URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16979
[ Назад ]

Исходное сообщение
"Проблеммы с VPN на CISCO 857"

Отправлено Tim S , 20-Авг-08 13:31 
Всем доброго времени суток!

Настроена впн между циской 857 и длинком 804
В лог киски постоянно вываливается сообщение:

*Mar 11 14:03:56.021: %CRYPTO-4-RECVD_PKT_MAC_ERR: decrypt: mac verify failed fo
r connection id=63 local=87.*.*.* remote=83.*.*.* spi=2D459F24 seqno=0
000B647

При этом пинги в обе стороны ходят нормально, а доменные подключения переодически глючат..
Пробовал менять мту на интерфейсах, не помогает.

Версия IOS: 12.4(15)T5

В трёх удалённых точках стоят киски с этой версией иоса и везде есть эта проблемма.

В четвертой точке стоит таже киска с версией иоса 12.4(6)T7, здесь все нормально работает.

Конфиги везде однотипные, вот конфиг с версией иоса 12.4(15)T5:

!
no aaa new-model
!
!
dot11 syslog
no ip source-route
!
!
no ip cef
ip auth-proxy max-nodata-conns 100
ip admission max-nodata-conns 100
ip name-server *.*.*.*
ip name-server *.*.*.*
ip name-server *.*.*.*
!
!
!
username ********** privilege 15 secret 5 ********************
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key ************ address 83.*.*.*
!
!
crypto ipsec transform-set set1 esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto map map1 10 ipsec-isakmp
set peer 83.*.*.*
set security-association lifetime seconds 28800
set transform-set set1
set pfs group2
match address 101
reverse-route
!
archive
log config
  hidekeys
!
!
!
bridge irb
!
!
interface ATM0
mtu 1420
no ip address
no atm ilmi-keepalive
pvc 8/35
  encapsulation aal5snap
!
dsl operating-mode itu-dmt
bridge-group 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.4.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface BVI1
mac-address ****.****.****
mtu 1420
ip address 87.*.*.* 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip route-cache
ip tcp adjust-mss 1300
crypto map map1
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 87.*.*.*
ip route 0.0.0.0 0.0.0.0 Null0 255
!
no ip http server
no ip http secure-server
ip dns server
ip dns spoofing
ip nat inside source route-map nonat interface BVI1 overload
!
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.4.0 0.0.0.255
access-list 10 deny   any log
access-list 101 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 deny   ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.4.0 0.0.0.255 any
route-map nonat permit 10
match ip address 102
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 10 in
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Вот конфиг нормально работающей киски:

!
no aaa new-model
!
resource policy
!
!
!
no ip cef
ip name-server *.*.*.*
ip name-server *.*.*.*
ip name-server *.*.*.*
!
!
!
username admin privilege 15 secret 5 $1$E3tl$bGst4hiBJuTbVKaexe.xc1
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key *********** address 83.*.*.*
!
!
crypto ipsec transform-set set1 esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto map map1 10 ipsec-isakmp
set peer 83.*.*.*
set security-association lifetime seconds 28800
set transform-set set1
set pfs group2
match address 101
reverse-route
!
bridge irb
!
!
interface ATM0
mtu 1492
no ip address
no atm ilmi-keepalive
pvc 8/35
  encapsulation aal5snap
!
dsl operating-mode ansi-dmt
bridge-group 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.8.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface BVI1
mac-address ****.****.****
mtu 1492
ip address 81.*.*.* 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip route-cache
ip tcp adjust-mss 1380
crypto map map1
!
ip route 0.0.0.0 0.0.0.0 81.*.*.*
!
no ip http server
no ip http secure-server
ip nat inside source route-map nonat interface BVI1 overload
ip dns server
ip dns spoofing
!
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.8.0 0.0.0.255
access-list 10 deny   any log
access-list 101 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 deny   ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.8.0 0.0.0.255 any
route-map nonat permit 10
match ip address 102
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 10 in
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Может поможет перепрошивка иоса?


Содержание

Сообщения в этом обсуждении
"Проблеммы с VPN на CISCO 857"
Отправлено Tim S , 27-Авг-08 09:01 
>[оверквотинг удален]
>line vty 0 4
> access-class 10 in
> privilege level 15
> login local
> transport input telnet ssh
>!
>scheduler max-task-time 5000
>end
>
>Может поможет перепрошивка иоса?

Мдя.. Смена прошивки не помогла. Замучился уже...


"Проблеммы с VPN на CISCO 857"
Отправлено OlegV , 27-Авг-08 11:59 
>[оверквотинг удален]
>> privilege level 15
>> login local
>> transport input telnet ssh
>>!
>>scheduler max-task-time 5000
>>end
>>
>>Может поможет перепрошивка иоса?
>
>Мдя.. Смена прошивки не помогла. Замучился уже...

Видел уже такое. Ето глюк прошивки. На 28 серии помогло замена прошивки. На cisco.com в багтрекере советуют такое:
One workaround, to disable fast switching (no ip route-cache) seems to have done the trick.

И еще. Вот ето:
username ********** privilege 15 secret 5 ********************
при этом:
no aaa new-model
не работает...


"Проблеммы с VPN на CISCO 857"
Отправлено OlegV , 27-Авг-08 12:02 
Вот еще для раздумья:

%CRYPTO-4-RECVD_PKT_MAC_ERR : decrypt: mac verify failed for connection id=[dec]

Explanation    The MAC verify processing failed. This may be caused by the use of the wrong key by either party during the MAC calculations. This activity could be considered a hostile event.

Recommended Action    Contact the peer administrator.