URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12436
[ Назад ]

Исходное сообщение
"ipsec между cisco и windows"

Отправлено Vasili , 10-Янв-07 18:01 
Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and is not an initialization offer
Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer

проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный трафик - результата никакого. Может кто сталкивался с чем-то подобным?


Содержание

Сообщения в этом обсуждении
"ipsec между cisco и windows"
Отправлено Vasili , 10-Янв-07 18:06 
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?

Да, забыл сказать - когда я вижу эти ошибки у них тоннель падает и поднимают они его только вручную.



"ipsec между cisco и windows"
Отправлено meps , 10-Янв-07 19:12 
>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>
>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>is not an initialization offer
>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?


Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco работает на ура....


"ipsec между cisco и windows"
Отправлено Изгой , 11-Янв-07 09:09 
>>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>>
>>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>>is not an initialization offer
>>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>>
>>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>>трафик - результата никакого. Может кто сталкивался с чем-то подобным?
>
>
>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>работает на ура....


Конфиг по Ipsec  с вашей стороны можно посмотреть ?


"ipsec между cisco и windows"
Отправлено Vasili , 11-Янв-07 10:07 
>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>>работает на ура....
>
>
>Конфиг по Ipsec  с вашей стороны можно посмотреть ?

Конечно:

crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key KEY_FOR_REM_PEER address REM_PEER
crypto isakmp invalid-spi-recovery
!
crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac
!
crypto map ipsec-cryptomap 61 ipsec-isakmp
set peer REM_PEER
set transform-set to-telecom
match address 123

#sh cry ipse security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds


"ipsec между cisco и windows"
Отправлено Изгой , 11-Янв-07 13:40 
>>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>>>работает на ура....
>>
>>
>>Конфиг по Ipsec  с вашей стороны можно посмотреть ?
>
>Конечно:
>
>crypto isakmp policy 20
> encr 3des
> hash md5
> authentication pre-share
> group 2
> lifetime 3600 - вот тут я непомню можно ли убрать вообще время пересогласования первой фазы IKE , давно я уже незанимался надо доку смотреть.
В общем идея такова чтоб после того как стороны договарилсь -  больше не догавоариваться
Попробуйте может всё получиться.
>!
>crypto isakmp key KEY_FOR_REM_PEER address REM_PEER
>crypto isakmp invalid-spi-recovery
>!
>crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac
>!
>crypto map ipsec-cryptomap 61 ipsec-isakmp
> set peer REM_PEER
> set transform-set to-telecom
> match address 123
>
>#sh cry ipse security-association lifetime
>Security association lifetime: 4608000 kilobytes/3600 seconds



"ipsec между cisco и windows"
Отправлено Vasili , 11-Янв-07 18:17 
>В общем идея такова чтоб после того как стороны договарилсь -  
>больше не догавоариваться
>Попробуйте может всё получиться.

Хорошая идея - попробую глянуть, но помойму на сиске, если не укзаываешь lifetime, то берется дефолтовый, а это, если мне не изменяет память 86400 секунд (==1 сутки).


"ipsec между cisco и windows"
Отправлено Pavel , 11-Янв-07 16:26 
Я бы использовал Cisco VPN client. Все бы работало стабильно!

"ipsec между cisco и windows"
Отправлено Vasili , 11-Янв-07 17:56 
>Я бы использовал Cisco VPN client. Все бы работало стабильно!

Что использовать выбираю не я


"ipsec между cisco и windows"
Отправлено Изгой , 12-Янв-07 09:59 
>>Я бы использовал Cisco VPN client. Все бы работало стабильно!
>
>Что использовать выбираю не я


Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить до безобразия ???
В общем скажете что получиться из этого , интерестно даже , с какой часто той будет падать канал.


"ipsec между cisco и windows"
Отправлено Дмитрий , 25-Май-07 14:14 
>>>Я бы использовал Cisco VPN client. Все бы работало стабильно!
>>
>>Что использовать выбираю не я
>
>
>Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить
>до безобразия ???
>В общем скажете что получиться из этого , интерестно даже , с
>какой часто той будет падать канал.


Чем все закончилось у меня такая-же ошибка с Pix515 в CO и Cisco 18xx series в регионах.
постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не помогает...
А вот отвязка crypto Map от интерфейса мин на 5 и привязка заново помогла. В чем модет быть дело, как решить проблему?


