The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Траблы с VPN"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Траблы с VPN"  +/
Сообщение от merko (ok) on 01-Сен-10, 16:17 
Всем привет!
Люди, подскажите в чем траблы

Есть 2801 в головном офисе и есть много 851 в разных точках города, между которыми установлены VPN (VPN между точкой и ГО).
На тех которые подключаются через DSL модемы проблем нет. А одна 851-я подключается через CDMA модем, и VPN на ней судя по всему постоянно падает и поднимается. Соответственно отсюда траблы в работе сети. Хотя лампочка VPN на циске горит постоянно.

В логах вот такие сообщения:

%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=89.205.36.YY, prot=51, spi=0x1EF4C05C(519356508), srcaddr=195.46.12.XX

%CRYPTO-4-IKMP_NO_SA: IKE message from 195.46.12.XX has no SA and is not an initialization offer

Заранее благодарю!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Траблы с VPN"  +/
Сообщение от Николай (??) on 01-Сен-10, 16:33 
>[оверквотинг удален]
>
>В логах вот такие сообщения:
>
>%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=89.205.36.YY, prot=51, spi=0x1EF4C05C(519356508),
>srcaddr=195.46.12.XX
>
>%CRYPTO-4-IKMP_NO_SA: IKE message from 195.46.12.XX has no SA and is not an
>initialization offer
>
>Заранее благодарю!

crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10

Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо быстрее

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Траблы с VPN"  +/
Сообщение от merko (ok) on 01-Сен-10, 16:37 
>crypto isakmp invalid-spi-recovery
>crypto isakmp keepalive 10
>
>Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо
>быстрее

реинициализация ВПН соединения проходит и так достаточно быстро.
интересно бы выяснить как раз причину падения VPN...
какие могут быть возможные причины?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Траблы с VPN"  +/
Сообщение от AlexDv (??) on 01-Сен-10, 17:54 
>>crypto isakmp invalid-spi-recovery
>>crypto isakmp keepalive 10
>>
>>Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо
>>быстрее
>
>реинициализация ВПН соединения проходит и так достаточно быстро.
>интересно бы выяснить как раз причину падения VPN...
>какие могут быть возможные причины?

Скайлинк что-ли? Рвется сессия (сама, по причине плохой связи или операторм, по таймауту),
модему выдается новый ИП-адрес, вот ИПСЕК и ругается.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Траблы с VPN"  +/
Сообщение от merko (ok) on 01-Сен-10, 18:08 
>Скайлинк что-ли? Рвется сессия (сама, по причине плохой связи или операторм, по
>таймауту),
>модему выдается новый ИП-адрес, вот ИПСЕК и ругается.

Связь с провайдером стабильная. IP статический.
Падает и поднимается только VPN ipsec.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Траблы с VPN"  +/
Сообщение от merko (ok) on 02-Сен-10, 04:28 
Еще  заметил,  что  ночью  VPN  работает более менее стабильно, но как
начинается рабочий день (после 8-ми утра) сообщения в логах появляются
на глазах. И VPN постоянно переподключается.

Liftime 1 и 2 фаз с обоих сторон одинаковые.
Пробовал добавлять:
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10 periodic
Ситуация не меняется...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Траблы с VPN"  +/
Сообщение от merko (ok) on 02-Сен-10, 04:30 
#sh crypto engine connections active
Crypto Engine Connections

   ID Interface  Type  Algorithm           Encrypt  Decrypt IP-Address
  853 Di1        IPsec SHA+3DES+SHA              0        6 89.207.361.YY
  854 Di1        IPsec SHA+3DES+SHA              2        0 89.207.361.YY
  2881 Di1        IKE   SHA+3DES                 0        0 89.207.361.YY


Смотрю сессию два раза подряд:

Router#sh crypto session
Crypto session current status

Interface: Virtual-Access1
Session status: DOWN
Peer: 195.46.12.XX port 500
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 0, origin: crypto map

Interface: Dialer1
Session status: DOWN
Peer: 195.46.12.XX port 500
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 0, origin: crypto map

Router#sh crypto session
Crypto session current status

Interface: Virtual-Access1
Session status: DOWN
Peer: 195.46.12.XX port 500
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 0, origin: crypto map

Interface: Dialer1
Session status: UP-ACTIVE
Peer: 195.46.12.XX port 500
  IKE SA: local 89.207.361.YY/500 remote 195.46.12.XX/500 Active
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 4, origin: crypto map

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Траблы с VPN"  +/
Сообщение от merko (ok) on 02-Сен-10, 16:34 
В общем вчера и сегодня мониторил. VPN постоянно переподключается с 8:10 утра и до 17:30 вечера. Ночью все спокойно.
Мистика какая-то прям.
Есть у кого-нибудь какие-нибудь мысли?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Траблы с VPN"  +/
Сообщение от merko (ok) on 03-Сен-10, 09:53 
UP
Ну что? Нет идей?
Остается грешить на качество связи с провайдером. Может быть что-то включают рядом, что создает помехи...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Траблы с VPN"  +/
Сообщение от Nikita (??) on 17-Фев-11, 19:19 
> UP
> Ну что? Нет идей?
> Остается грешить на качество связи с провайдером. Может быть что-то включают рядом,
> что создает помехи...

Господа, прошу прощения за некропостинг, но может, кому-нибудь поможет? У меня была та же фигня, пока на обоих роутерах не выставил правильное время. До этого время различалось на 3 часа и сообщения типа
*Feb 17 16:05:13.850: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha^s invalid spi for destaddr=x.x.x.x, prot=17, spi=0x494A8E72(1229622898), srcaddr=y.y.y.y
сыпались каждую минуту.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Траблы с VPN"  +/
Сообщение от Andrey (??) on 29-Янв-13, 15:37 
>> UP
>> Ну что? Нет идей?
>> Остается грешить на качество связи с провайдером. Может быть что-то включают рядом,
>> что создает помехи...
> Господа, прошу прощения за некропостинг, но может, кому-нибудь поможет? У меня была
> та же фигня, пока на обоих роутерах не выставил правильное время.
> До этого время различалось на 3 часа и сообщения типа
> *Feb 17 16:05:13.850: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha^s invalid
> spi for destaddr=x.x.x.x, prot=17, spi=0x494A8E72(1229622898), srcaddr=y.y.y.y
> сыпались каждую минуту.

Некроспасибо! Помогло в решении проблемы.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру