eth1 with address 80.146.210.35

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | found eth1 with address 80.146.210.38

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | found eth1 with address 80.146.210.36

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | found eth2 with address 172.16.0.252

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | found eth4 with address 172.16.1.252

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | found eth5 with address 172.16.2.252

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | found lo with address 0000:0000:0000:0000:0000:0000:0000:0001

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: forgetting secrets

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: loading secrets from "/etc/ipsec.secrets"

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]:   loaded PSK secret for 80.146.210.35 213.120.143.203 

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]:   loaded private key from 'REF_gwHsWpoDtB.pem'

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | next event EVENT_REINIT_SECRET in 208 seconds

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | 

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | *received whack message

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: forgetting secrets

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: loading secrets from "/etc/ipsec.secrets"

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]:   loaded PSK secret for 80.146.210.35 213.120.143.203 

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]:   loaded private key from 'REF_gwHsWpoDtB.pem'

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: loading ca certificates from '/etc/ipsec.d/cacerts'

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]:   loaded ca certificate from '/etc/ipsec.d/cacerts/REF_zhjGmaFxMr.pem'

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: |   authcert is already present and identical

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]:   loaded ca certificate from '/etc/ipsec.d/cacerts/REF_AEQnGJaeNm.pem'

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: |   authcert is already present and identical

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: loading aa certificates from '/etc/ipsec.d/aacerts'

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: loading attribute certificates from '/etc/ipsec.d/acerts'

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: Changing to directory '/etc/ipsec.d/crls'

    2011:08:01-20:03:39 Astaro-HQ pluto[7011]: | next event EVENT_REINIT_SECRET in 208 seconds

    2011:08:01-20:03:47 Astaro-HQ pluto[7011]: | 

    2011:08:01-20:03:47 Astaro-HQ pluto[7011]: | *received 92 bytes from 88.74.152.146:35682 on eth1

    2011:08:01-20:03:47 Astaro-HQ pluto[7011]: | ICOOKIE:  00 a6 5b c1  5f b1 f9 f4

    2011:08:01-20:03:47 Astaro-HQ pluto[7011]: | RCOOKIE:  cc ae e8 d3  af 9b b9 d3

    2011:08:01-20:03:47 Astaro-HQ pluto[7011]: | peer:  58 4a 98 92

    2011:08:01-20:03:47 Astaro-HQ pluto[7011]: | state hash entry 16

    2011:08:01-20:03:47 Astaro-HQ pluto[7011]: | state object #28398 found, in STATE_MODE_CFG_R1

    2011:08:01-20:03:47 Astaro-HQ pluto[7011]: | received DPD notification R_U_THERE with seqno = 2177770552

    2011:08:01-20:03:47 Astaro-HQ pluto[7011]: | sent DPD notification R_U_THERE_ACK with seqno = 2177770552

    2011:08:01-20:03:47 Astaro-HQ pluto[7011]: | next event EVENT_REINIT_SECRET in 200 seconds

    2011:08:01-20:03:57 Astaro-HQ pluto[7011]: | 

    2011:08:01-20:03:57 Astaro-HQ pluto[7011]: | *received 92 bytes from 88.74.152.146:35682 on eth1

    2011:08:01-20:03:57 Astaro-HQ pluto[7011]: | ICOOKIE:  00 a6 5b c1  5f b1 f9 f4

    2011:08:01-20:03:57 Astaro-HQ pluto[7011]: | RCOOKIE:  cc ae e8 d3  af 9b b9 d3

    2011:08:01-20:03:57 Astaro-HQ pluto[7011]: | peer:  58 4a 98 92

    2011:08:01-20:03:57 Astaro-HQ pluto[7011]: | state hash entry 16

    2011:08:01-20:03:57 Astaro-HQ pluto[7011]: | state object #28398 found, in STATE_MODE_CFG_R1

    2011:08:01-20:03:57 Astaro-HQ pluto[7011]: | received DPD notification R_U_THERE with seqno = 2177770553

