Всем привет.
Обнаружилась след. проблемка при настройке l2l ipsec на нескольких asa, при след. хронологии процесса:1. тоннели поднимаются, трафик ходит.
2. после того, как обмен трафиком прекращается, тоннель ожидаемо падает через некоторое время.
3. при попытке возобновления обмена трафиком тоннель поднимается, но трафик не ходит.Подскажите пож. как поправить ситуацию?
Вот некоторые подробности:
A1# sh crypto isakmp sa
Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 21 IKE Peer: 192.168.0.17
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
2 IKE Peer: 192.168.0.16
Type : L2L Role : responder
Rekey : no State : MM_ACTIVEA1# sh crypto ipsec sa
interface: outside
Crypto map tag: DYN-MAP, seq num: 5, local addr: 192.168.0.15local ident (addr/mask/prot/port): (172.30.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.30.1.0/255.255.255.0/0/0)
current_peer: 192.168.0.16#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 1433, #pkts decrypt: 1433, #pkts verify: 1433
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0local crypto endpt.: 192.168.0.15, remote crypto endpt.: 192.168.0.16
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 5CF3BB97
current inbound spi : 5933ED40inbound esp sas:
spi: 0x5933ED40 (1496575296)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 24576, crypto-map: DYN-MAP
sa timing: remaining key lifetime (kB/sec): (3914882/27348)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x5CF3BB97 (1559477143)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 24576, crypto-map: DYN-MAP
sa timing: remaining key lifetime (kB/sec): (3915000/27348)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001Crypto map tag: DYN-MAP, seq num: 5, local addr: 192.168.0.15
local ident (addr/mask/prot/port): (172.30.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.30.2.0/255.255.255.0/0/0)
current_peer: 192.168.0.17#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 452, #pkts decrypt: 452, #pkts verify: 452
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0local crypto endpt.: 192.168.0.15, remote crypto endpt.: 192.168.0.17
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 8DC6D2C7
current inbound spi : 69712728inbound esp sas:
spi: 0x69712728 (1769023272)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: DYN-MAP
sa timing: remaining key lifetime (kB/sec): (3914973/25338)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x8DC6D2C7 (2378617543)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 16384, crypto-map: DYN-MAP
sa timing: remaining key lifetime (kB/sec): (3915000/25338)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
Частично удалось решить вопрос...
Опытным путём удалось выяснить, что после падения тоннеля (например разрыв соединения) инициировать соединение (пустить пинг) необходимо только с одной из сторон.Если это сделать, например с сетки за ASA2, то:
# sh crypto isakmp sa -покажет активные пиры, но трафик ходить не будет.Чтобы это вылечить, необходимо очистить на ASA1 активные пиры командой:
# clear crypto isakmp sa
После этого, инициировать соединение с сети за ASA1 и только тогда трафик будет бегать.
Если же, инициировать трафик с сети за ASA2, то опять ничего не получится.Мне думается, что так быть не должно.
Кто сталкивался?
Проблемка была в dynamic-map, используемый для easy vpn.
Надо использовать отдельно от map для l2l.