forum.opennet.ru - "Проблеммы с VPN на CISCO 857" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Проблеммы с VPN на CISCO 857"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Проблеммы с VPN на CISCO 857"
Сообщение от Tim S (ok) on 20-Авг-08, 13:31
Всем доброго времени суток! Настроена впн между циской 857 и длинком 804 В лог киски постоянно вываливается сообщение: Mar 11 14:03:56.021: %CRYPTO-4-RECVD_PKT_MAC_ERR: decrypt: mac verify failed fo r connection id=63 local=87... remote=83...* spi=2D459F24 seqno=0 000B647 При этом пинги в обе стороны ходят нормально, а доменные подключения переодически глючат.. Пробовал менять мту на интерфейсах, не помогает. Версия IOS: 12.4(15)T5 В трёх удалённых точках стоят киски с этой версией иоса и везде есть эта проблемма. В четвертой точке стоит таже киска с версией иоса 12.4(6)T7, здесь все нормально работает. Конфиги везде однотипные, вот конфиг с версией иоса 12.4(15)T5: ! no aaa new-model ! ! dot11 syslog no ip source-route ! ! no ip cef ip auth-proxy max-nodata-conns 100 ip admission max-nodata-conns 100 ip name-server ... ip name-server ... ip name-server ... ! ! ! username ******** privilege 15 secret 5 **************** ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key ********** address 83...* ! ! crypto ipsec transform-set set1 esp-3des esp-sha-hmac crypto ipsec df-bit clear ! crypto map map1 10 ipsec-isakmp set peer 83...* set security-association lifetime seconds 28800 set transform-set set1 set pfs group2 match address 101 reverse-route ! archive log config hidekeys ! ! ! bridge irb ! ! interface ATM0 mtu 1420 no ip address no atm ilmi-keepalive pvc 8/35 encapsulation aal5snap ! dsl operating-mode itu-dmt bridge-group 1 ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Vlan1 ip address 192.168.4.1 255.255.255.0 ip nat inside ip virtual-reassembly no ip route-cache ! interface BVI1 mac-address **..** mtu 1420 ip address 87...* 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly no ip route-cache ip tcp adjust-mss 1300 crypto map map1 ! no ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 87...* ip route 0.0.0.0 0.0.0.0 Null0 255 ! no ip http server no ip http secure-server ip dns server ip dns spoofing ip nat inside source route-map nonat interface BVI1 overload ! access-list 10 permit 192.168.2.0 0.0.0.255 access-list 10 permit 192.168.4.0 0.0.0.255 access-list 10 deny any log access-list 101 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 permit ip 192.168.4.0 0.0.0.255 any route-map nonat permit 10 match ip address 102 ! ! control-plane ! bridge 1 protocol ieee bridge 1 route ip ! line con 0 login local no modem enable line aux 0 line vty 0 4 access-class 10 in privilege level 15 login local transport input telnet ssh ! scheduler max-task-time 5000 end Вот конфиг нормально работающей киски: ! no aaa new-model ! resource policy ! ! ! no ip cef ip name-server ... ip name-server ... ip name-server ... ! ! ! username admin privilege 15 secret 5 $1$E3tl$bGst4hiBJuTbVKaexe.xc1 ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key *********** address 83...* ! ! crypto ipsec transform-set set1 esp-3des esp-sha-hmac crypto ipsec df-bit clear ! crypto map map1 10 ipsec-isakmp set peer 83...* set security-association lifetime seconds 28800 set transform-set set1 set pfs group2 match address 101 reverse-route ! bridge irb ! ! interface ATM0 mtu 1492 no ip address no atm ilmi-keepalive pvc 8/35 encapsulation aal5snap ! dsl operating-mode ansi-dmt bridge-group 1 ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Vlan1 ip address 192.168.8.1 255.255.255.0 ip nat inside ip virtual-reassembly no ip route-cache ! interface BVI1 mac-address **..** mtu 1492 ip address 81...* 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly no ip route-cache ip tcp adjust-mss 1380 crypto map map1 ! ip route 0.0.0.0 0.0.0.0 81...* ! no ip http server no ip http secure-server ip nat inside source route-map nonat interface BVI1 overload ip dns server ip dns spoofing ! access-list 10 permit 192.168.2.0 0.0.0.255 access-list 10 permit 192.168.8.0 0.0.0.255 access-list 10 deny any log access-list 101 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 permit ip 192.168.8.0 0.0.0.255 any route-map nonat permit 10 match ip address 102 ! ! control-plane ! bridge 1 protocol ieee bridge 1 route ip ! line con 0 login local no modem enable line aux 0 line vty 0 4 access-class 10 in privilege level 15 login local transport input telnet ssh ! scheduler max-task-time 5000 end Может поможет перепрошивка иоса?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Проблеммы с VPN на CISCO 857, Tim S, 09:01 , 27-Авг-08, (1)

