Instabile IPSec Tunnel beim ISA2006

15/10/2009 - 08:29 von Pfannschmidt, Norman | Report spam
Hallo NG,

ich hàtte da mal, wie der Betreff wahrscheinlich schon vermuten làsst, eine
Frage in die Runde zum IPSec Tunnelmodus am IS2006 (SP1).

Das Netzwerk sieht folgendermaßen aus:
Zentrale: ISA2006 an einer 20MBit CompanyConnect
Filialen: Lancom 1711 mit aktuellster Firmware an SDSL und ADSL (gemischt je
nach Verfügbarkeit)
Testumgebung: Draytek Vigor 2820n

Alle Router aus den Filialen bauen einen IPSec Tunnel zum ISA in der
Zentrale auf. Schlüsselerneuerung findet sowohl bei Phase I, als auch bei
Phase II aller 3600 Sekunden statt. PFS ist aus und es findet keine
Schlüsselerneuerung nach einem Datenvolumen statt.
Alles eingerichtet, alles chic. Naja, fast alles. Denn sobald ich die IPSec
Tunnel zum Beispiel mit einem Datentransfer aus einer Dateifreigabe über
mehrere Minuten lang belaste, brechen die Tunnel regelmàßig aller 6 bis 10
Minuten zusammen. Es dauert dann ca. 10 bis 15 Sekunden und der Tunnel steht
wieder. Das blöde dabei ist, dass dann aber die Datentransfers abbrechen.
Lasse ich den Tunnel unbelastet oder belaste ihn nur kurz, làuft er
problemlos durch.

Wir vermuteten anfangs ein Problem bei den Lancom Routern, da sich diese als
teilweise sehr zickig erwiesen haben. Zu Testzwecken steht nun an einer
2MBit CompanyConnect ein Vigor2820.
Der Vigor zeigt nun haargenau das gleiche Verhalten wie die Lancoms. Ist der
Tunnel nicht belastet, ist alles grün, bei Belastung bricht er aller 6 bis
10 Minuten zusammen.

Zur weiteren Fehleranalyse habe ich das ganze dann mal mit dem Vigor auf
einem anderen ISA2006 SP1 in einer anderen Firma probiert - wieder exakt das
gleiche Verhalten.


Nun bin ich langsam etwas ratlos und erhoffe mir hier ein paar Tipps.
Danke schonmal im Voraus.

MfG, Norman.


PS: Wenn ich PPTP Tunnel von Windows Server 2003 PCs aus den Filialen "über
die Router hinweg" zum ISA2006 in der Zentrale aufbaue, laufen die
problemlos. Ich kann aber nicht in jede Filiale einen Server hinstellen.
 

Lesen sie die antworten

#1 Jens Mander
15/10/2009 - 11:11 | Warnen spam
hi norman,

fassen wir zusammen: das problem scheint nur bei ipsec zu bestehen, nicht
bei pptp?
hast du die konstellation von einer anderen filiale / homeoffice mal
ausprobiert, nicht das der àrger standortspezifisch (isp oder router oder
so) ist?!

gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|

Ähnliche fragen