Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Устранение наиболее распространенных проблем удаленных VPN-подключений и VPN-туннелей LAN — LAN на базе протокола IPSec

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (7 апреля 2008) | Английский (12 ноября 2015) | Отзыв


Содержание


Введение

В этом документе описываются стандартные решения проблем VPN-подключений на базе протокола IPsec. Эти решения были разработаны непосредственно в ходе выполнения запросов на обслуживание, полученных и обработанных службой технической поддержки Cisco. Многие из этих решений могут быть реализованы до выполнения детальной диагностики VPN-соединения IPsec. В результате этот документ предоставляет чек-листа общих процедур для попытки, прежде чем вы начнете устранять неполадки техническая поддержка Cisco вызова и соединение.

Если необходимы документы с примерами для VPN типа "сеть-сеть" и VPN удаленного доступа, см. разделы VPN-подключения удаленного доступа, VPN-туннели "сеть-сеть" (ЛВС-ЛВС) на базе PIX, VPN-туннели "сеть-сеть" (ЛВС-ЛВС) на базе ПО IOS) и VPN-туннели "сеть-сеть" (ЛВС-ЛВС) на базе VPN3000 документа Примеры и технические примечания к настройке.

Примечание: Даже при том, что примеры конфигурации в этом документе для использования на маршрутизаторах и устройствах безопасности, почти все эти понятия также применимы к концентратору VPN 3000.

Примечание: Обратитесь к Устранению проблем системы безопасности IP - Понимание и Использование команд отладки предоставить объяснение распространенных команд отладки команды отладки, которые используются для решения проблем IPSec и на Cisco программное обеспечение IOS� и на PIX.

Примечание: ASA/PIX не передаст многоадресный трафик по VPN-туннелям IPSec.

Примечание: Любые команды, используемые в этом документе, можно найти с помощью средства поиска команд Command Lookup(только для зарегистрированных клиентов).

warningПредупреждение: Использование многих решений, представленных в настоящем документе, может привести к временной потере возможности VPN-подключения IPsec на устройстве. При применении этих решений рекомендуется соблюдать осторожность и требования политики контроля изменений.

Предварительные условия

Требования

Cisco рекомендует ознакомиться с конфигурацией IPSec VPN на этих устройствах Сisco:

  • Устройства защиты Cisco PIX серии 500

  • Устройства защиты Cisco ASA серии 5500

  • Маршрутизаторы Cisco IOS

  • Концентраторы Cisco VPN серии 3000 (Необязательно)

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Устройства защиты Cisco ASA серии 5500

  • Устройства защиты Cisco PIX серии 500

  • Cisco IOS

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Конфигурация IPSec VPN не работает

Проблема

Недавно настроенное или модифицированное решение для IPSec VPN не работает.

Текущая конфигурация IPSec VPN больше не работает.

Решения

Этот раздел содержит решения наиболее распространенных проблем IPSec VPN. Хотя порядок, в котором перечислены решения, не имеет особого значения, список можно использовать в качестве контрольного списка для проверки или тестирования до выполнения детальной диагностики и вызова TAC. Все эти решения получены в процессе обработки запросов к службе TAC и использовались для устранения неполадок на стороне клиентов.

Примечание: Некоторые из этих команд были перемещены на вторую строку из-за нехватки пространства.

Включите прохождение NAT (#1 вопрос сетей VPN RA)

Прохождение NAT или NAT-T позволяют трафику VPN проходить через NAT или устройства PAT, такие как Маршрутизатор Soho Linksys. Если функция NAT-T не включена, часто возникает видимость стабильного подключения VPN-клиентов к PIX или ASA, однако при этом они не могут получить доступ к внутренней сети за устройством защиты.

Если вы не включаете NAT-T в Устройстве NAT/PAT, можно получить сообщение об ошибках regular translation creation failed for protocol 50 src inside:10.0.1.26 dst outside:10.9.69.4 в PIX/ASA.

Точно так же, если вы неспособны сделать одновременный вход в систему от того же IP-адреса, сообщение об ошибках Secure VPN connection terminated locally by client. Reason 412: The remote peer is no longer responding. появляется. Включите NAT-T в устройстве VPN головного узла для решения этой ошибки.

