×

Mensaje de advertencia

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

Problema con una VPN, error failed anti-replay checking....

Sin Contestar
Jul 4th, 2014
User Badges:

Buenas tengo este error en un ASA el problema es que elimina la VPN, tal vez alguien me pueda ayudar...

 

IPSEC: Received an ESP packet (SPI= 0x34452C35, sequence number= 0x6) from 200.6.213.172 (user= 200.6.213.172) to 200.49.160.170 that failed anti-replay checking.

 

De nuestro lado tengo un Cisco ASA 5550, Cisco Adaptive Security Appliance Software Version 9.1(2) Device Manager Version 7.1(3) Del lado de ellos es un Fortigate 800

 

Yo encontre el siguiente ejemplo, pero no me funcionan esos comandos, aunque desde el ASDM puedo cambiar el window-size pero afecta a todos los crypto maps

 

Configuring IPsec Anti-Replay Window Expanding and Disablingon a Crypto Map To configure IPsec Anti-Replay Window: Expanding and Disabling on a crypto map so that it affects those SAs that have been created using a specific crypto map or profile, perform the following steps.

 

SUMMARY STEPS

1. enable

2. configure terminal

3. crypto map map-name seq-num [ipsec-isakmp] Router (config)

# crypto map ETHO 17 ipsec-isakmp 4. set security-association replay window-size [ N ] Router (crypto-map)

# set security-association replay window-size 128 5. set security-association replay disable Router (crypto-map)

# set security-association replay disable

 

 

Quiero modificarlo pero sin que me afecte a todos los crypto maps.. Saludos

Loading.
Itzcoatl Espinosa Mié, 07/09/2014 - 11:44
User Badges:
  • Cisco Employee,
  • Events Top Contributors,

    2013

 

Hola Raul,

Cuando se coloca el comando de "set security-association replay" dentro del crypto map, solamente afecta a ese crypto.

 

Saludos,

 

Itzcoatl

Jose Gustavo Medina Jue, 07/17/2014 - 09:49
User Badges:
  • Cisco Employee,

Hola Raul,

El log que observas puede ser producto de un re-ordenamiento de paquetes en el medio de transmision entre los dos endpoints del VPN.  SI deseas incrementar el Window Size para asi evitar el problema como te comentó Itzcoatl podes usar el "set security-association replay" ya sea global para todos tus tuneles o dentro de un crypto-map en especifico y asi no cambiarlo para todos en general sin embargo en un ASA solo tenemos el comando global:

"crypto ipsec security-association replay window-size X"

-Gustavo

 

 

 

Acciones

Este Discusión