VPN scriptgesteuert / automatisch starten

Moderator: Securepoint

Gesperrt
andy
Beiträge: 21
Registriert: Di 12.02.2008, 12:16

VPN scriptgesteuert / automatisch starten

Beitrag von andy »

Hallo mal wieder,

ich habe folgendes Problem:
Wir haben mehrere VPN Tunnel zwischen einer Securepoint 2007 und einer Cisco ASA.

Bei einem der Tunnel haben wir das Problem, das er jeden morgen weg ist. Die restlichen laufen durch.
Ich habe schon den Fehler auf der ASA gesucht, aber leider noch ncihts gefunden.

Wenn ich den besagten Tunnel morgens, Stoppe, Lade und Initialisieren läuft er wieder bis zum nächsten Tag.

Gibt es einie möglichkeit diese Starten irgendwie scriptgestuert zu erledigen? Per batch oder cronjob oder ähnliches? Oder hat jmd noch eine ganz andere Idee?

Gruß Andy

oliver
Securepoint
Beiträge: 452
Registriert: Mi 07.02.2007, 14:55
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von oliver »

Hallo,

ja, ab der Build 5651 wäre es möglich eine Art Cronjob anzulegen
indem das IPSec neugestartet wird. Bevor Sie das machen würde ich
aber versuchen das Problem auf IPSec Ebene zu lösen. Ich tippe
darauf, das die Zeiten für das Rekeying nicht abgestimmt sind. Um
das sicherzustellen wäre ein Log nicht schlecht.

Eine Art Conjob können Sie über die CLI anlegen. Das würde in Ihrem
Fall folgendermassen aussehen:

- Loggen Sie sich via putty als admin auf der Firewall ein.

- Erstellen Sie eine AppliKation mit dem namen cron720. Der Name
sagt aus, das ein Programm alle 12 Stunden ausgeführt wird.

add extc_application cron720

- Fügen Sie der neuen Application ein Skript hinzu.

add extc_template cron720 /etc/ipsec.sh

Die CLI wartet jetzt auf eine Eingabe. Kopieren Sie folgenden
Inhalt nun rein und schliessen Sie das ganze mit ** ab um
in die CLI zurückzukehren:

#!/bin/sh

/bin/spcli restart application SERVICE_IPSEC

**

- Mit dem Befehl update applications wird das Skript auf dem
Filesystem abgelegt (passiert beim Neustart der Maschine
automatisch) und als User root könnten Sie das nun testen:

sh /etc/ipsec.sh
best regards

oliver hausmann
--
Securepoint GmbH

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo,

manchmal ist es auch nützlich nur einen Tunnel neuzustarten:

#!/bin/sh

/bin/spcli run ipsec delete r3master.fw.local>test
/bin/spcli run ipsec add r3master.fw.local>test
/bin/spcli run ipsec up r3master.fw.local>test

Der Tunnelname "r3master.fw.local>test" sollte natürlich durch den eigenen Tunnelnamen erstezt werden.
Zuletzt geändert von carsten am Mi 24.09.2008, 10:40, insgesamt 1-mal geändert.
There are 10 types of people in the world... those who understand binary and those who don\'t.

Thorben
Beiträge: 8
Registriert: Mo 10.09.2007, 14:45
Wohnort: Niebüll
Kontaktdaten:

Beitrag von Thorben »

Hallo,

ich habe zum sogenannten Cronjob auch nochmal ne Frage, ist es auch möglich einen Job an zu legen, der täglich um 7:00 Uhr ausgeführt wird?

Gruß
Thorben

oliver
Securepoint
Beiträge: 452
Registriert: Mi 07.02.2007, 14:55
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von oliver »

Hallo,

zur Zeit ist das noch nicht möglich, aber in Kürze wird es dazu ein
Update geben.
best regards

oliver hausmann
--
Securepoint GmbH

andy
Beiträge: 21
Registriert: Di 12.02.2008, 12:16

Beitrag von andy »

Hallo,

ich muss mal den alten Tread wiederbeleben. Oliver du hattest ja damals geschrieben das wird mit einem Update nachgereicht. Mittlerweile ist ja einige Zeit vergangen, der Kunde hat momentan das aktuellste Release 10.5.1.

Kann ich jetzt mit einem Cron Job oder ähnlichem z.b. jedem Abend um 23.00 den IPSEC und den L2TP Dienst neustarten?

Gesperrt