URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12436
[ Назад ]

Исходное сообщение
"ipsec между cisco и windows"
Отправлено Vasili , 10-Янв-07 18:01

Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and is not an initialization offer
Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный трафик - результата никакого. Может кто сталкивался с чем-то подобным?

Содержание

ipsec между cisco и windows,Vasili, 18:06 , 10-Янв-07
ipsec между cisco и windows,meps, 19:12 , 10-Янв-07
- ipsec между cisco и windows,Изгой, 09:09 , 11-Янв-07
  - ipsec между cisco и windows,Vasili, 10:07 , 11-Янв-07
    - ipsec между cisco и windows,Изгой, 13:40 , 11-Янв-07
      - ipsec между cisco и windows,Vasili, 18:17 , 11-Янв-07
ipsec между cisco и windows,Pavel, 16:26 , 11-Янв-07
- ipsec между cisco и windows,Vasili, 17:56 , 11-Янв-07
  - ipsec между cisco и windows,Изгой, 09:59 , 12-Янв-07
    - ipsec между cisco и windows,Дмитрий, 14:14 , 25-Май-07
      - ipsec между cisco и windows,Vasili, 16:41 , 26-Май-07
        
        ipsec между cisco и windows,Дмитрий, 13:01 , 01-Июн-07
        
        ipsec между cisco и windows,meps, 00:54 , 02-Июн-07
        
        ipsec между cisco и windows,Дмитрий, 15:35 , 06-Июн-07
        ipsec между cisco и windows,Дмитрий, 15:36 , 06-Июн-07
ipsec между cisco и windows,Mikhail, 19:17 , 10-Окт-07
- ipsec между cisco и windows,jimmy, 19:34 , 11-Сен-08
  - ipsec между cisco и windows,izh_dima, 08:43 , 01-Ноя-08
    - ipsec между cisco и windows,gintonic, 14:30 , 20-Ноя-09
      - ipsec между cisco и windows,Sergey, 20:27 , 23-Июл-11

Сообщения в этом обсуждении

"ipsec между cisco и windows"
Отправлено Vasili , 10-Янв-07 18:06

>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?
Да, забыл сказать - когда я вижу эти ошибки у них тоннель падает и поднимают они его только вручную.

"ipsec между cisco и windows"
Отправлено meps , 10-Янв-07 19:12

>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>
>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>is not an initialization offer
>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?

Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco работает на ура....

"ipsec между cisco и windows"
Отправлено Изгой , 11-Янв-07 09:09

>>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>>
>>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>>is not an initialization offer
>>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>>
>>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>>трафик - результата никакого. Может кто сталкивался с чем-то подобным?
>
>
>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>работает на ура....

Конфиг по Ipsec с вашей стороны можно посмотреть ?

"ipsec между cisco и windows"
Отправлено Vasili , 11-Янв-07 10:07

>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>>работает на ура....
>
>
>Конфиг по Ipsec с вашей стороны можно посмотреть ?
Конечно:
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key KEY_FOR_REM_PEER address REM_PEER
crypto isakmp invalid-spi-recovery
!
crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac
!
crypto map ipsec-cryptomap 61 ipsec-isakmp
set peer REM_PEER
set transform-set to-telecom
match address 123
#sh cry ipse security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

"ipsec между cisco и windows"
Отправлено Изгой , 11-Янв-07 13:40

>>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>>>работает на ура....
>>
>>
>>Конфиг по Ipsec с вашей стороны можно посмотреть ?
>
>Конечно:
>
>crypto isakmp policy 20
> encr 3des
> hash md5
> authentication pre-share
> group 2
> lifetime 3600 - вот тут я непомню можно ли убрать вообще время пересогласования первой фазы IKE , давно я уже незанимался надо доку смотреть.
В общем идея такова чтоб после того как стороны договарилсь - больше не догавоариваться
Попробуйте может всё получиться.
>!
>crypto isakmp key KEY_FOR_REM_PEER address REM_PEER
>crypto isakmp invalid-spi-recovery
>!
>crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac
>!
>crypto map ipsec-cryptomap 61 ipsec-isakmp
> set peer REM_PEER
> set transform-set to-telecom
> match address 123
>
>#sh cry ipse security-association lifetime
>Security association lifetime: 4608000 kilobytes/3600 seconds

"ipsec между cisco и windows"
Отправлено Vasili , 11-Янв-07 18:17

>В общем идея такова чтоб после того как стороны договарилсь -
>больше не догавоариваться
>Попробуйте может всё получиться.
Хорошая идея - попробую глянуть, но помойму на сиске, если не укзаываешь lifetime, то берется дефолтовый, а это, если мне не изменяет память 86400 секунд (==1 сутки).

"ipsec между cisco и windows"
Отправлено Pavel , 11-Янв-07 16:26

Я бы использовал Cisco VPN client. Все бы работало стабильно!

"ipsec между cisco и windows"
Отправлено Vasili , 11-Янв-07 17:56

>Я бы использовал Cisco VPN client. Все бы работало стабильно!
Что использовать выбираю не я

"ipsec между cisco и windows"
Отправлено Изгой , 12-Янв-07 09:59

>>Я бы использовал Cisco VPN client. Все бы работало стабильно!
>
>Что использовать выбираю не я

Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить до безобразия ???
В общем скажете что получиться из этого , интерестно даже , с какой часто той будет падать канал.

