VPN-tunnel går ner, vad är felet?

Tråden skapades och har fått 9 svar. Det senaste inlägget skrevs .
1

Hej!
Jag har satt upp en VPN-förbindelse mellan två nätverk. Nätverken har varsin Symantec Gateway Security 320-branvägg som hanterar förbindelsen.
Tunneln brukar gå ner efter ett tag. Den kopplar inte heller upp igen om man försöker ansluta mot en dator på "andra sidan". Vad kan vara fel?

I loggen skriver den såhär efter att anslutningen gått ner (de svarta rutorna är namnet på tunneln och de blåa är "andra sidans" ip-adress) :

  • Medlem
  • Malmö
  • 2005-05-01 23:16

Kan du skriva ner alla VPN inställningar tack. T.ex encryption, mode, authentication etc etc eftersom dessa är ganska viktiga när man ska felsöka
Skärmdump av router gränssnittet vore kanon men glöm inte att mörka PSK, IP etc

//henke

Javisst, här är skärmdumpar. Kom precis på att det kanske var lite onödigt att maska andra sidans subnät.

  • Medlem
  • Malmö
  • 2005-05-02 08:26

Står visserligen att lifetimen har gått ut...fast du kör ju 8h vilket är standard. Antar att de är likadant konfade. Timeout = 0 betyder det att det är disablat eller?

När den försöker komma upp igen hur gör du då? Pingar du en IP på andra nätet eller använder du NetBIOS namn eller DNS namn?

VPN tunnlar kan vara ett helvete ibland med till 99% brukar det beror på olika härdvarutillverkare. Du kör ju 2 likadana så det är lite konstigt om du nu har samma inställingar.

När brukar den koppla ner? Efter 8 timmar eller är det vid olika tillfällen.
Är det statiska wan ip på båda näten eller?

Verkar visserligen att det är vid Phase 2 som det blir kaiko vilket innebär att den hittar rätt IP etc men att authentication processen blir fel.

Lite mera info vore kanon!

//henke

Henke, jag är verkligen tacksam för att du hjälper till!
Enligt dokumentationen betyder timeout=0 att det är disablat.
För att koppla upp tunneln igen har jag varit tvungen att antingen starta om brandväggen eller klicka på update i gränssnittet. Att pinga eller på något annat sätt försöka kontakta andra sidan fungerar ej.
Jag har dynamiska ip-adresser på båda sidor, men det borde väl inte ha någon betydelse när de inte ändrats, eller?
Vad betyder Phase 1 och Phase 2?
Vad är egentligen skillnaden på en dynamisk tunnel och en statisk? Kanske ska jag försöka sätta upp en statisk?

  • Medlem
  • Malmö
  • 2005-05-02 13:35
Ursprungligen av Kristofer:

Henke, jag är verkligen tacksam för att du hjälper till!
Enligt dokumentationen betyder timeout=0 att det är disablat.
För att koppla upp tunneln igen har jag varit tvungen att antingen starta om brandväggen eller klicka på update i gränssnittet. Att pinga eller på något annat sätt försöka kontakta andra sidan fungerar ej.
Jag har dynamiska ip-adresser på båda sidor, men det borde väl inte ha någon betydelse när de inte ändrats, eller?
Vad betyder Phase 1 och Phase 2?
Vad är egentligen skillnaden på en dynamisk tunnel och en statisk? Kanske ska jag försöka sätta upp en statisk?

Du har alltså 2 st likadana 320 GW med samma (senaste firmware) och du kör deras pre-defined tunnels?
Hur ofta går de ner?
Du ska köra på dynamiska för de statiska sker inte phase 1 automatiskt. Phase 1 är det första som händer när en tunnel initieras och det skapas en IKE Security Association som skyddar phase 2 negotiation i vilken den egentliga autensiteringen sker.

Mycket mumbo jumbo jag vet och oftast behöver man inte bryr sig om det mer än att om phase 1 inte avklaras är det något fel med ip elelr IKE inställningarna.

Spelar det ågon roll om du ändrar timeouten?
Testa att ändra både SA lifetime och testa sätt en inaktivity timeout för att se vad som händer.
OM den går ner med jämna mellanrum som är kortare än SA lifetime inställningarna så kan det vara att de har svårt att hantera förnyande av den dynamiska IP adressen. Detta sker efter halva leasetiden så är det telia du har blir det 10min...

Oj vad mycket det blev

Glöm inte läsa manualen till GWn för där står ganska mkt. Har inte jobbat med Symantecs grejjer någon gång så det är svårt att ge exakta instruktioner.

Lycka till!

  • Medlem
  • Malmö
  • 2005-05-03 12:58

Du såg precis att du kör Main mode. Testa att köra i aggressive mode då detta brukar klara dynamiska ip adresser etc lite bättre.

Se om det funkar bättre i aggressive mode. Om inte så kan du byta tillbaka.

//henke

Tack! Ska testa det du sagt!

(så fort telia får fart på internetanslutningen på andra sidan..)

Det ser ut att funka efter att jag ändrat till aggressive mode! Tack så hemskt mycket för hjälpen!

  • Medlem
  • Malmö
  • 2005-05-08 18:47

NP! Kul att det funka!
Agressiva mode är ju inte lika säker som Main mode men för ditt ändamål är det nog fullt tillräckligt.
Aggressive Mode skickar t.ex. preshared key i klartext.

Lycka till!

//henke

1
Bevaka tråden