ipsec, ping ano i ne

[miki17]

Ahoj všem, nastavil jsem si ipsec VPN site to site a hned druhý den jsem si všiml následujícího problému.
Když provedu pokus o spojení lokalit A - B tak mi proběhnou všechny fáze propojení a při pokusu o ping mi funguje A-B i B-A.
Problém nastane, když chci např. po nějakém čase provést spojení z lokality B do A. Do logu strany B se zapíše vše OK provede se spojení, ale ping nefunguje. Píše timeout, přitom mám veškeré nastavení, které by mohlo komunikaci blokovat vyplé. V okamžiku, kdy na straně A provedu ping, tak ping ze strany B začne okamžitě chodit.
Provádět udržovací ping mi nepřipadá jako řešení.
Je to moje první VPN tohoto typu a potřeboval bych teoreticky nasměrovat co by mohlo být blbě. Po čem jít?? Už jsem nad tím strávil hodně času a povedlo se mi problém akorát obrátit. Děkuji všem, co se dočetli až sem .
Michal

[miki17]

Fakt nikdo netuši?

[Majklik]

Rum time error 666 - selhalo připojení ke křišťálové kouli....

Ono ot může mít tunu důvodů, možná by to chtělo vypustit konfiguraci obou stran. Informaci zda je v cestě někde nějaký NAT, co je ve firewallu.
Dle toho se mi to jeví buď na blbost ve firewallu nebo pravděpodobněji se ve směru B-A neumí ten IPsec sestavit (NAT v cestě, chyba ve firewallu, strana B nastavnea jako pasivní, ...).

[sub_zero]

Vcera spadly Telefonice nejaky peery v NIXu, na nektery IP jsme se nedostaly, na nektery jo, celkem zajimavej ukaz.. A jelikoz na par lokalitach u zakazniku je ADSL/VDSL jako modem + za tim je Mikrotik, ktery vytaci PPP + dela IPsec, tak sem se tam pripojil pres verejnou IPku, opingal si, kam do nasi site ta komunikace ze site TO2 jede a tam docasne posadil ASU5510.
Pointa je v tom, ze ASA byla za 2!!! NATy (c7201 + MT) a chytla se napoprvy. To same jsem potom na test provedl s MT /vyhodil tu ASU/ a ten uz se IPsecu pres ty dva NATy sice spojil, nahodil sifrovani, ale komunikace jela JEN jednostrane (resp.snazil se komunikovat, ale z5 mu nic neprichazelo). MD5 a AES128

Takze zaver, videl bych to na problem prave nejakyho NATu/FW po ceste.

[miki17]

Kluci, díky za věštbu. Myslím, že ani jeden nebudete daleko od pravdy. Také si myslím, že to bude nějaká kravina. Protože s MK začínám a síťařinu se učím, tak se v tom trochu plácám.
Mezi A-B je ještě jeden router s NAT, říkejme mu Kerio. B je za Keriem v lokální síti v práci. Na Keriu je provedeno mapování na MK B s portem UDP 500 a TCP 4500 v místní síti. Router A je na perimetru do netu doma. Zde by tedy mohl být zakopaný pes. Klíčem by asi měl být NATT, ale toto mi není moc jasné, jak to funguje. Musí být zapnutý na obou stranách nebo jen na jedné? Blbě se mi to testuje, kvůli časové prodlevě kterou to má. Pokud to dokáže někdo blbuvzdorně vysvetlit budu rád.
Ještě bych potřeboval posvětit, že v tomto případě má být v nastavení na A v IPSec policy
SA Src: veřejná IP A
SA Dst: veřejná IP B

a na druhé straně B (router v místní síti)
SA Src: interní IP B
SA Dst: veřejná IP A

A poslední dotaz. Už po několikáté čtu, že se provozuje ipsec pres PPP,PPTP. Asi to bude jednodušší, má to i nějaké nevýhody, krom toho že se musí ještě něco navíc nastavit?

[judzin]

zkus kuknout na tohle http://gregsowell.com/wp-content/upload ... k-vpn1.pdf na strane 57 IPSec Dead Peer Detection(DPD), to by ti mohlo pomoci.