URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22814
[ Назад ]

Исходное сообщение
"ASA 5505 в NEM VPN блокирует одну из подсетей"

Отправлено zavrik , 30-Июн-11 10:16 
Добрый день
Имеется проблема, которую не можем сами победить:
На одной из удаленных точек стоит ASA 5505 за провайдерским роутером (и проходит через NAT на нем, что важно). NEMом она цепляется к центральной асе и заворачивает в туннель несколько подсетей. Когда у провайдера происходит небольшое пропадание (порой до 5 раз в день), то 5505 начинает переподсоединять туннель и в 100% случаев не добавляет в шифрование одну из подсетей, как раз самую важную. Если же руками несколько раз передернуть туннель (например vpn logoff ipaddress x.x.x.x на центральной асе), то она добавляет эту сеть. Методом тыка установленно что проблема именно в удаленной 5505 (тем более что проблема только на одной точке, хотя такая же конфигурация существуюет на еще 10). Единственное различие между этой точкой и всеми другими - наличие натирующего роутера посередине. Избавится от него, увы, не можем. По этой же причине не можем сделать обычный site-to-site впн на этой точке.
Вот конфиги и дебаги проблемы:

Удаленный 5505:
ASA Version 8.4(1)

interface Vlan10
description WAN
nameif outside
security-level 5
ip address 192.168.100.2 255.255.255.0
!
interface Vlan20
description LAN
nameif inside
security-level 100
ip address 192.168.226.193 255.255.255.192
!
interface Ethernet0/0
switchport access vlan 10
!
interface Ethernet0/1
shutdown
!
interface Ethernet0/2
switchport access vlan 20

route outside 0.0.0.0 0.0.0.0 192.168.100.1 1

vpnclient server X.X.X.X
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup EVPN-NEM password *****
vpnclient username aly-ao-nem password *****
vpnclient enable
- - - - - - - - - - - - - - - - - - - - - - - - - - -

Центральная:
tunnel-group EVPN-NEM type remote-access
tunnel-group EVPN-NEM general-attributes
default-group-policy EVPN-NEM
tunnel-group EVPN-NEM ipsec-attributes
pre-shared-key *****
isakmp keepalive threshold 10 retry 2

username almaty-ao-nem password **********
username almaty-ao-nem attributes
group-lock value EVPN-NEM

group-policy EVPN-NEM internal
group-policy EVPN-NEM attributes
vpn-simultaneous-logins 10
vpn-filter value EVPN-NEM
vpn-tunnel-protocol IPSec
pfs enable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value EVPN-NEM-ST
nem enable

access-list EVPN-NEM-ST standard permit 192.168.2.0 255.255.255.0
access-list EVPN-NEM-ST standard permit 192.168.64.0 255.255.255.0
access-list EVPN-NEM-ST standard permit 192.168.240.0 255.255.255.0
access-list EVPN-NEM-ST standard permit 192.168.245.0 255.255.255.0
access-list EVPN-NEM-ST standard permit 10.200.200.0 255.255.248.0
access-list EVPN-NEM-ST standard permit 10.100.100.0 255.255.255.0
______________________________________________________________________

Когда мигает связь и туннель начинает переподсойденятся, то логи выглядят вот так:

%ASA-7-752008: Duplicate entry already in Tunnel Manager
%ASA-7-752008: Duplicate entry already in Tunnel Manager
%ASA-7-752008: Duplicate entry already in Tunnel Manager
%ASA-7-752008: Duplicate entry already in Tunnel Manager
- - - - - -
AO4#  sh crypto ipsec sa
interface: outside
    Crypto map tag: _vpnc_cm, seq num: 10, local addr: 192.168.100.2
      access-list _vpnc_acl extended permit ip host 192.168.100.2 192.168.240.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.100.2/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (192.168.240.0/255.255.255.0/0/0)
...
Crypto map tag: _vpnc_cm, seq num: 10, local addr: 192.168.100.2
      access-list _vpnc_acl extended permit ip host 192.168.100.2 192.168.2.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.100.2/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
...
   Crypto map tag: _vpnc_cm, seq num: 10, local addr: 192.168.100.2
      access-list _vpnc_acl extended permit ip host 192.168.100.2 192.168.245.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.100.2/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (192.168.245.0/255.255.255.0/0/0)

...
  Crypto map tag: _vpnc_cm, seq num: 10, local addr: 192.168.100.2
      access-list _vpnc_acl extended permit ip host 192.168.100.2 192.168.64.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.100.2/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (192.168.64.0/255.255.255.0/0/0)

...
Crypto map tag: _vpnc_cm, seq num: 10, local addr: 192.168.100.2
      access-list _vpnc_acl extended permit ip host 192.168.100.2 10.200.200.0 255.255.248.0
      local ident (addr/mask/prot/port): (192.168.100.2/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (10.200.200.0/255.255.248.0/0/0)

