отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

ASA. Проблема L2TP/IPsec. Клиент MikroTik.

Добрый день!

У нас есть L2TP/IPsec-сервер, организованный на ASA5520. ASA firmware is Cisco Adaptive Security Appliance Software Version 9.1(7).

Мы успешно подключаемся к этому L2TP/IPsec VPN серверу с рабочих станций и проблем не возникает.

Мы так же мы подключаемся к этому L2TP/IPsec VPN серверу с устройства Mikrotik, но тут возникает проблема следующего характера:

Подключение устанавливается, но иногда, после некоторого аптайма, может произойти так, что интерфейс L2TP-клиента со стороны Mikrotik падает и не подымается. IPsec при этом установлен, и ASA и Mirotik имеют SAs с одинаковыми SPI. Помогает только отключение L2TP клиента со стороны Mikrotik на 5 минут. (clear crypto ikev1 sa, clear crypto ipsec sa, а так же "Flush" со стороны Mirkotik не помогает)

При этом в логах на Mikrotik следующее:

L2TP, debug: sent control message to 194.x.x.x:1701 from 0.0.0.0:1701... tunnel received no replies, disconnecting

Я вижу, что ASA получает эти control message, но действительно не отправляет ответ.

Я меняю параметр "level" в политиках IPsec на Mirkotik, перезапускаю Mikrotik. После перезагрузки в логах Mikrotik следующее:

L2TP, debug, packet:

rcvd control message from 194.x.x.x:1701 to 176.x.x.x:1701

received message with wrong tunnel id, ignoring

Писал в техподдержку Mikrotik, она ответила следующее:

We have found out that ASA does not work according to RFC and that is why connection can get stuck.
You should be able to fix situation either by flushing installed-sa on router or by rebooting it.
When ASA loses SAs, then they do not send message about that to router so router does not know about it and can not re-establish proper connection.

Утверждают, что ASA работает не в соответствии с RFC.

Если я верно понимаю, то поддержка Mikrotik говорит об ESP RFC. Mirkotik использует RFC 4303.

Подскажите как решить проблему? Какой RFC использует ASA? Поможет ли обновление прошивки ASA?

1 ОТВЕТ
New Member

Здравствуйте,

Здравствуйте,

Может быть не совсем то, но я встречал странное поведение АСЫ в IPSEC. Попробуйте использовать IKEv2 для Phase 1.

47
Просмотры
0
Полезный материал
1
Ответы