отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

ASA 5505 не видит обрыва туннеля

Добрый день

Нужна помощь в решении следующей проблемы: ASA 5505 ----- IPSec ------ Zyxel 2602

Туннель строится и работает.

Но если удаленная сторона (Zyxel) перезагрузится на ASA остается туннель и не перенастраивается пока не выйдет lifetime, хотя Zyxel пытается установить туннель заново.

Заранее благодарю

Теги (3)
4 ОТВЕТ.

ASA 5505 не видит обрыва туннеля

Zyxel называет эту ситуацию - "Зомби-Туннель". Здесь подробности: http://zyxel.ru/kb/1351

Я бы проверил, включена ли на ASA функция DPD. Смотрите настройки соответствующей tunnel group на предмет наличия строки isakmp keepalive. Эту функцию нужно включить, желательно на обоих устройствах.

Cisco Employee

ASA 5505 не видит обрыва туннеля

Поддерживаю включение DPD, если это поддерживается Zyxel. На ASA DPD включено по умолчанию. Плюс, для защиты от обратных ситуаций, когда, например, перегружается ASA, а Zyxel думает, что туннель жив, поможет Invalid SPI Recovery на ASA, которая включена по умолчанию и работает начиная с 8.0(4), 8.2(1) - BUG CSCso50226.

New Member

Re: ASA 5505 не видит обрыва туннеля

Добрый день

Спасибо за ответы

Хотел бы уточнить:

1) между ASA и Zyxel поднят туннель с двумя правилами

     1 правило IP-WAN интерфейса Zyxel на any

     2 правило IP сеть-подключенная к LAN интерфейсу Zyxel на any

2) проблему:

судя по логам с ASA, она все-таки видит разрыв туннеля, но почему-то они с Zyxel-ем не могут договорится в течении 2 мин (а может не установиться совсем) и это происходит не только в момент когда Zyxel перезагружается, но и при очередной перенастройки ключей по истечению lifetime

на Zyxel-е в логах :

!! Receive IPSec packet, but no corresponding tunnel exists

в Syslog-e вижу следующее

с Zyxel-я

03.09.2012  5:11:52     Local1.Warning    «src=««IP_ASA»« dst=««IP_Zyxel»« msg=""Rule [1] Receiving IKE request"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:11:52     Local1.Warning    «src=««IP_ASA»« dst=««IP_Zyxel»« msg=""Recv Main Mode request from [IP_ASA]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:11:52     Local1.Warning    «src=««IP_ASA»« dst=««IP_Zyxel»« msg=""Recv:[SA][VID]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:11:53     Local1.Warning    «src=««IP_Zyxel»« dst=««IP_ASA»« msg=""Send:[SA][VID]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:11:53     Local1.Warning    «src=««IP_ASA»« dst=««IP_Zyxel»« msg=""Recv:[KE][NONCE][VID][VID][VID][VID"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:11:53     Local1.Warning    «src=««IP_Zyxel»« dst=««IP_ASA»« msg=""Send:[KE][NONCE]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:11:53     Local1.Warning    «src=««IP_ASA»« dst=««IP_Zyxel»« msg=""Recv:[ID][HASH][VID]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:11:53     Local1.Warning    «src=««IP_Zyxel»« dst=««IP_ASA»« msg=""Send:[ID][HASH]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:11:53     Local1.Warning    «src=««IP_Zyxel»« dst=««IP_ASA»« msg=""Phase 1 IKE SA process done"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:12:26     Local1.Warning    «src=««IP_ASA»« dst=««IP_Zyxel»« msg=""Recv:[HASH][DEL]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:12:43     Local1.Warning    «src=««IP_Zyxel»« dst=««IP_ASA»« msg=""Send:[HASH][DEL]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

с ASA

03.09.2012  5:13:06     Local4.Debug      %ASA-7-713906: IP = IP_Zyxel, Starting phase 1 rekey

03.09.2012  5:13:06     Local4.Notice     %ASA-5-713041: IP = IP_Zyxel, IKE Initiator: Rekeying Phase 1, Intf vlan203, IKE Peer IP_Zyxel local Proxy Address N/A, remote Proxy Address N/A, Crypto map (N/A)

03.09.2012  5:13:06     Local4.Debug      %ASA-7-715046: IP = IP_Zyxel, constructing ISAKMP SA payload

03.09.2012  5:13:06     Local4.Debug      %ASA-7-715046: IP = IP_Zyxel, constructing Fragmentation VID + extended capabilities payload

03.09.2012  5:13:06     Local4.Debug      %ASA-7-713236: IP = IP_Zyxel, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 108

03.09.2012  5:13:55     Local4.Debug      %ASA-7-715077: Pitcher: received a key acquire message, spi 0x0

03.09.2012  5:14:07     Local4.Debug      %ASA-7-715077: Pitcher: received a key acquire message, spi 0x0

03.09.2012  5:14:12     Local4.Debug      %ASA-7-715077: Pitcher: received a key acquire message, spi 0x0

03.09.2012  5:14:24     Local4.Debug      %ASA-7-715077: Pitcher: received a key acquire message, spi 0x0

03.09.2012  5:14:44     Local4.Debug      %ASA-7-715077: Pitcher: received a key acquire message, spi 0x0

03.09.2012  5:14:57     Local4.Debug      %ASA-7-715077: Pitcher: received a key acquire message, spi 0x0

03.09.2012  5:14:57     Local4.Error      %ASA-3-713902: Group = IP_Zyxel, IP = IP_Zyxel, QM FSM error (P2 struct &0xd8c67380, mess id 0x5bcb48c6)!

03.09.2012  5:14:57     Local4.Debug      %ASA-7-715065: Group = IP_Zyxel, IP = IP_Zyxel, IKE QM Initiator FSM error history (struct &0xd8c67380) , : QM_DONE, EV_ERROR-->QM_WAIT_MSG2, EV_TIMEOUT-->QM_WAIT_MSG2, NullEvent-->QM_SND_MSG1, EV_SND_MSG-->QM_SND_MSG1, EV_START_TMR-->QM_SND_MSG1, EV_RESEND_MSG-->QM_WAIT_MSG2, EV_TIMEOUT-->QM_WAIT_MSG2, NullEvent

03.09.2012  5:15:01     Local4.Debug      %ASA-7-713906: Group = IP_Zyxel, IP = IP_Zyxel, sending delete/delete with reason message

03.09.2012  5:15:01     Local4.Debug      %ASA-7-715046: Group = IP_Zyxel, IP = IP_Zyxel, constructing blank hash payload

03.09.2012  5:15:01     Local4.Alert      %ASA-1-713900: Group = IP_Zyxel, IP = IP_Zyxel, construct_ipsec_delete(): No SPI to identify Phase 2 SA!

03.09.2012  5:15:01     Local4.Debug      %ASA-7-715009: Group = IP_Zyxel, IP = IP_Zyxel, IKE Deleting SA: Remote Proxy IP_Zyxel, Local Proxy 10.0.0.0

03.09.2012  5:15:01     Local4.Error      %ASA-3-713902: Group = IP_Zyxel, IP = IP_Zyxel, Removing peer from correlator table failed, no match!

03.09.2012  5:15:01     Local4.Debug      %ASA-7-715077: Pitcher: received key delete msg, spi 0x2a0f576d

03.09.2012  5:15:05     Local4.Debug      %ASA-7-715077: Pitcher: received a key acquire message, spi 0x0

03.09.2012  5:15:34     Local4.Debug      %ASA-7-715077: Pitcher: received a key acquire message, spi 0x0

c Zyxel

03.09.2012  5:16:02     Local1.Warning    «src=««IP_ASA»« dst=««IP_Zyxel»« msg=""Recv:[HASH][SA][NONCE][ID][ID]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:16:02     Local1.Warning    «src=««IP_ASA»« dst=««IP_Zyxel»« msg=""Start Phase 2: Quick Mode"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:16:02     Local1.Warning    «src=««IP_ASA»« dst=««IP_Zyxel»« msg=""Swap rule to rule [2]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:16:02     Local1.Warning    «src=««IP_Zyxel»« dst=««IP_ASA»« msg=""Send:[HASH][SA][NONCE][ID][ID]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:16:02     Local1.Warning    «src=««IP_ASA»« dst=««IP_Zyxel»« msg=""Recv:[HASH]"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

03.09.2012  5:16:02     Local1.Warning    «src=««IP_ASA»« dst=««IP_Zyxel»« msg=""Rule [2] Tunnel built successfully"" note=""IKE"" devID=""160EBD"" cat=""IKE"""

с ASA

03.09.2012  5:16:15     Local4.Debug      %ASA-7-715077: Pitcher: received a key acquire message, spi 0x0

03.09.2012  5:17:00     Local4.Debug      %ASA-7-715077: Pitcher: received a key acquire message, spi 0x0

Заренее благодарю      

Павел      

Cisco Employee

Re: ASA 5505 не видит обрыва туннеля

Похоже часы не синхронизированы на ASA и Zyxel - трудно анализировать.

В первом фрагменте лога ASA создает Phase1 SA (ISAKMP SA), причем проходят все 6 сообщений и в целом процесс завершается успешно, но потом почему-то ASA Phase1 SA удаляет. Во втором - производится Phase1 rekey (ISAKMP rekey). При этом ASA отправляет 1-е сообщение, но ответа не получает. В третьем - успешно устанавливается Phase 2 SA (IPSec SA). Все три лога никак др. с др. не коррелируют. Нужны полные логи (с ASA - ур. 7) и с синхронизированным временем. На ASA можно:

logging list TAC level debug class VPN

logging trap TAC

чтобы логировать только сообщения VPN (надеюсь, что имя подсистемы - VPN - не перепутал).

1232
Просмотры
0
Полезный материал
4
Ответы