Bei Site-to-Site IPsec auf Cisco ist die schnellste Fehlersuche fast immer: zuerst show crypto isakmp sa (Phase 1/IKE), dann show crypto ipsec sa (Phase 2/Datenebene). Mit diesen beiden Ausgaben erkennst du in Minuten, ob das Problem an Peer-Erreichbarkeit, PSK/Policy-Mismatch, NAT-T/ACL oder an Selector/NAT/Route liegt. Dieses Tutorial erklärt, wie du die States liest, welche Counter wirklich wichtig sind und welche typischen Ursachen zu welchen Symptomen passen.
Vorab: Welche VPN-Art zeigen die Befehle?
Die Befehle sind klassisch für IKEv1/ISAKMP + IPsec auf Cisco IOS. In IKEv2-Designs heißen die relevanten Outputs oft anders, das Diagnoseprinzip bleibt aber identisch: erst IKE-SA, dann IPsec-SA und Counters.
Schritt 0: Immer zuerst „ganz unten“ prüfen (Routing/ACL/Reachability)
Wenn der Peer nicht erreichbar ist oder UDP/500/4500 blockiert wird, kommt Phase 1 nie hoch. Prüfe daher zuerst Default Route, Peer-Ping (wenn erlaubt) und Outside-ACL.
Router# show ip route | include Gateway|0.0.0.0
Router# ping <peer-public-ip>
Router# show access-lists
Router# show ip interface <outside-interface>show crypto isakmp sa: Phase 1 (IKE/ISAKMP) richtig lesen
Dieser Befehl zeigt dir, ob ein IKE-Steuerkanal existiert. Ohne Phase 1 gibt es keine Phase 2. Der wichtigste Wert ist der State (z. B. QM_IDLE).
Typische State-Beispiele
Router# show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
198.51.100.2 203.0.113.2 QM_IDLE 1001 ACTIVEState-Interpretation (praxisnah)
QM_IDLE: Phase 1 steht, Quick Mode (Phase 2) ist grundsätzlich möglichMM_SA_SETUP/MM_KEY_EXCH: Negotiation läuft, oft Connectivity/ACL/PolicyMM_NO_STATE: Peer antwortet nicht oder Pakete werden gedroppt- Kein Eintrag: Phase 1 wurde nie aufgebaut (oder ist abgelaufen)
Merker: Phase 1 zuerst
Kein ISAKMP SA → kein IPsec SA
Wenn Phase 1 nicht hochkommt: typische Ursachen
Die häufigsten Ursachen sind erreichbar: UDP/500/4500 blockiert, PSK falsch, ISAKMP Policy mismatch oder falsche Peer-IP.
- Outside-ACL blockiert UDP/500 (IKE) oder UDP/4500 (NAT-T)
- Peer-IP falsch (set peer / isakmp key address)
- PSK falsch oder Auth-Mismatch
- ISAKMP Policy passt nicht (encr/hash/group)
Quick-Checks für Phase 1
Router# show running-config | include crypto isakmp policy|crypto isakmp key
Router# show access-lists
Router# show logging | include ISAKMP|IKE|CRYPTOshow crypto ipsec sa: Phase 2 und Datenebene prüfen
Dieser Befehl zeigt dir, ob IPsec-SAs existieren und ob Traffic wirklich verschlüsselt wird. Entscheidend sind die Counters pkts encaps (verschlüsselt raus) und pkts decaps (entschlüsselt rein).
Typischer Output (gekürzt)
Router# show crypto ipsec sa
interface: GigabitEthernet0/1
Crypto map tag: CMAP, local addr 203.0.113.2
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.0/0/0)
current_peer 198.51.100.2
pkts encaps: 120, pkts encrypt: 120, pkts digest: 120
pkts decaps: 115, pkts decrypt: 115, pkts verify: 115
pkts not compressed: 120, pkts compr. failed: 0
pkts not decompressed: 115, pkts decompress failed: 0
pkts no sa (send): 0, pkts no sa (recv): 0
pkts decrypt failed: 0, pkts verify failed: 0
Was die wichtigsten Felder bedeuten
local ident/remote ident: Selector (Crypto ACL), muss spiegelbildlich passencurrent_peer: Gegenstelle, die für diese SA genutzt wirdpkts encaps: Pakete, die in IPsec gekapselt wurden (Outbound)pkts decaps: Pakete, die entschlüsselt wurden (Inbound)pkts no sa: Traffic will in Tunnel, aber keine SA vorhandendecrypt/verify failed: häufig Schlüssel-/Integrity-Probleme, Anti-Replay, Mismatch
Typische Muster: Counters interpretieren wie ein Profi
Die Counter zeigen dir nicht nur „geht/geht nicht“, sondern die Richtung des Problems. Damit sparst du dir langes Debugging.
