cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
Community Member

Problema con una VPN, error failed anti-replay checking....

Buenas tengo este error en un ASA el problema es que elimina la VPN, tal vez alguien me pueda ayudar...

 

IPSEC: Received an ESP packet (SPI= 0x34452C35, sequence number= 0x6) from 200.6.213.172 (user= 200.6.213.172) to 200.49.160.170 that failed anti-replay checking.

 

De nuestro lado tengo un Cisco ASA 5550, Cisco Adaptive Security Appliance Software Version 9.1(2) Device Manager Version 7.1(3) Del lado de ellos es un Fortigate 800

 

Yo encontre el siguiente ejemplo, pero no me funcionan esos comandos, aunque desde el ASDM puedo cambiar el window-size pero afecta a todos los crypto maps

 

Configuring IPsec Anti-Replay Window Expanding and Disablingon a Crypto Map To configure IPsec Anti-Replay Window: Expanding and Disabling on a crypto map so that it affects those SAs that have been created using a specific crypto map or profile, perform the following steps.

 

SUMMARY STEPS

1. enable

2. configure terminal

3. crypto map map-name seq-num [ipsec-isakmp] Router (config)

# crypto map ETHO 17 ipsec-isakmp 4. set security-association replay window-size [ N ] Router (crypto-map)

# set security-association replay window-size 128 5. set security-association replay disable Router (crypto-map)

# set security-association replay disable

 

 

Quiero modificarlo pero sin que me afecte a todos los crypto maps.. Saludos

Etiquetas (1)
2 RESPUESTAS
Cisco Employee

 Hola Raul,Cuando se coloca

 

Hola Raul,

Cuando se coloca el comando de "set security-association replay" dentro del crypto map, solamente afecta a ese crypto.

 

Saludos,

 

Itzcoatl

Cisco Employee

Hola Raul,El log que observas

Hola Raul,

El log que observas puede ser producto de un re-ordenamiento de paquetes en el medio de transmision entre los dos endpoints del VPN.  SI deseas incrementar el Window Size para asi evitar el problema como te comentó Itzcoatl podes usar el "set security-association replay" ya sea global para todos tus tuneles o dentro de un crypto-map en especifico y asi no cambiarlo para todos en general sin embargo en un ASA solo tenemos el comando global:

"crypto ipsec security-association replay window-size X"

-Gustavo

 

 

 

140
Visitas
0
ÚTIL
2
Respuestas
CrearPor favor para crear contenido