Проблеммы с VPN на CISCO 857, OlegV, 11:59 , 27-Авг-08, (2)

Проблеммы с VPN на CISCO 857, OlegV, 12:02 , 27-Авг-08, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Проблеммы с VPN на CISCO 857"

Сообщение от Tim S (??) on 27-Авг-08, 09:01

>[оверквотинг удален]
>line vty 0 4
> access-class 10 in
> privilege level 15
> login local
> transport input telnet ssh
>!
>scheduler max-task-time 5000
>end
>
>Может поможет перепрошивка иоса?
Мдя.. Смена прошивки не помогла. Замучился уже...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Проблеммы с VPN на CISCO 857"

Сообщение от OlegV (ok) on 27-Авг-08, 11:59

>[оверквотинг удален]
>> privilege level 15
>> login local
>> transport input telnet ssh
>>!
>>scheduler max-task-time 5000
>>end
>>
>>Может поможет перепрошивка иоса?
>
>Мдя.. Смена прошивки не помогла. Замучился уже...
Видел уже такое. Ето глюк прошивки. На 28 серии помогло замена прошивки. На cisco.com в багтрекере советуют такое:
One workaround, to disable fast switching (no ip route-cache) seems to have done the trick.
И еще. Вот ето:
username ********** privilege 15 secret 5 ********************
при этом:
no aaa new-model
не работает...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Проблеммы с VPN на CISCO 857"

Сообщение от OlegV (ok) on 27-Авг-08, 12:02

Вот еще для раздумья:
%CRYPTO-4-RECVD_PKT_MAC_ERR : decrypt: mac verify failed for connection id=[dec]
Explanation The MAC verify processing failed. This may be caused by the use of the wrong key by either party during the MAC calculations. This activity could be considered a hostile event.
Recommended Action Contact the peer administrator.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проблеммы с VPN на CISCO 857"
Сообщение от Tim S (??) on 27-Авг-08, 09:01
>[оверквотинг удален] >line vty 0 4 > access-class 10 in > privilege level 15 > login local > transport input telnet ssh >! >scheduler max-task-time 5000 >end > >Может поможет перепрошивка иоса? Мдя.. Смена прошивки не помогла. Замучился уже...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Проблеммы с VPN на CISCO 857"
	Сообщение от OlegV (ok) on 27-Авг-08, 11:59
	>[оверквотинг удален] >> privilege level 15 >> login local >> transport input telnet ssh >>! >>scheduler max-task-time 5000 >>end >> >>Может поможет перепрошивка иоса? > >Мдя.. Смена прошивки не помогла. Замучился уже... Видел уже такое. Ето глюк прошивки. На 28 серии помогло замена прошивки. На cisco.com в багтрекере советуют такое: One workaround, to disable fast switching (no ip route-cache) seems to have done the trick. И еще. Вот ето: username ******** privilege 15 secret 5 ****************** при этом: no aaa new-model не работает...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Проблеммы с VPN на CISCO 857"
	Сообщение от OlegV (ok) on 27-Авг-08, 12:02
	Вот еще для раздумья: %CRYPTO-4-RECVD_PKT_MAC_ERR : decrypt: mac verify failed for connection id=[dec] Explanation The MAC verify processing failed. This may be caused by the use of the wrong key by either party during the MAC calculations. This activity could be considered a hostile event. Recommended Action Contact the peer administrator.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]