forum.opennet.ru - "Траблы с VPN" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Траблы с VPN"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Траблы с VPN"	+/–
Сообщение от merko (ok) on 01-Сен-10, 16:17
Всем привет! Люди, подскажите в чем траблы Есть 2801 в головном офисе и есть много 851 в разных точках города, между которыми установлены VPN (VPN между точкой и ГО). На тех которые подключаются через DSL модемы проблем нет. А одна 851-я подключается через CDMA модем, и VPN на ней судя по всему постоянно падает и поднимается. Соответственно отсюда траблы в работе сети. Хотя лампочка VPN на циске горит постоянно. В логах вот такие сообщения: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=89.205.36.YY, prot=51, spi=0x1EF4C05C(519356508), srcaddr=195.46.12.XX %CRYPTO-4-IKMP_NO_SA: IKE message from 195.46.12.XX has no SA and is not an initialization offer Заранее благодарю!
Ответить \| Правка \| Cообщить модератору

Оглавление

Траблы с VPN, Николай, 16:33 , 01-Сен-10, (1)

Траблы с VPN, merko, 16:37 , 01-Сен-10, (2)

Траблы с VPN, AlexDv, 17:54 , 01-Сен-10, (3)

Траблы с VPN, merko, 18:08 , 01-Сен-10, (4)

Траблы с VPN, merko, 04:28 , 02-Сен-10, (5)

Траблы с VPN, merko, 04:30 , 02-Сен-10, (6)

Траблы с VPN, merko, 16:34 , 02-Сен-10, (7)

Траблы с VPN, merko, 09:53 , 03-Сен-10, (8)

Траблы с VPN, Nikita, 19:19 , 17-Фев-11, (9)

Траблы с VPN, Andrey, 15:37 , 29-Янв-13, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "Траблы с VPN" +/–

Сообщение от Николай (??) on 01-Сен-10, 16:33

>[оверквотинг удален]
>
>В логах вот такие сообщения:
>
>%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=89.205.36.YY, prot=51, spi=0x1EF4C05C(519356508),
>srcaddr=195.46.12.XX
>
>%CRYPTO-4-IKMP_NO_SA: IKE message from 195.46.12.XX has no SA and is not an
>initialization offer
>
>Заранее благодарю!
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо быстрее

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Траблы с VPN" +/–

Сообщение от merko (ok) on 01-Сен-10, 16:37

>crypto isakmp invalid-spi-recovery
>crypto isakmp keepalive 10
>
>Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо
>быстрее
реинициализация ВПН соединения проходит и так достаточно быстро.
интересно бы выяснить как раз причину падения VPN...
какие могут быть возможные причины?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Траблы с VPN" +/–

Сообщение от AlexDv (??) on 01-Сен-10, 17:54

>>crypto isakmp invalid-spi-recovery
>>crypto isakmp keepalive 10
>>
>>Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо
>>быстрее
>
>реинициализация ВПН соединения проходит и так достаточно быстро.
>интересно бы выяснить как раз причину падения VPN...
>какие могут быть возможные причины?
Скайлинк что-ли? Рвется сессия (сама, по причине плохой связи или операторм, по таймауту),
модему выдается новый ИП-адрес, вот ИПСЕК и ругается.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Траблы с VPN" +/–

Сообщение от merko (ok) on 01-Сен-10, 18:08

>Скайлинк что-ли? Рвется сессия (сама, по причине плохой связи или операторм, по
>таймауту),
>модему выдается новый ИП-адрес, вот ИПСЕК и ругается.
Связь с провайдером стабильная. IP статический.
Падает и поднимается только VPN ipsec.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Траблы с VPN" +/–

Сообщение от merko (ok) on 02-Сен-10, 04:28

Еще  заметил,  что  ночью  VPN  работает более менее стабильно, но как
начинается рабочий день (после 8-ми утра) сообщения в логах появляются
на глазах. И VPN постоянно переподключается.
Liftime 1 и 2 фаз с обоих сторон одинаковые.
Пробовал добавлять:
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10 periodic
Ситуация не меняется...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Траблы с VPN" +/–

