Buenas noches, soy relativamente nuevo en la empresa y de un tiempo para acá comenzamos a tener problemas con una VPN que tenemos desde Bogota sede central hacia Alemania sede remota, la vpn se cae y la forma como lo he solucionado es reiniciando el Firewall de Alemania con lo cual automáticamente sube la vpn, esto ocurre casi que todos los días, como me están solicitando dar una solución definitiva empecé por revisar los logs donde me sale el siguiente error:
ike 0:VPN_Alemania:VPN_P2_Bog: using existing connection
ike 0:VPN_Alemania:VPN_P2_Bog: config found
ike 0:VPN_Alemania:VPN_P2_Bog: IPsec SA connect 24 217.X.Y.210->190.X.Y.3:500
ike 0:VPN_Alemania:VPN_P2_Bog: using existing connection
ike 0:VPN_Alemania:VPN_P2_Bog: config found
ike 0:VPN_Alemania:1763: negotiation timeout, deleting
ike 0:VPN_Alemania: schedule auto-negotiate
ike 0:VPN_Alemania:VPN_P2_Bog: IPsec SA connect 24 217.X.Y.210->190.X.Y.3:500
ike 0:VPN_Alemania:VPN_P2_Bog: using existing connection
ike 0:VPN_Alemania:VPN_P2_Bog: config found
ike 0:VPN_Alemania:VPN_P2_Bog: IPsec SA connect 24 217.X.Y.210->190.X.Y.3:500 negotiating
ike 0:VPN_Alemania:1764:VPN_P2_Bog:8602: ISAKMP SA still negotiating, queuing quick-mode request
ike 0:VPN_Alemania:1764: negotiation timeout, deleting
ike 0:VPN_Alemania: connection expiring due to phase1 down
ike 0:VPN_Alemania: deleting
ike 0:VPN_Alemania: flushing
ike 0:VPN_Alemania: flushed
ike 0:VPN_Alemania: deleted
ike 0:VPN_Alemania: auto-negotiate connection
mirando en el foro hay un caso similar: viewtopic.php?f=6&t=3809
lo único raro que veo diferente a las otras vpn que tenemos es que el firewall de Alemania tiene configurado la interfaz de internet como PPPoE, les agradezco cualquier sugerencia que me puedan dar para solucionar este problema.
Caidas Constantes VPN IPsec
-
morfeoreyes
- Mensajes: 31
- Registrado: 09 Sep 2013, 03:37
Re: Caidas Constantes VPN IPsec
no tenemos personal técnico en el sitio remoto, no se si tenga algo que ver el modem del proveedor de internet, quisiera descartar primero problemas en el firewall, ya que como los dije el problema siempre lo soluciono reiniciando el firewall...
-
jhernand6z
- Mensajes: 7
- Registrado: 02 Ene 2014, 18:13
Re: Caidas Constantes VPN IPsec
Hola
En el phase 1 de alamania y bogota como tiene configurada la vpn como "static address" o "dialup" .
En el phase 1 de alamania y bogota como tiene configurada la vpn como "static address" o "dialup" .