Примечание: С Cisco IOS Software Release 12.2 (13) T и позднее NAT-T включен по умолчанию в Cisco IOS.

Вот команда для включения NAT-T на Cisco Security Appliance. 20 в данном примере являются временем поддержки активности (по умолчанию).

PIX/ASA 7.1 и ранее

pix(config)#isakmp nat-traversal 20

PIX/ASA 7.2 (1) и последующие версии

securityappliance(config)#crypto isakmp nat-traversal 20

Клиенты должны модифицироваться также для него для работы.

В Cisco VPN Client выберите к Соединениям и нажмите Modify. Это открывает новое окно, где необходимо выбрать Вкладку Передача. Под этой вкладкой предпочтите Enable Transparent Tunneling и IPSec по кнопке с зависимой фиксацией UDP (NAT / PAT). Затем нажмите Save и протестируйте соединение.

Примечание: Эта команда является тем же и для PIX 6.x и для PIX/ASA 7. x .

Примечание: Важно позволить UDP 4500 для NAT-T, UDP 500 и ESP портов конфигурацией ACL, потому что PIX/ASA действует как устройство NAT. Обратитесь к Настройке Туннель IPSec через Межсетевой экран с NAT для получения дополнительной информации для узнавания больше о конфигурации списков управления доступом (ACL) в PIX/ASA.

VPN-концентратор

Выберите Configuration> Tunneling и Security> IPSEC> NAT Transparency> Enable: IPSec по NAT-T для включения NAT-T на Концентраторе VPN.

Примечание: NAT-T также позволяет множественным клиентам VPN для соединения через устройство PAT в то же время к любому головному узлу, является ли это PIX, Маршрутизатором или Концентратором.

Тестовое подключение должным образом

При идеальных условиях возможность VPN-подключения тестируется с устройств за оконечными точками, выполняющих шифрование. При этом многие пользователи могут проверить возможность VPN-подключения, выполнив команду ping на устройствах, выполняющих шифрование. Команда ping вполне подходит для выполнения этой задачи, однако важно отправить эту команду с соответствующего интерфейса. Если источник ping выбран неправильно, может отобразиться сбой VPN-подключения, тогда как в действительности подключение было успешно установлено. Рассмотрим для примера следующий вариант:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble-1.gif

Маршрутизатор A с ACL шифрования

access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255

Маршрутизатор B с ACL шифрования

access-list 110 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255

В этой ситуации эхо-запрос должен быть получен от "внутренней" сети позади любого маршрутизатора. Причина в том, что ACL шифрования настроены только для шифрования трафика с использованием этих исходных адресов. Команда ping, отправленная с внешнего интерфейса (со стороны Интернета) одного из маршрутизаторов, не шифруется. Используйте расширенные опции команды ping в привилегированном режиме EXEC для определения источника эхо-запроса от "внутреннего" интерфейса маршрутизатора:

routerA#ping
Protocol [ip]:
Target IP address: 192.168.200.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.100.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.100.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = �/4 ms

Представьте, что маршрутизаторы на этой схеме заменили устройствами защиты PIX или ASA. Эхо-запрос, используемый для тестирования подключения, может также быть получен от внутреннего интерфейса с внутренним ключевым словом:

securityappliance#ping inside 192.168.200.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Примечание: Не рекомендуется выбирать внутренний интерфейс устройства защиты в качестве целевого объекта команды ping. Если необходимо выбрать внутренний интерфейс в качестве целевого объекта команды ping, необходимо включить management-access для этого интерфейса, иначе устройство не сможет ответить.

securityappliance(config)#management-access inside

Примечание: Когда проблема существует с подключением, даже фаза 1 VPN не подходит. На ASA, если подключение отказывает, выходные данные SA подобны данному примеру, который указывает возможно на неправильную конфигурацию криптографического однорангового узла и/или неправильную конфигурацию Предложения ISAKMP:

Router#show crypto isakmp sa

1   IKE Peer: XX.XX.XX.XX
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_WAIT_MSG2

Примечание: Состояние могло быть от MM_WAIT_MSG2 до MM_WAIT_MSG5, который обозначает сбой заинтересованного государственного обмена в основном режиме (MM).

