Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Error MM_NO_STATE

Buenos dias a tod@s

Se trata de un tunel establecido entre un cisco 850 y un ASA 5515.

Este tunel lleva configurado meses sin ningun problema, pero desde esta mañana han empezado a notar problemas de caidas del tunel.

En el ASA veo que el tunel levanta continuamente, pero a los 30 segundos aproximadamente cae. No es un problema de corriente, ni tampoco de que el router se reinicie, ya que tengo acceso por control remoto y el router no tiene ningun reload, ni pierdo la conectividad.

La configuracion es clavada y exacta a la que ha tenido siempre, ya que tenia una copia de la misma.

Revisando dentro del Cisco 850, he visto lo siguiente.

XXXXX#show crypto isakmp sa

20221404#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
212.55.58.15 195.45.148.66 MM_NO_STATE 2106 0 ACTIVE (deleted)
212.55.58.15 195.45.148.66 MM_NO_STATE 2104 0 ACTIVE (deleted)
212.55.58.15 195.45.148.66 QM_IDLE 2107 0 ACTIVE
212.55.58.15 195.45.148.66 MM_NO_STATE 2105 0 ACTIVE (deleted)
212.55.58.15 195.45.148.66 MM_NO_STATE 2103 0 ACTIVE (deleted)

IPv6 Crypto ISAKMP SA

He intentado hacer un clear crypto sa, pero no elimina las sesiones. Creo que el problema puede estar ahi, ya que ese no es el comportamiento normal.

No llego por ping a ninguna de nuestras redes, y el comportamiento en el tunel sigue siendo el mismo. Levanta y cae a los pocos segundos, como si hubiese algo que cortase el trafico.

Tambien estoy notando en mi ASA errores en la configuracion. Intento desabilitar de un tunel el pfs en el lado del ASA, y me muestra el error que muestra en la captura. ¿Como puedo solucionarlo?

Si necesitais mas informacion hacermelo saber.

Gracias por adelantado

8 RESPUESTAS
New Member

Error MM_NO_STATE

borra el tunel y vuelve a configurarlo, a mi me paso algo similar una vez y lo solucione de esa manera, eso pasa porque la configuracion se  "corrompe" y no funciona mas

Marcos
http://linuxeros-faq.blogspot.com

Marcos http://linuxeros-faq.blogspot.com
New Member

Re: Error MM_NO_STATE

Gracias por su respuesta Marcos.

He hecho eso mismo en ambos lados, pero el problema continua siendo el mismo.

En el ASA sigo viendo la misma sintomatologia. Se establece la fase 1, y a los 30 segundos se cae, volviendo a levantar al momento, y repitiendo el proceso. Cuando esto pasa, he podido ver por acceso remoto en el otro extremo el comportamiento del cisco, y coincide que cuando se cae la sesion en el ASA, se crea un estado

MM_NO_STATE 0 ACTIVE (deleted) y aunque haga un clear, no funciona.

He revisado los logs en el ASA, y esta dando ciertos errores, aunque realmente no los comprendo muy bien. Querria que me echaseis una mano si realmente me puede dar una pista de por donde vienen los errores.

Por privacidad he ocultado las IP´s.

En gris esta marcado el peer del otro extremo ( el del cisco 800)

En rojo la red local del ASA, y en naranja la red del otro extremo, la del cisco 800.

Lo adjunto a ver si me pueden echar una mano.

Gracias

      

Re: Error MM_NO_STATE

Podrias subir un... Router#debug crypto isakmp.

Saludos.

New Member

Re: Error MM_NO_STATE

Si, adjunto lo que sale, aunque en realidad es nada.

EN EL ROUTER CISCO 800

20221404#
20221404#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
          dst                            src                                 state                     conn-id      slot           status
                              QM_IDLE                     2117         0           ACTIVE
                             MM_NO_STATE            2116         0           ACTIVE (deleted)
                             MM_NO_STATE            2115         0           ACTIVE (deleted)
                             MM_NO_STATE               0           0           ACTIVE
                             MM_NO_STATE               0           0           ACTIVE (deleted)

IPv6 Crypto ISAKMP SA

20221404#
20221404#debug crypto isakmp
Crypto ISAKMP debugging is on
20221404#
20221404#debug crypto ipsec
Crypto IPSEC debugging is on
20221404#

No me sale nada al hacer el debug. Estoy haciendo un ping continuo desde cada extremo a la lan remota, y nada, no muestra nada.

New Member

Re: Error MM_NO_STATE

¿Alguien me puede dar una posible solucion?.

Estoy pensando que quiza sea un problema de hardware del propio Cisco 800.

Esos reinicios constantes de la fase 1, no me parecen normales, aunque cuando suceden y estas dentro del router, no se nota nada.

He pedido el show log del router cisco 800 a ver si me da alguna pista mas

New Member

Error MM_NO_STATE

Adjunto el log que me ha mandado. Por lo que puedo interpretar, hay problemas con el tunel, pero no se identificar donde puede estar el origen. ¿Quien la pre-shared-key?. Ya la cambie, y los problemas eran los mismos.

20221404#show log
Syslog logging: enabled (1 messages dropped, 1 messages rate-limited,
6 flushes, 0 overruns, xml disabled, filtering disabled)
Console logging: level debugging, 1873445 messages logged, xml disabled,
filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,
filtering disabled
Buffer logging: level debugging, 1873398 messages logged, xml disabled,
filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled

No active filter modules.