    2011:08:01-20:03:57 Astaro-HQ pluto[7011]: | sent DPD notification R_U_THERE_ACK with seqno = 2177770553

    2011:08:01-20:03:57 Astaro-HQ pluto[7011]: | next event EVENT_REINIT_SECRET in 190 seconds

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | 

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | *received 92 bytes from 88.74.152.146:35682 on eth1

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | ICOOKIE:  00 a6 5b c1  5f b1 f9 f4

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | RCOOKIE:  cc ae e8 d3  af 9b b9 d3

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | peer:  58 4a 98 92

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | state hash entry 16

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | state object #28398 found, in STATE_MODE_CFG_R1

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | ICOOKIE:  00 a6 5b c1  5f b1 f9 f4

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | RCOOKIE:  cc ae e8 d3  af 9b b9 d3

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | peer:  58 4a 98 92

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | state hash entry 16

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | state object #28398 found, in STATE_MODE_CFG_R1

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: "D_REF_UsilxUpMFX_3"[3] 88.74.152.146:35682 #28398: received Delete SA payload: deleting ISAKMP State #28398

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | ICOOKIE:  00 a6 5b c1  5f b1 f9 f4

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | RCOOKIE:  cc ae e8 d3  af 9b b9 d3

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | peer:  58 4a 98 92

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | state hash entry 16

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: "D_REF_UsilxUpMFX_3"[3] 88.74.152.146:35682: deleting connection "D_REF_UsilxUpMFX_3" instance with peer 88.74.152.146 {isakmp=#0/ipsec=#0}

    2011:08:01-20:04:08 Astaro-HQ pluto[7011]: | next event EVENT_REINIT_SECRET in 179 seconds

    2011:08:01-20:04:45 Astaro-HQ pluto[7011]: | 

    2011:08:01-20:04:45 Astaro-HQ pluto[7011]: | *received kernel message

    2011:08:01-20:04:45 Astaro-HQ pluto[7011]: | next event EVENT_REINIT_SECRET in 142 seconds

    2011:08:01-20:04:45 Astaro-HQ pluto[7011]: | 

    2011:08:01-20:04:45 Astaro-HQ pluto[7011]: | *received kernel message

    2011:08:01-20:04:45 Astaro-HQ pluto[7011]: | next event EVENT_REINIT_SECRET in 142 seconds

    2011:08:01-20:05:33 Astaro-HQ pluto[7011]: | 

    2011:08:01-20:05:33 Astaro-HQ pluto[7011]: | *received kernel message

    2011:08:01-20:05:33 Astaro-HQ pluto[7011]: | next event EVENT_REINIT_SECRET in 94 seconds

    2011:08:01-20:05:33 Astaro-HQ pluto[7011]: | 
  • 0
    Das sieht danach aus als ob die key-lifetime nicht passt.
    Schau doch mal bitte beim Client und in der Astaro nach wie die IKE-Lifetime definiert ist. Scheinbar will die Astaro nach einer Stunde einen neuen Key, jedoch der Client nicht, dadurch handeln sie keinen neuen aus und der Client hat den Eindruck als ob die Astaro tot sei (stimmt ja auch, sie "redet" ja nicht mehr mit ihm, sondern will nen neuen Key haben).

    Grüße

    Schröder
  • 0 in reply to Schroeder
    Im Cisco Client selbst muss/kann ich die Lifetime nicht definieren(soweit ich weiß). Was ich an der Stelle seltsam finde das es einerseits über UMTS mit dem selben client funktioniert und andererseits über meine Firewall @ home in Richtung Cisco ASA.

    Ich hatte ja erst die Bintec Firewall in Verdacht aber warum bricht die Verbindung dann in Richtung ASA nicht ab?


    Cu
  • 0 in reply to Abyss_X
    Niemand mehr eine Idee...?

    Cu
Unfiltered HTML