Примечание: Выходные данные Crypto SA, когда фаза 1 произошла, подобны данному примеру:

Router#show crypto isakmp sa

1   IKE Peer: XX.XX.XX.XX
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

Включение ISAKMP

Если отсутствует указание на использование VPN-туннеля IPsec, причина может заключаться в том, что ISAKMP не был активирован. Убедитесь, что вы включили ISAKMP на устройствах. Используйте одну из этих команд, чтобы включить на устройствах поддержку ISAKMP:

  • Cisco IOS

    router(config)#crypto isakmp enable
    
  • Cisco PIX 7.1 и более ранние версии (замените outside на необходимый интерфейс)

    pix(config)#isakmp enable outside
    
  • Cisco PIX/ASA 7.2(1) и более поздние версии (замените outside на необходимый интерфейс)

    securityappliance(config)#crypto isakmp enable outside
    

Можно также получить эту ошибку при включении ISAKMP на внешнем интерфейсе:

UDP: ERROR - socket <unknown> 62465 in used
ERROR: IkeReceiverInit, unable to bind to port

Причина ошибки может состоять в том, что Клиент позади ASA/ПИ получает PAT'd к порту udp 500, прежде чем isakmp сможет быть включен на интерфейсе. Как только та трансляция PAT удалена (clear xlate), isakmp в состоянии быть включенным.

Примечание: Всегда удостоверяйтесь, что UDP 500 и 4500 номеров портов зарезервированы для согласования соединений ISAKMP с узлом.

Примечание: Когда ISAKMP не включен на интерфейсе, клиент VPN показывает сообщение об ошибках, подобное этому сообщению:

Secure VPN connection terminated locally by client. 
Reason 412: The remote peer is no longer responding

Примечание: Для решения этой ошибки включите ISAKMP на крипто-интерфейсе Шлюза VPN.

Включение/отключение безопасной пересылки (PFS)

При согласовании IPsec безопасная пересылка (PFS) позволяет гарантировать отсутствие связи нового ключа шифрования со всеми предыдущими ключами. Или включите или отключите безопасную пересылку (PFS) на обоих равноправные пользователи туннеля; в противном случае LAN-LAN (L2L) Туннель IPSec не установлен в PIX/ASA/МАРШРУТИЗАТОРЕ IOS.

PIX/ASA:

По умолчанию безопасная пересылка (PFS)отключена. Для включения PFS используйте команду pfs с ключевым словом enable в режиме настройки групповой политики. Чтобы отключить PFS, введите ключевое слово disable.

hostname(config-group-policy)#pfs {enable | disable}

Чтобы удалить атрибут PFS из текущей конфигурации, введите эту команду с ключом no. Групповая политика может наследовать значение для безопасной пересылки (PFS) от другой групповой политики. Введите эту команду с ключом no, чтобы предотвратить наследование значения.

hostname(config-group-policy)#no pfs 

Маршрутизатор IOS:

Чтобы указать, что протокол IPsec должен запрашивать PFS при запросе новых сопоставлений безопасности для текущей записи криптокарты либо что IPsec должен запрашивать PFS при получении запросов на новые сопоставления безопасности, используйте команду set pfs в режиме настройки криптокарты. Если необходимо, чтобы IPsec не запрашивал PFS, используйте эту команду с ключом "no". По умолчанию PFS не запрашивается. Если никакая группа не задана с этой командой, group1 используется в качестве по умолчанию.

set pfs [group1 | group2]
no set pfs 

Для команды set pfs:

  • group1 — указывает, что во время нового обмена ключами по схеме Диффи-Хеллмана следует использовать 768-битную группу Диффи-Хеллмана по простому модулю.

  • group2 — Указывает, что IPSec должен использовать 1024-разрядный Диффи-Хеллман главная группа модуля, когда выполнен новый Обмен Диффи-Хеллмана.

Пример:

Router(config)#crypto map map 10 ipsec-isakmp
Router(config-crypto-map)#set pfs group2

Примечание: Безопасная пересылка (Perfect Forward Secrecy, PFS) является составляющим собственность Cisco и не поддерживается на устройствах стороннего производителя.

