Ich habe weltweit mehrere Cisco ASA 5505 und PIX 506e, die als VPN-Endpunkte fungieren. Sie sind mit einem Cisco VPN Concentrator 3000 in der Zentrale verbunden. Ich verwende Easy VPN, um das VPN einzurichten (d. h. der Großteil der Konfiguration erfolgt zentral auf dem VPN Concentrator). Die meisten Endpunkte funktionieren einwandfrei.
Bei dreien ist dies jedoch nicht der Fall. 2 ASAs und 1 PIX werden von einem der VLANs in unserem Netzwerk getrennt. Dies ist das VLAN, auf dem mein Überwachungsserver läuft – daher sieht es so aus, als wären diese Endpunkte ausgefallen. Ich kann die Endpunkte jedoch weiterhin von unserem Benutzer-VLAN aus anpingen. Wenn ich dann per SSH auf den Endpunkt zugreife und einen Ping an meinen Überwachungsserver ausführe, wird die Verbindung wiederhergestellt. Nach etwa 10 Minuten funktioniert sie dann wieder nicht mehr.
Ich habe mir die Konfiguration meiner Endpunkte angesehen und kann keine nennenswerten Unterschiede erkennen. Eine Gemeinsamkeit besteht darin, dass die betroffenen Endpunkte über handelsübliche Router mit dem Internet verbunden sind. Ich sehe jedoch nicht, wie sich dies auf den Datenverkehr innerhalb eines VPN-Tunnels auswirken könnte.
Irgendwelche Ideen oder Vorschläge? Ich habe auch einen Thread in den Cisco-Foren unterhttps://supportforums.cisco.com/thread/344638. Eine andere Person hat das gleiche Problem gemeldet.
Antwort1
Ich glaube, Sie meinen „Subnetz“ überall dort, wo Sie „VLAN“ haben. Ich glaube nicht, dass VPN3k überhaupt die Zuweisung von VPN-Tunneln zu VLANs unterstützt. Wenn Sie Split-Tunneling verwenden und für jedes dieser Subnetze zwei verschiedene Routen bereitstellen, erhalten Sie auf dem Pix eine IPSec-Sicherheitszuordnung pro Subnetz.
Es hört sich an, als ob diese aus irgendeinem Grund eine Zeitüberschreitung aufweisen.
Ich bin nicht sicher, warum das passiert, aber ich weiß, dass ich diese Konfiguration seit Jahren ohne Probleme verwende:
vpnclient server server1 server2
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup group password ********
vpnclient username user password ********
vpnclient management tunnel mana.geme.nt.subnet 255.255.255.0
vpnclient enable
Unterscheidet sich das von der Konfiguration, die Sie ausführen?