Сообщение от merko (ok) on 02-Сен-10, 04:30

#sh crypto engine connections active
Crypto Engine Connections
   ID Interface  Type  Algorithm           Encrypt  Decrypt IP-Address
  853 Di1        IPsec SHA+3DES+SHA              0        6 89.207.361.YY
  854 Di1        IPsec SHA+3DES+SHA              2        0 89.207.361.YY
  2881 Di1        IKE   SHA+3DES                 0        0 89.207.361.YY

Смотрю сессию два раза подряд:
Router#sh crypto session
Crypto session current status
Interface: Virtual-Access1
Session status: DOWN
Peer: 195.46.12.XX port 500
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 0, origin: crypto map
Interface: Dialer1
Session status: DOWN
Peer: 195.46.12.XX port 500
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 0, origin: crypto map
Router#sh crypto session
Crypto session current status
Interface: Virtual-Access1
Session status: DOWN
Peer: 195.46.12.XX port 500
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 0, origin: crypto map
Interface: Dialer1
Session status: UP-ACTIVE
Peer: 195.46.12.XX port 500
  IKE SA: local 89.207.361.YY/500 remote 195.46.12.XX/500 Active
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 4, origin: crypto map

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Траблы с VPN" +/–

Сообщение от merko (ok) on 02-Сен-10, 16:34

В общем вчера и сегодня мониторил. VPN постоянно переподключается с 8:10 утра и до 17:30 вечера. Ночью все спокойно.
Мистика какая-то прям.
Есть у кого-нибудь какие-нибудь мысли?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Траблы с VPN" +/–

Сообщение от merko (ok) on 03-Сен-10, 09:53

UP
Ну что? Нет идей?
Остается грешить на качество связи с провайдером. Может быть что-то включают рядом, что создает помехи...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Траблы с VPN" +/–

Сообщение от Nikita (??) on 17-Фев-11, 19:19

> UP
> Ну что? Нет идей?
> Остается грешить на качество связи с провайдером. Может быть что-то включают рядом,
> что создает помехи...
Господа, прошу прощения за некропостинг, но может, кому-нибудь поможет? У меня была та же фигня, пока на обоих роутерах не выставил правильное время. До этого время различалось на 3 часа и сообщения типа
*Feb 17 16:05:13.850: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha^s invalid spi for destaddr=x.x.x.x, prot=17, spi=0x494A8E72(1229622898), srcaddr=y.y.y.y
сыпались каждую минуту.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Траблы с VPN" +/–