"ipsec между cisco и windows"
Отправлено Vasili , 26-Май-07 16:41 
>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>Cisco 18xx series в регионах.
>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>помогает...
>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>заново помогла. В чем модет быть дело, как решить проблему?

1. Согласовать lifetime'ы с обеих сторон (второй фазы)
2. Если не помогло: поменять софт.


"ipsec между cisco и windows"
Отправлено Дмитрий , 01-Июн-07 13:01 
>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>>Cisco 18xx series в регионах.
>>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>>помогает...
>>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>>заново помогла. В чем модет быть дело, как решить проблему?
>
>1. Согласовать lifetime'ы с обеих сторон (второй фазы)
>2. Если не помогло: поменять софт.


Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco 18XX (3600)
Я заменил  lifetime на cisco 18XX
crypto ipsec security-association lifetime seconds 28000
затем clear crypro SA
все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr и связи нет.

Пока железно помогает перезагрузка Pix515 но это недело.

Какой и на чем нужно софт менять?


"ipsec между cisco и windows"
Отправлено meps , 02-Июн-07 00:54 
Та же хрень..... и уменя
в конце дня приходится бутать PIX

>>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>>>Cisco 18xx series в регионах.
>>>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>>>помогает...
>>>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>>>заново помогла. В чем модет быть дело, как решить проблему?
>>
>>1. Согласовать lifetime'ы с обеих сторон (второй фазы)
>>2. Если не помогло: поменять софт.
>
>
>Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco
>18XX (3600)
>Я заменил  lifetime на cisco 18XX
>crypto ipsec security-association lifetime seconds 28000
>затем clear crypro SA
>все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi
>for destaddr и связи нет.
>
>Пока железно помогает перезагрузка Pix515 но это недело.
>
>Какой и на чем нужно софт менять?



"ipsec между cisco и windows"
Отправлено Дмитрий , 06-Июн-07 15:35 
>Та же хрень..... и уменя
>в конце дня приходится бутать Pix

Ну это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.
А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один  или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?
Я работаю с CISCO не так давно и поэтому прошу помощи.
Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам.
    Должно же быть решение.

>>Пока железно помогает перезагрузка Pix515 но это недело.
>>
>>Какой и на чем нужно софт менять?



"ipsec между cisco и windows"
Отправлено Дмитрий , 06-Июн-07 15:36 
>Та же хрень..... и уменя
>в конце дня приходится бутать Pix

Ну это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.
А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один  или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?
Я работаю с CISCO не так давно и поэтому прошу помощи.
Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам.
    Должно же быть решение.
Кстати очень важный вопрос  icq 12703147


>>Пока железно помогает перезагрузка Pix515 но это недело.
>>
>>Какой и на чем нужно софт менять?



"ipsec между cisco и windows"
Отправлено Mikhail , 10-Окт-07 19:17 
>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>
>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>is not an initialization offer
>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?

crypto isakmp keepalive


"ipsec между cisco и windows"
Отправлено jimmy , 11-Сен-08 19:34 
можно здесь чего поглядеть: http://book.soundonair.ru/cisco/ch24lev1sec4.html
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...

..сам вот сижу разбираю похожий случай


"ipsec между cisco и windows"
Отправлено izh_dima , 01-Ноя-08 08:43 
>можно здесь чего поглядеть: http://book.soundonair.ru/cisco/ch24lev1sec4.html
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
>
>..сам вот сижу разбираю похожий случай

таже беда, но после clear crypto sa, все стало подниматься.
софт везте 12.4 стоит
cisco 2811 CA server + dmvpn + cisco 1841

как только очистил, так стало подниматься само по себе, еще попробую лайфтамом поиграться.


"ipsec между cisco и windows"
Отправлено gintonic , 20-Ноя-09 14:30 
>[оверквотинг удален]
>>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
>>
>>..сам вот сижу разбираю похожий случай
>
>таже беда, но после clear crypto sa, все стало подниматься.
>софт везте 12.4 стоит
>cisco 2811 CA server + dmvpn + cisco 1841
>
>как только очистил, так стало подниматься само по себе, еще попробую лайфтамом
>поиграться.

таже проблема с Cisco-Microsoft.....повторно тунель поднимается только после clear crypto sa
что можно сделать?



"ipsec между cisco и windows"
Отправлено Sergey , 23-Июл-11 20:27 
Мне помогло: no set security-association lifetime seconds 3600 в crypto ipsec profile Profile1.