"ipsec между cisco и windows"
Отправлено Дмитрий , 25-Май-07 14:14

>>>Я бы использовал Cisco VPN client. Все бы работало стабильно!
>>
>>Что использовать выбираю не я
>
>
>Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить
>до безобразия ???
>В общем скажете что получиться из этого , интерестно даже , с
>какой часто той будет падать канал.

Чем все закончилось у меня такая-же ошибка с Pix515 в CO и Cisco 18xx series в регионах.
постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не помогает...
А вот отвязка crypto Map от интерфейса мин на 5 и привязка заново помогла. В чем модет быть дело, как решить проблему?

"ipsec между cisco и windows"
Отправлено Vasili , 26-Май-07 16:41

>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>Cisco 18xx series в регионах.
>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>помогает...
>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>заново помогла. В чем модет быть дело, как решить проблему?
1. Согласовать lifetime'ы с обеих сторон (второй фазы)
2. Если не помогло: поменять софт.

"ipsec между cisco и windows"
Отправлено Дмитрий , 01-Июн-07 13:01

>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>>Cisco 18xx series в регионах.
>>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>>помогает...
>>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>>заново помогла. В чем модет быть дело, как решить проблему?
>
>1. Согласовать lifetime'ы с обеих сторон (второй фазы)
>2. Если не помогло: поменять софт.

Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco 18XX (3600)
Я заменил lifetime на cisco 18XX
crypto ipsec security-association lifetime seconds 28000
затем clear crypro SA
все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr и связи нет.
Пока железно помогает перезагрузка Pix515 но это недело.
Какой и на чем нужно софт менять?

"ipsec между cisco и windows"
Отправлено meps , 02-Июн-07 00:54

Та же хрень..... и уменя
в конце дня приходится бутать PIX
>>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>>>Cisco 18xx series в регионах.
>>>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>>>помогает...
>>>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>>>заново помогла. В чем модет быть дело, как решить проблему?
>>
>>1. Согласовать lifetime'ы с обеих сторон (второй фазы)
>>2. Если не помогло: поменять софт.
>
>
>Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco
>18XX (3600)
>Я заменил lifetime на cisco 18XX
>crypto ipsec security-association lifetime seconds 28000
>затем clear crypro SA
>все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi
>for destaddr и связи нет.
>
>Пока железно помогает перезагрузка Pix515 но это недело.
>
>Какой и на чем нужно софт менять?

"ipsec между cisco и windows"
Отправлено Дмитрий , 06-Июн-07 15:35

>Та же хрень..... и уменя
>в конце дня приходится бутать Pix
Ну это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.
А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?
Я работаю с CISCO не так давно и поэтому прошу помощи.
Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам.
Должно же быть решение.
>>Пока железно помогает перезагрузка Pix515 но это недело.
>>
>>Какой и на чем нужно софт менять?

"ipsec между cisco и windows"
Отправлено Дмитрий , 06-Июн-07 15:36

>Та же хрень..... и уменя
>в конце дня приходится бутать Pix
Ну это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.
А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один  или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?
Я работаю с CISCO не так давно и поэтому прошу помощи.
Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам.
    Должно же быть решение.
Кстати очень важный вопрос  icq 12703147

>>Пока железно помогает перезагрузка Pix515 но это недело.
>>
>>Какой и на чем нужно софт менять?

"ipsec между cisco и windows"
Отправлено Mikhail , 10-Окт-07 19:17

>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>
>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>is not an initialization offer
>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?
crypto isakmp keepalive

"ipsec между cisco и windows"
Отправлено jimmy , 11-Сен-08 19:34

можно здесь чего поглядеть: http://book.soundonair.ru/cisco/ch24lev1sec4.html
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
..сам вот сижу разбираю похожий случай

"ipsec между cisco и windows"
Отправлено izh_dima , 01-Ноя-08 08:43

>можно здесь чего поглядеть: http://book.soundonair.ru/cisco/ch24lev1sec4.html
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
>
>..сам вот сижу разбираю похожий случай
таже беда, но после clear crypto sa, все стало подниматься.
софт везте 12.4 стоит
cisco 2811 CA server + dmvpn + cisco 1841
как только очистил, так стало подниматься само по себе, еще попробую лайфтамом поиграться.

"ipsec между cisco и windows"
Отправлено gintonic , 20-Ноя-09 14:30

>[оверквотинг удален]
>>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
>>
>>..сам вот сижу разбираю похожий случай
>
>таже беда, но после clear crypto sa, все стало подниматься.
>софт везте 12.4 стоит
>cisco 2811 CA server + dmvpn + cisco 1841
>
>как только очистил, так стало подниматься само по себе, еще попробую лайфтамом
>поиграться.
таже проблема с Cisco-Microsoft.....повторно тунель поднимается только после clear crypto sa
что можно сделать?

"ipsec между cisco и windows"
Отправлено Sergey , 23-Июл-11 20:27

Мне помогло: no set security-association lifetime seconds 3600 в crypto ipsec profile Profile1.