VPN inestable en rv042

Armandus1 · ‎03-12-2013

Buenos días,

Tenemos en la empresa tres emplazamientos (A,B,C) unidos con 3 cisco rv042, versión 3 y con el último firmware cargado en los tres (4.2.1.02). Para crear una redundancia tengo dos vpn creadas en cada rv042 gateway to gateway y con ip publicas pseudoestaticas. El problema es que no consigo que me funcionen los túneles de manera estable mas de dos días seguidos.

Llevo todo el día intentando levantar uno de los túneles (El que une el emplazamiento A con el B) y no lo consigo, este es parte del log:

Mar 12 13:31:56 2013	Kernel	last message repeated 6 times
Mar 12 13:31:56 2013	VPN Log	packet from 213.98.123.149:500: Informational Exchange is for an unknown (expired?) SA
Mar 12 13:31:57 2013	VPN Log	packet from 213.98.123.149:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
Mar 12 13:31:58 2013	Kernel	last message repeated 2 times
Mar 12 13:31:58 2013	VPN Log	packet from 213.98.123.149:500: Informational Exchange is for an unknown (expired?) SA
Mar 12 13:31:58 2013	VPN Log	packet from 213.98.123.149:500: Informational Exchange is for an unknown (expired?) SA
Mar 12 13:31:59 2013	VPN Log	packet from 213.98.123.149:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
Mar 12 13:31:59 2013	VPN Log	packet from 213.98.123.149:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
Mar 12 13:31:59 2013	VPN Log	packet from 213.98.123.149:500: Informational Exchange is for an unknown (expired?) SA
Mar 12 13:31:59 2013	VPN Log	packet from 213.98.123.149:500: Informational Exchange is for an unknown (expired?) SA
Mar 12 13:31:59 2013	VPN Log	packet from 213.98.123.149:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
Mar 12 13:31:59 2013	VPN Log	packet from 213.98.123.149:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
Mar 12 13:31:59 2013	VPN Log	packet from 213.98.123.149:500: Informational Exchange is for an unknown (expired?) SA
Mar 12 13:32:00 2013	VPN Log	packet from 213.98.123.149:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
Mar 12 13:32:02 2013	Kernel	last message repeated 5 times
Mar 12 13:32:02 2013	VPN Log	packet from 213.98.123.149:500: Informational Exchange is for an unknown (expired?) SA
Mar 12 13:32:02 2013	Kernel	last message repeated 2 times
Mar 12 13:32:03 2013	VPN Log	packet from 213.98.123.149:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
Mar 12 13:32:05 2013	Kernel	last message repeated 11 times
Mar 12 13:32:05 2013	VPN Log	packet from 213.98.123.149:500: Informational Exchange is for an unknown (expired?) SA
Mar 12 13:32:05 2013	Kernel	last message repeated 2 times

Para vuestra información, los tuneles que une el emplazamiento A con C y el B con C están operativos.

Por favor, podrían indicarme cual podria ser el problema.

Un Saludo

jonatrod · ‎03-13-2013

Hola Armando, me llamo Johnnatan y soy parte de la comunidad de soporte de Cisco, la causa de tu problema puede tener una o varias razones, por esto te voy a colocar algunos pasos para el solucionamiento de el mismo:

1 Prueba cambiando el valor de MTU en tus router, por debajo de los 1500, puede ser 1492

2 Si tienes alguna VPN configurada en agressive mode cambialo a main mode.

3 Desactiva la casilla de PFS en tu VPN

4 Cambia los atributos de seguridad por unos menos pesados (auntenticación, encriptación, DH)

5 Activa la opción de Remote management en tu firewall

6 Desactiva la opción de Block Wan Request de tu Firewall

Espero te sea útil esta respuesta.

***Por favor marca la pregunta como “Respondida”, o calificala con estrellas para que evalúen mi desempeño y además ayudar a otros usuarios***

Gracias

Johnnatan Rodriguez Miranda.

Cisco Network Support Engineer.

“Please rate useful posts so other users can benefit from it” Greetings, Johnnatan Rodriguez Miranda. Cisco Network Support Engineer.