Cisco firewall 505e med begrænset VPN tilgængelighed

GRE pakker er en cisco ting, der er relevant mellem klienterne og din vpn gateway. Routerne mellem disse bunde være helt lige glade så længe det ere ip pakke der passere, de bekymre sig ikke om protokollen. Jeg tror ikke det er her hunden ligger begravet.

Det kunne være at I har sat krypteringsniveauet (jeg mener cisco kalder det gruppe) så højt at pix'en belastes meget under den indledende nøgleudveksling og derfor ikke altid kan håndtere forespørgslerne.

Det kunne også være firewall funktionaliteten der, uvist af vilken grund, er sat således at nogle klienter ikke kommer på.

Du kunne prøve at sniffe pakker på begge sider af vpn gatewayen for på den måde at se hvilke pakker der ikke kommer ind. En snifning med TCP dump mends dem der ikke kan komme på forsøger ville måske kunne sige noget om hvad der går galt

Jeg er ret sikker på at det skyldes at der er noget funktionalitet der er anderledes og som derfor er sat forkert op - hvilket er grunden til spørgsmålet. Jeg kan ikke rigtigt gennemskue hvilken opsætning det er. Jeg kan ikke forestille mig at det er belastningen der er for høj, for det er nogle bestemte som har problemet, og kun fra nogle steder, men som samtidig godt kan få det til at virke andre steder igen. Deraf teorien om at tunnelen skabes med noget som en del steder bliver klippet fra.
/Morten

Jeg prøver at undersøge, jeg har adgang til virkelig gode folk på vpn så jeg er rimelig sikker på at finde et eller andet svar til dig, jeg vender tilbage når jeg har vendt spørgsmålet

Det lyder mega fornemt - sætter jeg stor pris på - og 200 point ;-)

Jeg har nu fået svar på min mail og her kommer næste trind

Hvis dine brugere er forbundet med VPN så bør det ikke være her problemet ligger (selvom det er svært at påstå uden at sniffe på netværket). Hvis de er forbundet, men ikke kan forbinde sig til f.eks. mailserveren så lyder det mere som navneopløsning. Kan de pinge på ip (mail serverens) adresser? Det vil være næste test.
Prøv at pinge fra en af de klientmaskiner der har problemer, start ude fra og ping så indad indtil du iikke mere for svar. Husk at kontrollere firewallens indstillinger for ICMP (Ping) og disable dem evt midlertidigt for fejlfinding.

Jeg har også behov for at vide hvilke klienter der anvendes og om du anvender GRE eller f.eks. IPSec eller PPTP. Du bør overveje at bruge ciscos proprietære klient, den anvender Nat-T, d.v.s. pakker tingene ind flere gange for at kunne sende alt gennem en enkelt TCP eller UDP port. (der er her tale om håndtering af NAT problemer, som f.eks. IPSec ikke kan default)

Hej
Jeg har en ekstra linie her i huset som jeg bruger til at tjekke om VPN virker, og her virker det fint - det er kun udvalgte steder at det ikke virker.
Vi bruger Ciscos egen VPN klient - Ver 4.6.00.0045. Bruger den som standard Nat-T? Kan man evt. i firewallen sætte noget op som betyder at klienten bruger noget andet end Nat-T?
Jeg har ikke tjekket om det er noget med navneopløsningen, lige netop fordi det virker nogen steder - men jeg kan lige tjekke det.

Hej bufferzone
Så lykkedes det mig sgu at få det løst.
For go ordens skyld, jeg bruger det grfiske interface.
Der er et sted i VPN opsætningen på firewallen hvor man kan sætte at den skal tillade Nat Traversal - antageligvis er det det som du referere til som Nat-T. Jeg satte det flueben, og en levetid på 15 sekunder (uden at vide præcis hvad det betyder) og så virkede det.
Jeg giver dig halvdelen af pointene, du skal have lidt for at lede mig på sporet af hvor problemet kunne ligge.