IPSec tunnel pada i się podnosi

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
DOOM
member
member
Posty: 22
Rejestracja: 24 lis 2015, 10:03
Lokalizacja: Legionowo

IPSec tunnel pada i się podnosi

#1

#1 Post autor: DOOM »

Witam,


W piątek zaczęły mi się problemy z tunelami IPSec. Na początku z jedną lokalizacją a dzisiaj z drugą. Pierwsza działa ok. Co ciekawe nikt nic nie zmieniał tunele działały stabilnie przez ostatnie kilka lat a teraz w logu widzę:

Kod: Zaznacz cały

000399: Jan 30 08:59:55.276: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer 123.123.123.123:500       Id: 123.123.123.123
000400: Jan 30 09:04:06.081: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer 123.123.123.123:500       Id: 123.123.123.123
000401: Jan 30 09:04:06.909: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer 123.123.123.123:500       Id: 123.123.123.123
000402: Jan 30 09:05:02.009: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer 123.123.123.123:500       Id: 123.123.123.123
000403: Jan 30 09:05:11.189: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer 123.123.123.123:500       Id: 123.123.123.123
000404: Jan 30 09:05:11.261: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer 123.123.123.123:500       Id: 123.123.123.123
000405: Jan 30 09:05:11.261: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer 123.123.123.123:500       Id: 123.123.123.123
000406: Jan 30 09:05:54.961: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer 123.123.123.123:500       Id: 123.123.123.123
000407: Jan 30 09:05:55.701: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer 123.123.123.123:500       Id: 123.123.123.123
000408: Jan 30 09:07:18.845: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer 123.123.123.123:500       Id: 123.123.123.123
000409: Jan 30 09:07:27.645: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer 123.123.123.123:500       Id: 123.123.123.123
000410: Jan 30 09:07:27.713: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer 123.123.123.123:500       Id: 123.123.123.123
000411: Jan 30 09:07:27.717: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer 123.123.123.123:500       Id: 123.123.123.123
000412: Jan 30 09:07:57.381: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer 123.123.123.123:500       Id: 123.123.123.123
000414: Jan 30 09:08:34.697: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP  .  Peer 123.123.123.123:500       Id: 123.123.123.123
000415: Jan 30 09:10:58.014: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer 123.123.123.123:500       Id: 123.123.123.123
komendy użyte do debugu:

Kod: Zaznacz cały


debug crypto isakmp error
debug crypto ipsec error

W piątek miałem sporo wpisów jak poniżej, dzisiaj też się jeden pojawił:

Kod: Zaznacz cały


000397: Jan 30 07:59:54.616: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=234.234.234.234, prot=50, spi=0xAC46BF43(2890317635), srcaddr=123.123.123.123, input interface=GigabitEthernet0/1
000398: Jan 30 07:59:54.688: %CRYPTO-4-IKMP_NO_SA: IKE message from 123.123.123.123 has no SA and is not an initialization offer
dodałem do konfiguracji:

Kod: Zaznacz cały

crypto isakmp invalid-spi-recovery
ale za dużo się nie zmieniło. Co mogło się stać ?

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: IPSec tunnel pada i się podnosi

#2

#2 Post autor: PatrykW »

Hej,

Pokaz, sprawdz czy masz roznice w konfiguracji, jezeli nie usun i dodaj jeszcze raz klucz.

show crypto isakmp policy
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

DOOM
member
member
Posty: 22
Rejestracja: 24 lis 2015, 10:03
Lokalizacja: Legionowo

Re: IPSec tunnel pada i się podnosi

#3

#3 Post autor: DOOM »

To trochę dziwne, konfiguracja tunelu była identyczna po obu stronach. Osoba odpowiedzialna za drugą ze stron zmieniła konfigurację na IKEv2 i teraz tunel pracuje stabilnie. Po mojej stronie dalej jest IKEv1... O ile dobrze wnioskuję, konfig tunelu:

crypto isakmp key "Klucz" address 123.123.123.123 no-xauth
crypto ipsec transform-set Tunnel-01 esp-aes 256 esp-sha-hmac
crypto map Crypto-Mapa 50 ipsec-isakmp
set peer 123.123.123.123
set transform-set Tunnel-01
match address 146

ODPOWIEDZ