-
morfeoreyes
- Mensajes: 31
- Registrado: 09 Sep 2013, 03:37
Re: Caidas Constantes VPN IPsec
esta como static address, básicamente la configuración del firewall de Alemania es la siguiente:
1. la interfaz wan esta configurada como:
Name Type IP/Netmask
wan1(Internet) Physical Interface 0.0.0.0/0.0.0.0
VLAN_7 VLAN 217.X.Y.210/255.255.255.255
VPN_Alemania Tunnel Interface 0.0.0.0/0.0.0.0
2. la interfaz tipo que VLAN con la se establece la fase1 de la vpn esta asi:
Name VLAN_7
Type VLAN
Interface wan1
VLAN ID 7
Addressing mode PPPoE
Obtained IP/Netmask 217.X.Y.210/255.255.255.255
Username +++++
Password ******
Retrieve defualt Gateway from server ENABLE
Override internal DNS ENABLE
3. La vpn en fase 1 esta configurada asi:
Name VPN_Alemania
IP Address 190.X.Y.3
Local Interface VLAN_7
Mode Main
Accept any peer ID ENABLE
Enable IPsec Interface Mode ENABLE
XAUTH DISABLE
NAT Traversal ENABLE
Keepalive Frecuency 10
Dead Peer Detection ENABLE
4. La fase2 esta configurada asi:
Name VPN_P2_Bogota
Phase 1 VPN_Alemania
Enable replay detection ENABLE
Enable perfect forward secrecy (PFS) ENABLE
Autokey Keep Alive DISABLE
Auto-negotiate ENABLE
1. la interfaz wan esta configurada como:
Name Type IP/Netmask
wan1(Internet) Physical Interface 0.0.0.0/0.0.0.0
VLAN_7 VLAN 217.X.Y.210/255.255.255.255
VPN_Alemania Tunnel Interface 0.0.0.0/0.0.0.0
2. la interfaz tipo que VLAN con la se establece la fase1 de la vpn esta asi:
Name VLAN_7
Type VLAN
Interface wan1
VLAN ID 7
Addressing mode PPPoE
Obtained IP/Netmask 217.X.Y.210/255.255.255.255
Username +++++
Password ******
Retrieve defualt Gateway from server ENABLE
Override internal DNS ENABLE
3. La vpn en fase 1 esta configurada asi:
Name VPN_Alemania
IP Address 190.X.Y.3
Local Interface VLAN_7
Mode Main
Accept any peer ID ENABLE
Enable IPsec Interface Mode ENABLE
XAUTH DISABLE
NAT Traversal ENABLE
Keepalive Frecuency 10
Dead Peer Detection ENABLE
4. La fase2 esta configurada asi:
Name VPN_P2_Bogota
Phase 1 VPN_Alemania
Enable replay detection ENABLE
Enable perfect forward secrecy (PFS) ENABLE
Autokey Keep Alive DISABLE
Auto-negotiate ENABLE
-
jhernand6z
- Mensajes: 7
- Registrado: 02 Ene 2014, 18:13
Re: Caidas Constantes VPN IPsec
La configuracion se ve bien. Podrias probar cambiando a modo agresivo. ( Aggressive mode ) en el phase1.
En Alemania
Phase1
Agressive mode
Accept this peed ID "Bogota"
P1 proposal
Local ID "Alemania"
En Bogota
Phase1
Agressive mode
Accept this peed ID "Alemania"
P1 proposal
Local ID "Bogota"
Si con esto no mejora monitorea el ancho de banda tanto en el enlace de Alemania como en Bogota porque esto suele pasar cuando la latencia del enlace sube y la vpn se corta. Si este es el caso puedes hacer una politica de traffic shapping para dar mayor prioridad a los paquetes de la vpn.
En Alemania
Phase1
Agressive mode
Accept this peed ID "Bogota"
P1 proposal
Local ID "Alemania"
En Bogota
Phase1
Agressive mode
Accept this peed ID "Alemania"
P1 proposal
Local ID "Bogota"
Si con esto no mejora monitorea el ancho de banda tanto en el enlace de Alemania como en Bogota porque esto suele pasar cuando la latencia del enlace sube y la vpn se corta. Si este es el caso puedes hacer una politica de traffic shapping para dar mayor prioridad a los paquetes de la vpn.
-
morfeoreyes
- Mensajes: 31
- Registrado: 09 Sep 2013, 03:37
Re: Caidas Constantes VPN IPsec
Buenos días, gracias por la respuesta, he cambiado en fase 1 a Mode Aggressive en ambos lados, la vpn subio solo cuando reinicie el firewall de Alemania nuevamente, de momento la vpn ha estado arriba durante casi 24 horas, cualquier novedad la estaré reportando.
-
jhernand6z
- Mensajes: 7
- Registrado: 02 Ene 2014, 18:13
Re: Caidas Constantes VPN IPsec
Que bien. Morfeoreyes cualquier otra cosa no dudes en consultar este foro.