Trap logging: level informational, 28 message lines logged

Log Buffer (4096 bytes):
.996: ISAKMP: SA life duration (basic) of 28800
*Mar 22 20:11:13.996: ISAKMP: SA life type in kilobytes
*Mar 22 20:11:13.996: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
*Mar 22 20:11:13.996: ISAKMP: encaps is 61443 (Tunnel-UDP)
*Mar 22 20:11:13.996: ISAKMP: authenticator is HMAC-SHA
*Mar 22 20:11:13.996: ISAKMP:(2074):atts are acceptable.
*Mar 22 20:11:13.996: IPSEC(validate_proposal_request): proposal part #1
*Mar 22 20:11:13.996: IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) INBOUND local= ,, remote= ,
local_proxy= 172.20.44.0/255.255.254.0/0/0 (type=4),
remote_proxy= 172.20.22.0/255.255.254.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel-UDP),
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
*Mar 22 20:11:14.000: Crypto mapdb : proxy_match
src addr : 172.20.44.0
dst addr : 172.20.22.0
protocol : 0
src port : 0
dst port : 0
*Mar 22 20:11:14.000: Crypto mapdb : proxy_match
src addr : 172.20.44.0
dst addr : 172.20.22.0
protocol : 0
src port : 0
dst port : 0
*Mar 22 20:11:14.000: Crypto mapdb : proxy_match
src addr : 172.20.44.0
dst addr : 172.20.22.0
protocol : 0
src port : 0
dst port : 0
*Mar 22 20:11:14.000: Crypto mapdb : proxy_match
src addr : 172.20.44.0
dst addr : 172.20.22.0
protocol : 0
src port : 0
dst port : 0
*Mar 22 20:11:14.000: Crypto mapdb : proxy_match
src addr : 172.20.44.0
dst addr : 172.20.22.0
protocol : 0
src port : 0
dst port : 0
*Mar 22 20:11:14.000: Crypto mapdb : proxy_match
src addr : 172.20.44.0
dst addr : 172.20.22.0
protocol : 0
src port : 0
dst port : 0
*Mar 22 20:11:14.000: Crypto mapdb : proxy_match
src addr : 172.20.44.0
dst addr : 172.20.22.0
protocol : 0
src port : 0
dst port : 0
*Mar 22 20:11:14.000: Crypto mapdb : proxy_match
src addr : 172.20.44.0
dst addr : 172.20.22.0
protocol : 0
src port : 0
dst port : 0
*Mar 22 20:11:14.000: map_db_find_best did not find matching map
*Mar 22 20:11:14.000: IPSEC(crypto_ipsec_process_proposal): proxy identities not
supported
*Mar 22 20:11:14.000: ISAKMP:(2074): IPSec policy invalidated proposal with erro
r 32
*Mar 22 20:11:14.000: ISAKMP:(2074): phase 2 SA policy not acceptable! (local , remote , )
*Mar 22 20:11:14.000: ISAKMP: set new node -1175450215 to QM_IDLE
*Mar 22 20:11:14.000: ISAKMP:(2074):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol
3
spi 2192616824, message ID = -1175450215
*Mar 22 20:11:14.000: ISAKMP:(2074): sending packet to , my_port 450
0 peer_port 5378 (R) QM_IDLE
*Mar 22 20:11:14.004: ISAKMP:(2074):purging node -1175450215
*Mar 22 20:11:14.004: ISAKMP:(2074):deleting node -2081616176 error TRUE reason
"QM rejected"
*Mar 22 20:11:14.004: ISAKMP:(2074):Node -2081616176, Input = IKE_MESG_FROM_PEER
, IKE_QM_EXCH
*Mar 22 20:11:14.004: ISAKMP:(2074):Old State = IKE_QM_READY New State = IKE_QM
_READY
*Mar 22 20:11:21.992: ISAKMP (0:2074): received packet from , dport
4500 sport 5378 Global (R) QM_IDLE
*Mar 22 20:11:21.992: ISAKMP:(2074): phase 2 packet is a duplicate of a previous
packet.
*Mar 22 20:11:21.992: ISAKMP:(2074): retransmitting due to retransmit phase 2
*Mar 22 20:11:21.992: ISAKMP:(2074): ignoring retransmission,because phase2 node
marked dead -2081616176
*Mar 22 20:11:25.980: ISAKMP:(2072):purging node 1202106466
*Mar 22 20:11:25.980: ISAKMP:(2072):purging node -1474293630
*Mar 22 20:11:25.980: ISAKMP:(2072):purging node -384789228
*Mar 22 20:11:29.992: ISAKMP (0:2074): received packet from , dport
4500 sport 5378 Global (R) QM_IDLE
*Mar 22 20:11:29.992: ISAKMP:(2074): phase 2 packet is a duplicate of a previous
packet.
*Mar 22 20:11:29.992: ISAKMP:(2074): retransmitting due to retransmit phase 2
*Mar 22 20:11:29.992: ISAKMP:(2074): ignoring retransmission,because phase2 node
marked dead -2081616176
20221404#
20221404#
20221404#show clock
*20:11:49.364 UTC Fri Mar 22 2002
20221404#

Error MM_NO_STATE

En el log vi este error: IPSec policy invalidated proposal with error 32, lo busque y encontre este enlace, esta en ingles, https://supportforums.cisco.com/docs/DOC-14308

Espero sirva, saludos.

Error MM_NO_STATE

dice clarito estimado.

: phase 2 SA policy not acceptable!

seguro que la Security association de la fase 2 fué cambiada en el ASA, tambien veo que no hay trafico entre los 2 peers, por lo que es probable que no existe la SA de fase 2 .

avisa si sigue tu problema y con gusto te apoyo.

saludos cordiales

had a great day . best regards, and rate if you'll find this post useful
401
Visitas
0
ÚTIL
8
Respuestas