Добрый день.  

Имел маршрутизатор 2621. Он использовался в качестве VPN хаба с порядка 3-х удаленных точек.

После миграции данного роутера на 2821 (Конфиги абсолютно идентичны старым) один из тунелей не поднимается. isakmp sa не устанавливается. Дебаг показывает следующее:

*Jun  9 06:02:56.232: ISAKMP (0:0): received packet from 213.138.65.100 dport 500 sport 500 Global (N) NEW SA
*Jun  9 06:02:56.232: %CRYPTO-4-IKMP_NO_SA: IKE message from 213.138.65.100 has no SA and is not an initialization offer

Циска по этому поводу пишет:

%CRYPTO-4-IKMP_NO_SA : IKE message from [IP_address] has no SA and is not an initialization offer

Explanation IKE maintains state information for a communication in the form of security associations. No security association exists for this packet and it is not an initial offer from the peer to establish one. This situation could indicate a denial-of-service attack.

Recommended Action Contact the remote peer or the administrator of the remote peer.

Удаленный хост - линукс система. Администрируется не мной.

Предполагаю что она вошла в ступор и немного подвисла. Скорее всего проблема решится сбросом isakmp сессии на ней.

Но очень хотелось бы решить проблему не связываясь с их админом.

Есть какие-нибудь рецепты?

invalid-spi-recovery  и  isakmp keepalive 10 на своей стороне включен.

Заранее благодарю.