Сообщение от Andrey (??) on 29-Янв-13, 15:37

>> UP
>> Ну что? Нет идей?
>> Остается грешить на качество связи с провайдером. Может быть что-то включают рядом,
>> что создает помехи...
> Господа, прошу прощения за некропостинг, но может, кому-нибудь поможет? У меня была
> та же фигня, пока на обоих роутерах не выставил правильное время.
> До этого время различалось на 3 часа и сообщения типа
> *Feb 17 16:05:13.850: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha^s invalid
> spi for destaddr=x.x.x.x, prot=17, spi=0x494A8E72(1229622898), srcaddr=y.y.y.y
> сыпались каждую минуту.
Некроспасибо! Помогло в решении проблемы.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Траблы с VPN"	+/–
Сообщение от Николай (??) on 01-Сен-10, 16:33
>[оверквотинг удален] > >В логах вот такие сообщения: > >%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=89.205.36.YY, prot=51, spi=0x1EF4C05C(519356508), >srcaddr=195.46.12.XX > >%CRYPTO-4-IKMP_NO_SA: IKE message from 195.46.12.XX has no SA and is not an >initialization offer > >Заранее благодарю! crypto isakmp invalid-spi-recovery crypto isakmp keepalive 10 Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо быстрее
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Траблы с VPN"	+/–
	Сообщение от merko (ok) on 01-Сен-10, 16:37
	>crypto isakmp invalid-spi-recovery >crypto isakmp keepalive 10 > >Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо >быстрее реинициализация ВПН соединения проходит и так достаточно быстро. интересно бы выяснить как раз причину падения VPN... какие могут быть возможные причины?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Траблы с VPN"	+/–
	Сообщение от AlexDv (??) on 01-Сен-10, 17:54
	>>crypto isakmp invalid-spi-recovery >>crypto isakmp keepalive 10 >> >>Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо >>быстрее > >реинициализация ВПН соединения проходит и так достаточно быстро. >интересно бы выяснить как раз причину падения VPN... >какие могут быть возможные причины? Скайлинк что-ли? Рвется сессия (сама, по причине плохой связи или операторм, по таймауту), модему выдается новый ИП-адрес, вот ИПСЕК и ругается.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Траблы с VPN"	+/–
	Сообщение от merko (ok) on 01-Сен-10, 18:08
	>Скайлинк что-ли? Рвется сессия (сама, по причине плохой связи или операторм, по >таймауту), >модему выдается новый ИП-адрес, вот ИПСЕК и ругается. Связь с провайдером стабильная. IP статический. Падает и поднимается только VPN ipsec.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Траблы с VPN"	+/–
	Сообщение от merko (ok) on 02-Сен-10, 04:28
	Еще заметил, что ночью VPN работает более менее стабильно, но как начинается рабочий день (после 8-ми утра) сообщения в логах появляются на глазах. И VPN постоянно переподключается. Liftime 1 и 2 фаз с обоих сторон одинаковые. Пробовал добавлять: crypto isakmp invalid-spi-recovery crypto isakmp keepalive 10 periodic Ситуация не меняется...
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Траблы с VPN"	+/–
	Сообщение от merko (ok) on 02-Сен-10, 04:30
	#sh crypto engine connections active Crypto Engine Connections ID Interface Type Algorithm Encrypt Decrypt IP-Address 853 Di1 IPsec SHA+3DES+SHA 0 6 89.207.361.YY 854 Di1 IPsec SHA+3DES+SHA 2 0 89.207.361.YY 2881 Di1 IKE SHA+3DES 0 0 89.207.361.YY Смотрю сессию два раза подряд: Router#sh crypto session Crypto session current status Interface: Virtual-Access1 Session status: DOWN Peer: 195.46.12.XX port 500 IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX Active SAs: 0, origin: crypto map Interface: Dialer1 Session status: DOWN Peer: 195.46.12.XX port 500 IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX Active SAs: 0, origin: crypto map Router#sh crypto session Crypto session current status Interface: Virtual-Access1 Session status: DOWN Peer: 195.46.12.XX port 500 IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX Active SAs: 0, origin: crypto map Interface: Dialer1 Session status: UP-ACTIVE Peer: 195.46.12.XX port 500 IKE SA: local 89.207.361.YY/500 remote 195.46.12.XX/500 Active IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX Active SAs: 4, origin: crypto map
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Траблы с VPN"	+/–
	Сообщение от merko (ok) on 02-Сен-10, 16:34
	В общем вчера и сегодня мониторил. VPN постоянно переподключается с 8:10 утра и до 17:30 вечера. Ночью все спокойно. Мистика какая-то прям. Есть у кого-нибудь какие-нибудь мысли?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Траблы с VPN"	+/–
	Сообщение от merko (ok) on 03-Сен-10, 09:53
	UP Ну что? Нет идей? Остается грешить на качество связи с провайдером. Может быть что-то включают рядом, что создает помехи...
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Траблы с VPN"	+/–
	Сообщение от Nikita (??) on 17-Фев-11, 19:19
	> UP > Ну что? Нет идей? > Остается грешить на качество связи с провайдером. Может быть что-то включают рядом, > что создает помехи... Господа, прошу прощения за некропостинг, но может, кому-нибудь поможет? У меня была та же фигня, пока на обоих роутерах не выставил правильное время. До этого время различалось на 3 часа и сообщения типа *Feb 17 16:05:13.850: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha^s invalid spi for destaddr=x.x.x.x, prot=17, spi=0x494A8E72(1229622898), srcaddr=y.y.y.y сыпались каждую минуту.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Траблы с VPN"	+/–
	Сообщение от Andrey (??) on 29-Янв-13, 15:37
	>> UP >> Ну что? Нет идей? >> Остается грешить на качество связи с провайдером. Может быть что-то включают рядом, >> что создает помехи... > Господа, прошу прощения за некропостинг, но может, кому-нибудь поможет? У меня была > та же фигня, пока на обоих роутерах не выставил правильное время. > До этого время различалось на 3 часа и сообщения типа > *Feb 17 16:05:13.850: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha^s invalid > spi for destaddr=x.x.x.x, prot=17, spi=0x494A8E72(1229622898), srcaddr=y.y.y.y > сыпались каждую минуту. Некроспасибо! Помогло в решении проблемы.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору