отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

ошибка CRYPTO-6-ISAKMP_MANUAL_DELETE

Есть канал ipsec между ASA 5550 и 881. Все работает, но каждый день есть ошибка.

Что это за ошибка которая на час сдвигается?  Как ее починить?

 

Feb  5 05:48:12: %CRYPTO-6-ISAKMP_MANUAL_DELETE: IKE SA manually deleted. Do 'clear crypto sa peer x.x.x.x' to manually clear IPSec SA's covered by this IKE SA.

Feb  6 04:36:04: %CRYPTO-6-ISAKMP_MANUAL_DELETE: IKE SA manually deleted. Do 'clear crypto sa peer x.x.x.x' to manually clear IPSec SA's covered by this IKE SA.

Feb  7 03:23:56: %CRYPTO-6-ISAKMP_MANUAL_DELETE: IKE SA manually deleted. Do 'clear crypto sa peer x.x.x.x' to manually clear IPSec SA's covered by this IKE SA.

Feb  8 02:11:48: %CRYPTO-6-ISAKMP_MANUAL_DELETE: IKE SA manually deleted. Do 'clear crypto sa peer x.x.x.x' to manually clear IPSec SA's covered by this IKE SA.

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

а на втором устройстве? NTP

а на втором устройстве? NTP синхронизировано?

21 ОТВЕТ.

а на втором устройстве? NTP

а на втором устройстве? NTP синхронизировано?

New Member

Да. Это может быть причиной

Да. Это может быть причиной ошибки. Но время уже пройденный этап.

Я уже и isakmp keepalive disable делал

и

crypto ipsec security-association lifetime seconds xxxx менял

и

crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10

ставил, убирал.

Короче шаманство уже пошло.

Иногда меняется на такую ошибку:

Mar 28 18:02:53: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.x, prot=50, spi=0xD51376A4(3574822564), srcaddr=y.y.y.y, input interface=FastEthernet4

New Member

Я бы также проверил тайм-зону

Я бы также проверил тайм-зону. На каком из устройств ошибка регистрируется?

New Member

881 роутер -ошибки тут

881 роутер -ошибки тут

14:38:33.330 MSK Wed Mar 29 2017

asa

14:38:08.265 MSK Wed Mar 29 2017

вроде одинаковые таймзоны

New Member

Строгая периодичность ошибки

Строгая периодичность ошибки может ещё указывать на процесс в kron. Вы исследовали конфиг на предмет скриптов?

New Member

Нет. А как они выглядат эти

Нет. А как они выглядат эти скрипты в конфиге?

New Member

Ну, для начала можно пройтись

Ну, для начала можно пройтись по конфигу используя команды

show run | in clear|kron|event

New Member

пусто

пусто

sh kron schedule  -и так тоже

New Member

А само VPN-соединение при

А само VPN-соединение при этом остаётся активным?

New Member

сейчас еще больше запутаю )

сейчас еще больше запутаю )

Есть несколько каналов, все с одинаковыми настройками и оборудованием. В центре ASA, на концах-881(каждый со своим инетом). И такая ошибка на всех практически.

На двух(при этой ошибке) канал падал и сразу поднимался ,причем около 18-00,  1-00, 7-00 стабильно.А на которых каждые сутки на час отодвигался с ошибкой -не падает и держится до 5 суток.

Может конфиг изначально ущербный какой то.Сейчас шаманством описанным выше добился на первых двух чтобы не падали регулярно 3 раза в сутки хоть

Кстати только сейчас заметил:

x.x.x.34 -881  -это нормально , y.y.y.2 -asa -это нормально

srcaddr=71.6.158.166  -а вот это как вклинилось ко мне ? 

Mar 25 07:11:36: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.34, prot=50, spi=0xA6517B6A(2790357866), srcaddr=71.6.158.166, input interface=FastEthernet4
Mar 27 03:15:49: %CRYPTO-6-ISAKMP_MANUAL_DELETE: IKE SA manually deleted. Do 'clear crypto sa peer y.y.y.2' to manually clear IPSec SA's covered by this IKE SA.
Mar 27 08:02:26: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.34, prot=50, spi=0xC99E1078(3382579320), srcaddr=y.y.y.2, input interface=FastEthernet4
.Mar 28 08:24:55: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.34, prot=50, spi=0xE70B63EB(3876283371), srcaddr=y.y.y.2, input interface=FastEthernet4

И причем еще один левый айпи (71.6.135.131) с такой же ошибкой на другом роутере в другом канале:

Mar 28 04:22:12: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.170, prot=50, spi=0xA6517B6A(2790357866), srcaddr=71.6.135.131, input interface=FastEthernet4

New Member

А туннель обычный криптомап

А туннель обычный криптомап или EZVPN?

New Member

crypto isakmp policy 1 encr

crypto isakmp policy 1
 encr aes 256
 hash md5
 authentication pre-share
 group 2
crypto isakmp key password address x.x.x.2   
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set SNRS esp-aes 256 esp-md5-hmac
 mode tunnel
!
!
!
crypto map MAIN 4 ipsec-isakmp
 set peer x.x.x.2
 set transform-set SNRS
 set pfs group2
 match address vpn-traffic

New Member

Попробуйте установить

Попробуйте установить лайфтайм ISAKMP вручную и на хабе и на споках. Начните с одного часа и посмотрите результат.

New Member

Сейчас так на ASA:

Сейчас так на ASA:

crypto ikev1 policy 4
 authentication pre-share
 encryption aes-256
 hash md5
 group 2
 lifetime 86400

А на роутере как посмотреть дефолтный?

Эnо же для ipsec как я понимаю:

show crypto ipsec security-association lifetime

 

Еще читал NAT-T как то тоже вмешиваться может

А если на ASA есть еще IKE Policy. Они же не мешают мне? Мой канал берет по приоритету первый и вперед?

crypto ikev1 policy 4
 authentication pre-share
 encryption aes-256
 hash md5
 group 2
 lifetime 86400

crypto ikev1 policy 10
 authentication pre-share
 encryption aes-256
 hash sha
 group 5
 lifetime 86400
crypto ikev1 policy 11
 authentication pre-share
 encryption aes-256
 hash sha
 group 1
 lifetime 86400
crypto ikev1 policy 30
 authentication pre-share
 encryption 3des
 hash sha
 group 1
 lifetime 86400

New Member

нашел вроде

нашел вроде

show crypto isakmp policy   

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Message Digest 5
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               86400 seconds, no volume limit

New Member

Да, это оно. Поменяйте на

Да, это оно. Поменяйте на 3600 секунд. Помониторьте :)

New Member

Страшно )

Страшно )

Если в центре поменяю, то и на всех удаленных менять надо, а их уже с десяток

New Member

Нет, это не обязательно.

Нет, это не обязательно. Лайфтайм выбирается минимальный между двумя устройствами. Если лайфтайм не совпадает, соединение всё равно установится.

New Member

Поменял и он каждый час

Поменял и он каждый час выдает ошибку, хотя канал не падает.

Apr  3 12:35:47: %CRYPTO-6-ISAKMP_MANUAL_DELETE: IKE SA manually deleted. Do 'clear crypto sa peer x.x.x.x' to manually clear IPSec SA's covered by this IKE SA.
Apr  3 13:32:46: %CRYPTO-6-ISAKMP_MANUAL_DELETE: IKE SA manually deleted. Do 'clear crypto sa peer x.x.x.x' to manually clear IPSec SA's covered by this IKE SA.
Apr  3 14:29:46: %CRYPTO-6-ISAKMP_MANUAL_DELETE: IKE SA manually deleted. Do 'clear crypto sa peer x.x.x.x' to manually clear IPSec SA's covered by this IKE SA.

А если Encrypt  Decrypt разные это очень плохо?

rout#sh crypto engine connections active
Crypto Engine Connections

   ID  Type    Algorithm                     Encrypt  Decrypt  LastSeqN IP-Address
  157  IPsec   AES256+MD5                0         519027   521336 y.y.y.y
  158  IPsec   AES256+MD5           411020        0                 0     y.y.y.y
 2042  IKE     MD5+AES256                0              0                 0     y.y.y.y

New Member

Так... Похоже, что это

Так... Похоже, что это сообщение просто сопровождает переустановку Phase1 в IPSec соединении. Я бы оставил как есть и не волновался. Насчёт encrypt/decrypt тоже волноваться не стоит. Это указывает на проблему только в выводе "show crypto ipsec sa". Если в этом случае один счётчик на нуле - то где-то есть ошибка. В других случаях можно смело игнорировать.

New Member

Понятно.

Понятно.

А если такая ошибка появляется:

%ASA-4-402119: IPSEC: Received an ESP packet (SPI= 0x0E972C69, sequence number= 0x12EC) from A.A.A.A (user= A.A.A.A) to B.B.B.B that failed anti-replay checking.

но crypto ipsec security-association replay window-size 1024 -не помогает совсем,

 то crypto ipsec security-association replay disable  -можно прописать?

107
Просмотры
0
Полезный материал
21
Ответы
СоздатьДля создания публикации, пожалуйста в систему