URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23765
[ Назад ]

Исходное сообщение
"Asa l2l ipsec: перестает ходить трафик"

Отправлено kvasik , 09-Май-12 20:41 
Всем привет.
Обнаружилась след. проблемка при настройке l2l ipsec на нескольких asa, при след. хронологии процесса:

1. тоннели поднимаются, трафик ходит.
2. после того, как обмен трафиком прекращается, тоннель ожидаемо падает через некоторое время.
3. при попытке возобновления обмена трафиком тоннель поднимается, но трафик не ходит.

Подскажите пож. как поправить ситуацию?
Вот некоторые подробности:


A1# sh crypto isakmp sa
   Active SA: 2
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: 192.168.0.17
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE
2   IKE Peer: 192.168.0.16
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE

A1# sh crypto ipsec sa
interface: outside
    Crypto map tag: DYN-MAP, seq num: 5, local addr: 192.168.0.15

      local ident (addr/mask/prot/port): (172.30.0.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (172.30.1.0/255.255.255.0/0/0)
      current_peer: 192.168.0.16

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 1433, #pkts decrypt: 1433, #pkts verify: 1433
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 192.168.0.15, remote crypto endpt.: 192.168.0.16

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 5CF3BB97
      current inbound spi : 5933ED40

    inbound esp sas:
      spi: 0x5933ED40 (1496575296)
         transform: esp-3des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 24576, crypto-map: DYN-MAP
         sa timing: remaining key lifetime (kB/sec): (3914882/27348)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x5CF3BB97 (1559477143)
         transform: esp-3des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 24576, crypto-map: DYN-MAP
         sa timing: remaining key lifetime (kB/sec): (3915000/27348)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

    Crypto map tag: DYN-MAP, seq num: 5, local addr: 192.168.0.15

      local ident (addr/mask/prot/port): (172.30.0.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (172.30.2.0/255.255.255.0/0/0)
      current_peer: 192.168.0.17

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 452, #pkts decrypt: 452, #pkts verify: 452
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 192.168.0.15, remote crypto endpt.: 192.168.0.17

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 8DC6D2C7
      current inbound spi : 69712728

    inbound esp sas:
      spi: 0x69712728 (1769023272)
         transform: esp-3des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: DYN-MAP
         sa timing: remaining key lifetime (kB/sec): (3914973/25338)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x8DC6D2C7 (2378617543)
         transform: esp-3des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: DYN-MAP
         sa timing: remaining key lifetime (kB/sec): (3915000/25338)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001


Содержание

Сообщения в этом обсуждении
"Asa l2l ipsec: перестает ходить трафик"
Отправлено kvasik , 10-Май-12 03:25 
Частично удалось решить вопрос...
Опытным путём удалось выяснить, что после падения тоннеля (например разрыв соединения) инициировать соединение (пустить пинг) необходимо только с одной из сторон.

Если это сделать, например с сетки за ASA2, то:  
# sh crypto isakmp sa -покажет активные пиры, но трафик ходить не будет.

Чтобы это вылечить, необходимо очистить на ASA1 активные пиры командой:
# clear crypto isakmp sa
После этого, инициировать соединение с сети за ASA1 и только тогда трафик будет бегать.
Если же, инициировать трафик с сети за ASA2, то опять ничего не получится.

Мне думается, что так быть не должно.
Кто сталкивался?


"Asa l2l ipsec: перестает ходить трафик"
Отправлено kvasik , 11-Май-12 23:01 
Проблемка была в dynamic-map, используемый для easy vpn.
Надо использовать отдельно от map для l2l.