Fall A: Encaps steigt, Decaps bleibt 0
- Outbound geht in den Tunnel, Rückverkehr kommt nicht zurück
- Ursachen: Remote-Routing fehlt, Remote-ACL blockiert, NAT auf Remote-Seite, Asymmetrie
Fall B: Decaps steigt, Encaps bleibt 0
- Du empfängst verschlüsselten Traffic, sendest aber keinen zurück
- Ursachen: lokales Routing/ACL, kein „interesting traffic“ outbound, NAT-Exemption fehlt lokal
Fall C: pkts no sa (send) steigt
- Traffic matcht Selector, aber IPsec-SA fehlt (Phase 2 down oder expired)
- Ursachen: Transform/PFS mismatch, Peer down, Quick Mode scheitert
Fall D: decrypt failed oder verify failed steigt
- Integrity/Keys passen nicht oder Anti-Replay/MTU/Fragmentation stört
- Ursachen: Transform mismatch, fehlerhafte Geräte/MTU-Probleme, DPD/Flaps
Wenn Phase 1 up, Phase 2 down: die häufigsten Ursachen
Wenn show crypto isakmp sa QM_IDLE zeigt, aber show crypto ipsec sa keine/keine funktionierenden SAs, liegt es meist an Transform-Parametern, PFS oder Selectors.
- Transform Set mismatch (ESP-AES/SHA vs. anderes)
- PFS mismatch (eine Seite an, andere aus / andere Gruppe)
- Crypto ACL nicht spiegelbildlich (Selectors unterscheiden sich)
- NAT Exemption fehlt: Traffic wird genattet und matcht nicht
Konfig-Checks (Phase 2)
Router# show running-config | include crypto ipsec transform-set|set transform-set|set pfs
Router# show access-lists VPN_TRAFFIC
Router# show ip nat translations„Tunnel steht, aber Anwendungen gehen nicht“: NAT, MTU, ACL
Wenn Counters steigen, aber bestimmte Anwendungen hängen, sind es häufig MTU/MSS oder Firewall/ACL-Themen. IPsec selbst arbeitet dann, aber der Nutztraffic wird irgendwo gedroppt oder fragmentiert.
- NAT Exemption prüfen (VPN-Traffic darf nicht genattet werden)
- MTU/MSS prüfen (PPPoE/VPN-Overhead)
- Security-ACL/Zonenpolicy zwischen den Sites prüfen
MTU/MSS Quick-Checks
Router# show interfaces <outside-or-tunnel> | include MTU
Router# ping <remote-host> df-bit size 1400Verifikation: Tunnel aktiv „triggern“ und neu prüfen
IPsec baut SAs oft erst bei interessanten Paketen auf. Erzeuge daher gezielt Traffic zwischen den Subnetzen und prüfe danach die Outputs erneut.
Traffic erzeugen
Router# ping 192.168.20.10 source 192.168.10.1Direkt danach prüfen
Router# show crypto isakmp sa
Router# show crypto ipsec saReset für saubere Tests
Wenn du Änderungen gemacht hast, können alte SAs stören. Ein kontrollierter Reset hilft, neue Parameter sauber zu verhandeln.
Router# clear crypto sa
Router# clear crypto isakmpDebug gezielt einsetzen (kurz, kontrolliert)
Wenn States und Counters nicht reichen, nutze Debugs sparsam, da sie CPU-lastig sind. Danach Debug immer wieder deaktivieren.
Router# terminal monitor
Router# debug crypto isakmp
Router# debug crypto ipsec
Router# undebug allQuick-Reference: Troubleshooting-Checkliste (Copy & Paste)
Diese Reihenfolge deckt 90% der Fehler ab: Reachability, Phase 1, Phase 2, NAT/ACL, Counters.
show ip route | include Gateway|0.0.0.0
ping <peer-public-ip>
show access-lists
show crypto isakmp sa
show crypto ipsec sa
show crypto map
show access-lists VPN_TRAFFIC
show ip nat translations
show logging | include ISAKMP|IKE|IPSEC|CRYPTOKonfiguration speichern
Wenn Phase 1 stabil ist, IPsec-Counters (encaps/decaps) in beide Richtungen steigen und der Traffic zwischen den Standorten zuverlässig läuft, speichere die Konfiguration.
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.