Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and is not an initialization offer
Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peerпроверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный трафик - результата никакого. Может кто сталкивался с чем-то подобным?
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?Да, забыл сказать - когда я вижу эти ошибки у них тоннель падает и поднимают они его только вручную.
>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>
>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>is not an initialization offer
>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?
Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco работает на ура....
>>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>>
>>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>>is not an initialization offer
>>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>>
>>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>>трафик - результата никакого. Может кто сталкивался с чем-то подобным?
>
>
>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>работает на ура....
Конфиг по Ipsec с вашей стороны можно посмотреть ?
>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>>работает на ура....
>
>
>Конфиг по Ipsec с вашей стороны можно посмотреть ?Конечно:
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key KEY_FOR_REM_PEER address REM_PEER
crypto isakmp invalid-spi-recovery
!
crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac
!
crypto map ipsec-cryptomap 61 ipsec-isakmp
set peer REM_PEER
set transform-set to-telecom
match address 123#sh cry ipse security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds
>>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>>>работает на ура....
>>
>>
>>Конфиг по Ipsec с вашей стороны можно посмотреть ?
>
>Конечно:
>
>crypto isakmp policy 20
> encr 3des
> hash md5
> authentication pre-share
> group 2
> lifetime 3600 - вот тут я непомню можно ли убрать вообще время пересогласования первой фазы IKE , давно я уже незанимался надо доку смотреть.
В общем идея такова чтоб после того как стороны договарилсь - больше не догавоариваться
Попробуйте может всё получиться.
>!
>crypto isakmp key KEY_FOR_REM_PEER address REM_PEER
>crypto isakmp invalid-spi-recovery
>!
>crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac
>!
>crypto map ipsec-cryptomap 61 ipsec-isakmp
> set peer REM_PEER
> set transform-set to-telecom
> match address 123
>
>#sh cry ipse security-association lifetime
>Security association lifetime: 4608000 kilobytes/3600 seconds
>В общем идея такова чтоб после того как стороны договарилсь -
>больше не догавоариваться
>Попробуйте может всё получиться.Хорошая идея - попробую глянуть, но помойму на сиске, если не укзаываешь lifetime, то берется дефолтовый, а это, если мне не изменяет память 86400 секунд (==1 сутки).
Я бы использовал Cisco VPN client. Все бы работало стабильно!
>Я бы использовал Cisco VPN client. Все бы работало стабильно!Что использовать выбираю не я
>>Я бы использовал Cisco VPN client. Все бы работало стабильно!
>
>Что использовать выбираю не я
Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить до безобразия ???
В общем скажете что получиться из этого , интерестно даже , с какой часто той будет падать канал.
>>>Я бы использовал Cisco VPN client. Все бы работало стабильно!
>>
>>Что использовать выбираю не я
>
>
>Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить
>до безобразия ???
>В общем скажете что получиться из этого , интерестно даже , с
>какой часто той будет падать канал.
Чем все закончилось у меня такая-же ошибка с Pix515 в CO и Cisco 18xx series в регионах.
постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не помогает...
А вот отвязка crypto Map от интерфейса мин на 5 и привязка заново помогла. В чем модет быть дело, как решить проблему?
>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>Cisco 18xx series в регионах.
>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>помогает...
>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>заново помогла. В чем модет быть дело, как решить проблему?1. Согласовать lifetime'ы с обеих сторон (второй фазы)
2. Если не помогло: поменять софт.
>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>>Cisco 18xx series в регионах.
>>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>>помогает...
>>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>>заново помогла. В чем модет быть дело, как решить проблему?
>
>1. Согласовать lifetime'ы с обеих сторон (второй фазы)
>2. Если не помогло: поменять софт.
Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco 18XX (3600)
Я заменил lifetime на cisco 18XX
crypto ipsec security-association lifetime seconds 28000
затем clear crypro SA
все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr и связи нет.Пока железно помогает перезагрузка Pix515 но это недело.
Какой и на чем нужно софт менять?
Та же хрень..... и уменя
в конце дня приходится бутать PIX>>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>>>Cisco 18xx series в регионах.
>>>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>>>помогает...
>>>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>>>заново помогла. В чем модет быть дело, как решить проблему?
>>
>>1. Согласовать lifetime'ы с обеих сторон (второй фазы)
>>2. Если не помогло: поменять софт.
>
>
>Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco
>18XX (3600)
>Я заменил lifetime на cisco 18XX
>crypto ipsec security-association lifetime seconds 28000
>затем clear crypro SA
>все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi
>for destaddr и связи нет.
>
>Пока железно помогает перезагрузка Pix515 но это недело.
>
>Какой и на чем нужно софт менять?
>Та же хрень..... и уменя
>в конце дня приходится бутать PixНу это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.
А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?
Я работаю с CISCO не так давно и поэтому прошу помощи.
Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам.
Должно же быть решение.>>Пока железно помогает перезагрузка Pix515 но это недело.
>>
>>Какой и на чем нужно софт менять?
>Та же хрень..... и уменя
>в конце дня приходится бутать PixНу это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.
А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?
Я работаю с CISCO не так давно и поэтому прошу помощи.
Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам.
Должно же быть решение.
Кстати очень важный вопрос icq 12703147
>>Пока железно помогает перезагрузка Pix515 но это недело.
>>
>>Какой и на чем нужно софт менять?
>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>
>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>is not an initialization offer
>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?crypto isakmp keepalive
можно здесь чего поглядеть: http://book.soundonair.ru/cisco/ch24lev1sec4.html
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec.....сам вот сижу разбираю похожий случай
>можно здесь чего поглядеть: http://book.soundonair.ru/cisco/ch24lev1sec4.html
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
>
>..сам вот сижу разбираю похожий случайтаже беда, но после clear crypto sa, все стало подниматься.
софт везте 12.4 стоит
cisco 2811 CA server + dmvpn + cisco 1841как только очистил, так стало подниматься само по себе, еще попробую лайфтамом поиграться.
>[оверквотинг удален]
>>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
>>
>>..сам вот сижу разбираю похожий случай
>
>таже беда, но после clear crypto sa, все стало подниматься.
>софт везте 12.4 стоит
>cisco 2811 CA server + dmvpn + cisco 1841
>
>как только очистил, так стало подниматься само по себе, еще попробую лайфтамом
>поиграться.таже проблема с Cisco-Microsoft.....повторно тунель поднимается только после clear crypto sa
что можно сделать?
Мне помогло: no set security-association lifetime seconds 3600 в crypto ipsec profile Profile1.