...
    Crypto map tag: _vpnc_cm, seq num: 10, local addr: 192.168.100.2

      access-list _vpnc_acl extended permit ip host 192.168.100.2 10.100.100.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.100.2/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (10.100.100.0/255.255.255.0/0/0)
...
    Crypto map tag: _vpnc_cm, seq num: 10, local addr: 192.168.100.2

      access-list _vpnc_acl extended permit ip host 192.168.100.2 host Х.Х.Х.Х
      local ident (addr/mask/prot/port): (192.168.100.2/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (Х.Х.Х.Х/255.255.255.255/0/0)
...
    Crypto map tag: _vpnc_cm, seq num: 10, local addr: 192.168.100.2

      access-list _vpnc_acl extended permit ip 192.168.226.192 255.255.255.192 192.168.245.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.226.192/255.255.255.192/0/0)
      remote ident (addr/mask/prot/port): (192.168.245.0/255.255.255.0/0/0)
...
    Crypto map tag: _vpnc_cm, seq num: 10, local addr: 192.168.100.2

      access-list _vpnc_acl extended permit ip 192.168.226.192 255.255.255.192 10.100.100.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.226.192/255.255.255.192/0/0)
      remote ident (addr/mask/prot/port): (10.100.100.0/255.255.255.0/0/0)
...
    Crypto map tag: _vpnc_cm, seq num: 10, local addr: 192.168.100.2

      access-list _vpnc_acl extended permit ip 192.168.226.192 255.255.255.192 192.168.2.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.226.192/255.255.255.192/0/0)
      remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
...
      access-list _vpnc_acl extended permit ip 192.168.226.192 255.255.255.192 192.168.64.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.226.192/255.255.255.192/0/0)
      remote ident (addr/mask/prot/port): (192.168.64.0/255.255.255.0/0/0)
...
    Crypto map tag: _vpnc_cm, seq num: 10, local addr: 192.168.100.2

      access-list _vpnc_acl extended permit ip 192.168.226.192 255.255.255.192 192.168.240.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.226.192/255.255.255.192/0/0)
      remote ident (addr/mask/prot/port): (192.168.240.0/255.255.255.0/0/0)
...

Получается, что NEM заворачивает сначала необходимые подсети до внешнего адреса 5505 ((192.168.100.2/255.255.255.255/0/0)до (10.100.100.0/255.255.255.0/0/0) ), а потом тоже самое до внутренней подсети за 5505
((192.168.226.192/255.255.255.192/0/0) до: (10.100.100.0/255.255.255.0/0/0))
и вот именно в этот заворот внутренней подсети он не добавляет один из сабнетов, конкретно 10.200.200.0.
При этом ругается ошибкой
Error Message    %ASA-7-752008: Duplicate entry already in Tunnel Manager
Explanation    A duplicate request to initiate a tunnel was made, and the tunnel manager is already attempting to initiate the tunnel.
Recommended Action    None required. If the issue persists, either IKE version 1 or IKE version 2 may have attempted a tunnel initiation and not have timed out yet. Debug further using the applicable commands to make sure that the tunnel manager entry is removed after successful or failed initiation attempts.

Основной вопрос: КАК это исправить? Переписывание ACL для сплит туннеля и параметров исакмп не помогают. Помогает ТОЛЬКО перегруз туннеля как выше описанно по несколько раз. А нужно чтобы само подцеплялось при перезагрузке или падении связи.


Содержание

Сообщения в этом обсуждении
"ASA 5505 в NEM VPN блокирует одну из подсетей"
Отправлено mad_c , 30-Июн-11 18:11 
>[оверквотинг удален]
> раз передернуть туннель (например vpn logoff ipaddress x.x.x.x на центральной асе),
> то она добавляет эту сеть. Методом тыка установленно что проблема именно
> в удаленной 5505 (тем более что проблема только на одной точке,
> хотя такая же конфигурация существуюет на еще 10). Единственное различие между
> этой точкой и всеми другими - наличие натирующего роутера посередине. Избавится
> от него, увы, не можем. По этой же причине не можем
> сделать обычный site-to-site впн на этой точке.
> Вот конфиги и дебаги проблемы:
> Удаленный 5505:
> ASA Version 8.4(1)

Сегодня наткнулся на эту же проблемму, похоже что решилось прошивкой 8.4(2)
>[оверквотинг удален]
> tunnel.
> Recommended Action    None required. If the issue persists, either
> IKE version 1 or IKE version 2 may have attempted a
> tunnel initiation and not have timed out yet. Debug further using
> the applicable commands to make sure that the tunnel manager entry
> is removed after successful or failed initiation attempts.
> Основной вопрос: КАК это исправить? Переписывание ACL для сплит туннеля и параметров
> исакмп не помогают. Помогает ТОЛЬКО перегруз туннеля как выше описанно по
> несколько раз. А нужно чтобы само подцеплялось при перезагрузке или падении
> связи.


"ASA 5505 в NEM VPN блокирует одну из подсетей"
Отправлено zavrik , 11-Июл-11 07:49 

> Сегодня наткнулся на эту же проблемму, похоже что решилось прошивкой 8.4(2)

Нам, увы, не помогло. При потере связи или перезагрузке АСА с 8.4(2) также не заворачивает подсеть с теми же ошибками...


"ASA 5505 в NEM VPN блокирует одну из подсетей"
Отправлено zavrik , 18-Авг-11 19:55 
проблема решилась заменой асы. мы обратили внимание что она выплевывала хекс-коды в консоль и иногда генерила креш-логи. заменили и все прекрасно работает.