Очистите старые или существующие сопоставления безопасности (туннели)

Если это сообщение об ошибках происходит в Маршрутизаторе IOS, проблема состоит в том, что SA или истек или был очищен. Удаленный туннель конечного устройства не распознает данные об использовании устаревшего SA для отправки пакета (не пакета создания SA ). Когда новый SA будет установлен, резюме связи, поэтому инициируйте представляющий интерес трафик по туннелю, чтобы создать новый SA и восстановить туннель.

%CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x  has no SA 

При очистке ISAKMP (Фаза I) и IPSec (Этап 2) сопоставления безопасности (SA) это является самым простым и часто лучшее решение решить проблемы IPSec VPN.

При очистке SA можно часто решать большое разнообразие сообщений об ошибках и странного поведения без потребности устранить неполадки. В то время как этот способ может легко использоваться в любой ситуации, это - почти всегда требование для очистки SA после того, как вы изменяетесь или добавляете к текущей конфигурации IPSec VPN. Более того, хотя поддерживается возможность очистки только определенного сопоставления безопасности, наибольшими преимуществами можно воспользоваться при глобальной очистке SA на устройстве.

Примечание: Как только Сопоставления безопасности были очищены, может быть необходимо передать трафик по туннелю для восстанавливания их.

warningПредупреждение: Пока вы не задаете, какие сопоставления безопасности очиститься, команды, перечисленные здесь, могут очистить все сопоставления безопасности на устройстве. Соблюдайте осторожность, если используются другие туннели IPsec VPN.

  1. До очистки сопоставлений безопасности их необходимо просмотреть

    1. Cisco IOS

      router#show crypto isakmp sa
      router#show crypto ipsec sa
      
    2. Cisco PIX/ASA Security Appliance

      securityappliance#show crypto isakmp sa
      securityappliance#show crypto ipsec sa
      

      Примечание: Для Cisco PIX 6.x и PIX/ASA 7.x используются эти же команды

  2. Очистка ассоциаций безопасности. Каждая команда может быть введена как показано полужирным или введена с вариантами, показавшими с ними.

    1. Cisco IOS

      1. ISAKMP (фаза I)

        router#clear crypto isakmp ?
          <0 - 32766>  connection id of SA
          <cr>
      2. IPSec (этап 2)

        router#clear crypto sa ?
          counters  Reset the SA counters
          map       Clear all SAs for a given crypto map
          peer      Clear all SAs for a given crypto peer
          spi       Clear SA by SPI
          <cr>
    2. Cisco PIX/ASA Security Appliance

      1. ISAKMP (фаза I)

        securityappliance#clear crypto isakmp sa
        
      2. IPSec (этап 2)

        security appliance#clear crypto ipsec sa ?
        
          counters  Clear IPsec SA counters
          entry     Clear IPsec SAs by entry
          map       Clear IPsec SAs by map
          peer      Clear IPsec SA by peer
          <cr>

Проверьте время существования ISAKMP

Если пользователи часто разъединяются по туннелю L2L, проблемой может быть меньший срок действия, настроенный в ISAKMP SA. Если какое-либо несоответствие происходит во времени существования ISAKMP, можно получить %PIX|ASA-5-713092: Группа = x. x . x . x, IP = x. x . x . x, Сбой во время смены ключа фазы 1 пытается из-за сообщения ошибки коллизии в PIX/ASA. Для FWSM можно получить сообщение об ошибках %FWSM-5-713092: Group = x.x.x.x, IP = x.x.x.x, Failure during phase 1 rekeying attempt due to collision. Настройте то же значение в обоих узлы для решения проблемы его.

По умолчанию составляет 86,400 секунд или 24 часа. Как правило более короткий срок действия предоставляет более безопасные согласования ISAKMP (в какой-то степени), но с более короткими сроками службы устройство безопасности устанавливает будущие контексты безопасности IPSec более быстро.

Соответствие сделано, когда обе политики от двух узлов содержит то же шифрование, хэш, аутентификацию и значения параметра Диффи-Хеллмана, и когда политика удаленного узла задает срок действия, меньше чем или равный сроку действия в сравненной политике. Если сроки службы не идентичны, более короткий срок действия — от политики удаленного узла — используется. Если никакое приемлемое соответствие не найдено, IKE отказывается от согласования, и IKE SA не установлена.

Задайте срок действия SA. Данные примеры устанавливают срок действия 4 часов (14400 секунд). По умолчанию составляет 86400 секунд (24 часа).

PIX/ASA

hostname(config)#isakmp policy 2 lifetime  14400

Маршрутизатор IOS

R2(config)#crypto isakmp policy 10
R2(config-isakmp)#lifetime 86400

Если максимальный настроенный срок действия превышен, вы получаете это сообщение об ошибках, когда завершено VPN-подключение:

Secure VPN Connection terminated locally by the Client. Reason 426: Maximum Configured Lifetime Exceeded Превышен настроенный максимальный срок существования.

Для решения этого сообщения об ошибках установите пожизненное значение в 0 для установки срока действия сопоставления безопасности IKE к бесконечности. VPN всегда будет соединением и не завершится.

hostname(config)#isakmp policy 2 lifetime 0

Можно также отключить re-xauth в групповой политике для решения вопроса.

Включите или отключите пакеты Keepalive ISAKMP

При настройке пакетов Keepalive ISAKMP это помогает предотвращать спорадически отброшенный LAN-LAN или VPN для удаленного доступа, который включает клиенты VPN, туннели и туннели, которые отброшены после периода бездействия. Эта функция позволяет оконечной точке туннеля контролировать длительное присутствие удаленного узла и сообщать о его собственном присутствии тому узлу. Если узел становится безразличным, оконечная точка удаляет соединение. Для пакетов Keepalive ISAKMP для работы обе оконечных точки VPN должны поддержать их.

  • Настройте пакеты Keepalive ISAKMP в Cisco IOS с этой командой:

    router(config)#crypto isakmp keepalive 15
    
  • Используйте эти команды для настройки пакетов Keepalive ISAKMP на Устройствах безопасности PIX/ASA:

    • Cisco PIX 6.x

      pix(config)#isakmp keepalive 15
      
    • PIX/ASA Cisco 7.x и позже, для туннельной группы назвал 10.165.205.222

      securityappliance(config)#tunnel-group 10.165.205.222 
         ipsec-attributes
      
      securityappliance(config-tunnel-ipsec)#isakmp keepalive 
         threshold 15 retry 10
      
      

    В некоторых ситуациях необходимо отключить эту опцию для решения проблемы, например, если Клиент VPN находится позади Межсетевого экрана, который предотвращает пакеты DPD.

    PIX/ASA Cisco 7.x и позже, для туннельной группы назвал 10.165.205.222

    Отключает обработку сообщения поддержки активности IKE, которая включена по умолчанию.

    securityappliance(config)#tunnel-group 10.165.205.222 
       ipsec-attributes
    
    securityappliance(config-tunnel-ipsec)#isakmp keepalive disable
    

    Отключите поддержку активности для Cisco VPN Client 4. x

    Выберите> Program Files % Root %System> Cisco Systems> VPN Client> Профили на Клиентском компьютере, который испытывает проблему, чтобы отключить сообщение поддержки активности IKE и отредактировать файл PCF, когда это применимо, для соединения.

    ‏Измените 'ForceKeepAlives=0' (по умолчанию) на 'ForceKeepAlives=1'.

Примечание: Пакеты Keepalive являются составляющим собственность Cisco и не поддерживаются устройствами стороннего производителя.

Повторно введите или восстановите предварительные общие ключи

Во многих случаях, когда VPN-туннель IPSec не подходит, простая опечатка может быть виновата. Например, на устройстве безопасности, предварительные общие ключи становятся скрытыми, как только они введены. Эта путаница лишает возможности видеть, является ли ключ неправильным. Будьте определенны, некоторый, что вы ввели любые предварительные общие ключи правильно в каждую оконечную точку VPN. Повторно введите ключ, чтобы быть определенными, некоторый, что это корректно; это - простое решение, которое может помочь избегать всестороннего устранения проблем.

В VPN удаленного доступа убедитесь, что в VPN-клиенте Cisco введены действительные имя группы и предварительный ключ. Эта ошибка может возникнуть, если имя группы/предварительный ключ, указанные для VPN-клиента и головного устройства, не совпадают.

