VPN 1621 - ISA Tunnel bleibt stehen

[mreuter]

Guten Morgen zusammen!
Habe ein Problem mit VPN Tunneln zwischen Lancom 1621 und Microsoft ISA 2006

An 2 Standorten sind 1621 mit LCOS 6.3
Standort 1: 192.168.1.0/24
Standort 2: 192.168.2.0/24
Beide über SDL von T-Kom feste IP-Adresse
Gegenstelle Microsoft ISA 2006 auch mit fester IP-Adresse
Zentrale: 192.168.10.0/24
IPSEC Tunnel konfiguriert mit 3DES und Preshared-Keys

Tunnel baut sich auch sofort auf, von beiden Standorten lassen sich per PING
Geräte in der Zentrale erreichen.
Nach einer gewissen Zeit bleibt der Tunnel jedoch einfach stehen, dh, es gehen keine Pakete mehr durch. Der tunnel wird jedoch im CLI als auch im LANCOM-Monitor als aktiv angezeigt.
Erst wenn ich die Verbindung am Lancom Router manuell trenne, wird sie sofort wieder aufgebaut und dann gehen auch Pakete wieder durch.

Leider ist so kein vernünftiges Arbeiten möglich.
Hat jemand eine Idee?

Viele Grüße und einen sonnigen Tag!
Marcel

[gkoehler]

Hi,
ich habe die Aufgabe eine solche Verbindung aufzubauen, ISA 2006 und 1611+.
Bei mir scheitert es bereits mit dem Fehler, Problem in Phase 1, hat jemand eine Idee was das sein kann und hat sich Dein Problem mit dem stehenbleiben des Tunnels geklärt ?

Danke im voraus
Gruss Gunter

[mreuter]

Hi!
Ja mein Problem hat sich gelöst. Wir haben den Schmutz Lancom mit einem vernünftigen Router ersetzt.
LAncom ist in meinen Augen der letzte Schmutz, Cisco und Juniper sind die einzigen Hersteller von Routern die was taugen.

Aber wenn bei deinem Problem schon die Phase 1 nicht aufgebaut wird, dann liegt es meistens an nicht übereinstimmenden SAs.
Also überprüfe folgendes:
Prehshared key
DiffieHellmann Gruppe
SHA oder MD5 Hash
Lifetime, hier sind oft die Werte auf der einen Seite in Minuten , auf der anderen in Sekunden anzugeben
IP-Netze die durch den Tunnel gehen sollen.

Leider ist Debugging sowohl bei ISA als auch Lancom mehr als unschön.

Marcel

[COMCARGRU]

LAncom ist in meinen Augen der letzte Schmutz

Und das kannst du jetzt bestimmt auch mit Argumenten begründen?

Gruß
COMCARGRU, der viele Leute kennt, die die eigene Unfähigkeit/Unerfahrenheit dadurch darlegen indem sie Produkt XYZ als schlecht bezeichnen...

[mreuter]

Kann ich:
CLI
Proprietäres Admin Tool, nur für MS OS.
Debugging?

Um nur wenige zu nennen

[alf29]

Moin,

CLI

haben andere auch. Schon mal versucht, einen Cisco auf der CLI ohne vorherige Schulung zu
konfigurieren?

Proprietäres Admin Tool, nur für MS OS.

Sicher nicht optimal, aber angesichts der Verbreitung von Windows nur für eingefleischte
Microsoft-Hasser ein Thema. Und ein Großteil der Konfiguration geht auch übers Web-Interface.

Debugging?

Trace-Kommando? RTFM...

Gruß Alfred

[LoUiS]

Kann ich:
CLI
Proprietäres Admin Tool, nur für MS OS.
Debugging?

Um nur wenige zu nennen

Jaja, meist zeugen solche Aussagen von eigener Unfaehigkeit (die/alle gebotenen Wege zu probieren), gepaart mit Faulheit (RTFM wurde ja bereits erwaehnt) und dann noch ein paar CISCO Scheuklappen. (wir beten: CISCO ist guuuut, andere sind schleeecht ...)


Ciao
LoUiS

[COMCARGRU]

Tach,

Kann ich:
CLI
Proprietäres Admin Tool, nur für MS OS.
Debugging?

Um nur wenige zu nennen

Du hast ein Problem damit, daß man Lancoms ber Console konfigurieren kann? - Ich finde das eher nützlich...

Du störst dich daran, daß es für den dein OS kein KlickiBunti Konfigtool gibt?

DU hast Probleme mit dem Debuging, sagst aber nicht welche?


Hast du auch noch wirkliche Argumente? Das da oben sind doch nur Fachbegriffe - was stört dich an denen?

Gruß
COMCARGRU, der gerade wieder jemanden kennengelernt hat, der seine eigene Unfähigkeit auf Produkte anderer abwälzt...