Cisco VPN problemen

dinsdag 8 november 2016 10:52

Acties:

0 Henk 'm!

Topicstarter

Beste tweakers,

Wij hebben meerdere Cisco apparaten draaien bij klanten echter vallen ze op exact dezelfde tijd uit.
De firewalls zelf blijven beheerbaar via hun management pagina echter het VPN gedeelte stopt er in zijn geheel mee (tunnels en client to firewall)
Een reboot lost dit probleem op, simpel disable en enable van bijvoorbeeld de tunnel werkt niet.

Het gaat hier om meerdere modellen, zo hebben we de ISA550, SA520 en bij kleinere locaties een RV180.
Als test heb ik op een andere locatie een watchguard neer gezet en die heeft nergens last van.

De Cisco's staat door heel Nederland, soms draaien ze 3 maanden lang goed en soms slechts een uur of 15-20.

Heeft iemand hier wellicht ervaringen mee?
Kan mij niet voorstellen dat ik de enige ben met dit probleem gezien ze alle 20 tegelijk plat gaan.

Firmware is up-to-date.

Alvast bedankt!

dinsdag 8 november 2016 10:58

Acties:

0 Henk 'm!

wizai

Praten alle Cisco's naar 1 VPN server?
Is client side instellingen op alle cisco's gelijk, of custom ingesteld?
Is er niets te vinden in de logs?

Anjunabeats

dinsdag 8 november 2016 11:20

Acties:

0 Henk 'm!

skdevil

Topicstarter

Nee, Cisco's zijn allemaal los van elkaar dat maakt het probleem ook zo vreemd.
Op sommige locaties staan er 2 a 3 met elkaar in verbinding via een tunnel.

Clientside kan er vrij weinig mis zijn qua instellingen, in de cisco VPN client zijn er nagenoeg geen instellingen.
Het punt is ook dat de tunnels tussen locaties er ook mee stoppen, lijkt erop dat echt het gehele VPN gedeelde gewoon er mee stopt.

Het vreemde aan het verhaal is dat het soms gewoon lange tijd goed gaat en daarna ineens iedere dag gebeurd.
De logging op deze apparaten is niet echt heel goed, ik heb er niets in kunnen terug vinden.

[ Voor 5% gewijzigd door skdevil op 08-11-2016 11:21 ]

dinsdag 8 november 2016 11:48

Acties:

0 Henk 'm!

wizai

In het verleden heb ik me wel eens suf gezocht voor een soortgelijk probleem, een oplossing was het wijzigen van de MTU size.

Hier uitleg over MTU size, het gaat niet om Netgear, maar om de uitleg

Hopelijk kun je dit toepassen, of in ieder geval controleren.

http://kb.netgear.com/app...r?cid=wmt_netgear_organic

Wikipedia: Maximum transmission unit

[ Voor 6% gewijzigd door wizai op 08-11-2016 11:49 ]

Anjunabeats

dinsdag 8 november 2016 12:25

Acties:

0 Henk 'm!

skdevil

Topicstarter

wizai schreef op dinsdag 08 november 2016 @ 11:48:
In het verleden heb ik me wel eens suf gezocht voor een soortgelijk probleem, een oplossing was het wijzigen van de MTU size.

Hier uitleg over MTU size, het gaat niet om Netgear, maar om de uitleg
Hopelijk kun je dit toepassen, of in ieder geval controleren.

http://kb.netgear.com/app...r?cid=wmt_netgear_organic

Wikipedia: Maximum transmission unit

Bedankt, ik ga het proberen!

dinsdag 8 november 2016 16:10

Acties:

0 Henk 'm!

skdevil

Topicstarter

Alle cisco's staan op 1500 MTU wat volgens mij een redelijke standaard is niet?
Krijg ook geen fragmented packages als ik binnen die 28 marge blijf zitten

Wellicht iemand nog andere ideeën?

zondag 13 november 2016 17:47

Acties:

0 Henk 'm!

Kabouterplop01

chown -R me base:all

alle 20 tegelijk plat?; dat heeft niets met MTU te maken. Als je MTU niet goed staat komt je tunnel niet op.
Ik denk dat je toch je logging op minimaal 1 van die apparaten moet aanzetten zodat je wat beter kan zien wat er gebeurt.

zondag 13 november 2016 18:06

Acties:

+1 Henk 'm!

RedShift

Wat zijn de exacte VPN instellingen? Misschien een probleem met DPD? Wat is de status van phase 1 en phase 2 op het moment van de outage?

zaterdag 19 november 2016 10:37

Acties:

0 Henk 'm!

winux

Heb je een logging functies in de Cisco? Wellicht dat daar iets in naar voren komt.

Hebben alle VPNs dezelfde ISP?

dinsdag 22 november 2016 14:36

Acties:

0 Henk 'm!

skdevil

Topicstarter

RedShift schreef op zondag 13 november 2016 @ 18:06:
Wat zijn de exacte VPN instellingen? Misschien een probleem met DPD? Wat is de status van phase 1 en phase 2 op het moment van de outage?

Ik vind de cisco's zeer beperkt qua informatie dat ze geven over hun status.
Zijn nu op een andere locatie begonnen met Watchguard, flinke verbetering!

We hebben zowel met als zonder DPD getest, ook de SA expires hebben we mee lopen spelen.
Logging had ik al aangezet echter hebben deze cisco's bar slechte logging (missen gewoon hele weken) of ze resetten zich ineens uit zichzelf.
Logs heb ik nu cleared om te kijken of het bij de volgende outage wel iets terug te zien is.

Afbeeldingslocatie: https://tweakers.net/ext/f/WFJeGRj6iHuDrBsOkoFGeaMr/thumb.png

Configuraties zijn identiek aan beide kanten, de client naar VPN server stopt er ook mee zodra de tunnels offline gaan.
Het lijkt er op dat het gehele IPSEC gedeelde van de firewall onderuit gaat.

[ Voor 10% gewijzigd door skdevil op 22-11-2016 14:41 ]

dinsdag 22 november 2016 14:38

Acties:

0 Henk 'm!

skdevil

Topicstarter

winux schreef op zaterdag 19 november 2016 @ 10:37:
Heb je een logging functies in de Cisco? Wellicht dat daar iets in naar voren komt.

Hebben alle VPNs dezelfde ISP?

Logging is zeer beperkt en slecht, 80% van de VPNs zitten op Ziggo zakelijk de rest DSL/fiber.

dinsdag 22 november 2016 21:36

Acties:

0 Henk 'm!

winux

Wat me opvalt aan je screenshots, je SA lifetime verschilt van elkaar.
Twijfel of dit de oorzaak is, maar ideaal is het zeker niet.

vrijdag 25 november 2016 08:53

Acties:

0 Henk 'm!

skdevil

Topicstarter

winux schreef op dinsdag 22 november 2016 @ 21:36:
Wat me opvalt aan je screenshots, je SA lifetime verschilt van elkaar.
Twijfel of dit de oorzaak is, maar ideaal is het zeker niet.

De ene is van de IKE policy en de andere van de VPN policy zelf.
Heb het even getest met de wizard en die stelt zelf ook 2 verschillende SA lifetimes in wanneer je achteraf terug kijkt.
Ik denk dat dit de bedoeling is maar ik zal eens proberen allebei hetzelfde te gebruiken.

Pagina: 1

Reageer

Onderwerpen