 1 12:41:51.900 02/18/06 Sev=Warning/3 IKE/0xE3000056
 The received HASH payload cannot be verified
 2 12:41:51.900 02/18/06 Sev=Warning/2 IKE/0xE300007D 
Hash verification failed
3      14:37:50.562  10/05/06  Sev=Warning/2 IKE/0xE3000099
Failed to authenticate peer (Navigator:904)
4      14:37:50.593  10/05/06  Sev=Warning/2 IKE/0xE30000A5
Unexpected SW error occurred while processing Aggressive Mode
negotiator:(Navigator:2202)
5      14:44:15.937  10/05/06  Sev=Warning/2 IKE/0xA3000067
Received Unexpected InitialContact Notify (PLMgrNotify:888)
6      14:44:36.578  10/05/06  Sev=Warning/3 IKE/0xE3000056
The received HASH payload cannot be verified
7      14:44:36.593  10/05/06  Sev=Warning/2 IKE/0xE300007D
Hash verification failed... may be configured with invalid group password.
8      14:44:36.609  10/05/06  Sev=Warning/2 IKE/0xE3000099
Failed to authenticate peer (Navigator:904)
9      14:44:36.640  10/05/06  Sev=Warning/2 IKE/0xE30000A5
Unexpected SW error occurred while processing Aggressive Mode
negotiator:(Navigator:2202)

Можно также восстановить предварительный общий ключ без любых изменений конфигурации на устройстве безопасности PIX/ASA. Дополнительные сведения см. в разделе PIX/ASA 7.x: Восстановление общего ключа.

warningПредупреждение: При удалении команд шифрования возникает высокая вероятность отключения одного или всех VPN-туннелей. Соблюдайте осторожность при работе с этими командами и просмотрите политику контроля изменений до выполнения следующих действий.

  • Используйте эти команды, чтобы удалить и повторно ввести предварительный общий ключ secretkey для узла 10.0.0.1 или группы vpngroup в IOS:

    • Cisco VPN (ЛВС-ЛВС)

      router(config)#no crypto isakmp key secretkey 
         address 10.0.0.1
      router(config)#crypto isakmp key secretkey 
         address 10.0.0.1
      
    • VPN для удаленного доступа Cisco

      router(config)#crypto isakmp client configuration 
         group vpngroup
      router(config-isakmp-group)#no key secretkey
      router(config-isakmp-group)#key secretkey
      
  • Используйте эти команды, чтобы удалить и повторно ввести предварительный общий ключ secretkey для узла 10.0.0.1 на Устройствах безопасности PIX/ASA:

    • Cisco PIX 6.x

      pix(config)#no isakmp key secretkey address 10.0.0.1
      pix(config)#isakmp key secretkey address 10.0.0.1
      
    • Cisco PIX/ASA 7.x и более поздние версии

      securityappliance(config)#tunnel-group 10.0.0.1 
         ipsec-attributes
      securityappliance(config-tunnel-ipsec)#no pre-shared-key
      securityappliance(config-tunnel-ipsec)#pre-shared-key 
         secretkey
      

Несогласованный предварительный общий ключ

Инициирование VPN-туннеля разъединено. Эта проблема могла бы произойти из-за несогласованного предварительного общего ключа во время согласований фазы I.

Сообщение MM_WAIT_MSG_6 в команде show crypto isakmp sa указывает на несогласованный предварительный общий ключ как показано в данном примере:

ASA#show crypto isakmp sa
    
Active SA: 1 
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) 
Total IKE SA: 1 

1         IKE Peer: 10.7.13.20 
             Type : L2L                                 Role : initiator 
             Rekey : no                                 State : MM_WAIT_MSG_6

Для решения этого вопроса повторно введите предварительный общий ключ в обоих устройствах; предварительный общий ключ должен быть уникальным и совпасться. Посмотрите Повторно вводят или Восстанавливают Предварительные общие ключи для получения дополнительной информации.

Удалите и повторно примените криптокарты

Когда вы очищаете сопоставления безопасности, и это не решает вопрос IPSec VPN, удаляет и повторно применяет соответствующую криптокарту для решения большого разнообразия проблем, которое включает неустойчивое отбрасывание VPN-туннеля и сбой некоторых сайтов VPN для подъема.

warningПредупреждение: При удалении криптокарты из интерфейса это определенно переводит в нерабочее состояние любые Туннели IPSec, привязанные к той криптокарте. Выполните эти действия с осторожностью и рассмотрите политику управления изменениями организации перед переходом.

  • Используйте эти команды, чтобы удалить и заменить криптокарту в Cisco IOS:

    Начните с удаления криптокарты из интерфейса. Не используйте форму команды криптокарты.

    router(config-if)#no crypto map mymap
    

    Продолжите не использовать форму для удаления всей криптокарты.

    router(config)#no crypto map mymap 10
    

    Замените криптокарту на интерфейсном Ethernet0/0 для узла 10.0.0.1. В этом примере показана настройка криптокарты с минимальными требованиями:

    router(config)#crypto map mymap 10 ipsec-isakmp
    router(config-crypto-map)#match address 101
    router(config-crypto-map)#set transform-set mySET
    router(config-crypto-map)#set peer 10.0.0.1
    router(config-crypto-map)#exit
    router(config)#interface ethernet0/0
    router(config-if)#crypto map mymap
    
  • Используйте эти команды, чтобы удалить и заменить криптокарту на PIX или ASA:

    Начните с удаления криптокарты из интерфейса. Не используйте форму команды криптокарты.

    securityappliance(config)#no crypto map mymap interface outside
    

    Продолжите не использовать форму для удаления других команд криптокарты.

    securityappliance(config)#no crypto map mymap 10 match 
       address 101
    securityappliance(config)#no crypto map mymap set 
       transform-set mySET
    securityappliance(config)#no crypto map mymap set 
       peer 10.0.0.1
    

    Замените криптокарту для узла 10.0.0.1. В этом примере показана настройка криптокарты с минимальными требованиями:

    securityappliance(config)#crypto map mymap 10 ipsec-isakmp
    securityappliance(config)#crypto map mymap 10 
       match address 101
    securityappliance(config)#crypto map mymap 10 set 
       transform-set mySET
    securityappliance(config)#crypto map mymap 10 set 
       peer 10.0.0.1
    securityappliance(config)#crypto map mymap interface outside
    

Примечание: Если вы удаляете и повторно применяете криптокарту, это также решает проблему с подключением, если был изменен IP-адрес головного узла.

Проверьте, что Команды sysopt присутствуют (Только PIX/ASA)

Sysopt connection permit-ipsec команд и sysopt connection permit-vpn позволяют пакетам из Туннеля IPSec и их информационных наполнений обходить интерфейсные ACL на устройстве безопасности. Туннели IPSec, которые завершены на устройстве безопасности, вероятно, откажут, если не будет выполнена одна из этих команд.

В Версии программного обеспечения 7.0 Устройства безопасности и ранее, соответствующая команда sysopt для этой ситуации является sysopt connection permit-ipsec.

В Версии программного обеспечения 7.1 (1) Устройства безопасности и позже, соответствующая команда sysopt для этой ситуации является sysopt connection permit-vpn.

В PIX 6.x, эта функциональность отключена по умолчанию. С PIX/ASA 7.0 (1) и позже, эта функциональность добавлена по умолчанию. Используйте эти команды показа, чтобы определить, включена ли соответствующая команда sysopt на устройстве:

  • Cisco PIX 6.x

    pix# show sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    no sysopt uauth allow-http-cache
    no sysopt connection permit-ipsec
    
    !--- sysopt connection permit-ipsec is disabled
    
    no sysopt connection permit-pptp
    no sysopt connection permit-l2tp
    no sysopt ipsec pl-compatible
    
  • Cisco – PIX/ASA 7.x

    securityappliance# show running-config all sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    sysopt connection permit-vpn
    
    !--- sysopt connection permit-vpn is enabled
    !--- This device is running 7.2(2)
    
    

Используйте эти команды для включения корректной команды sysopt для устройства:

  • PIX Cisco 6.x и PIX/ASA 7.0

    pix(config)#sysopt connection permit-ipsec
    
  • Cisco PIX/ASA 7.1 (1) и позже

    securityappliance(config)#sysopt connection permit-vpn
    

Примечание: Если вы не хотите использовать команду sysopt connection, то необходимо явно разрешить необходимый трафик, который является представляющим интерес трафиком из источника назначению, например, из LAN удаленного устройства к LAN локального устройства и "порта UDP 500" для внешнего интерфейса удаленного устройства к внешнему интерфейсу локального устройства, во внешнем ACL.

Проверьте ISAKMP - идентичность

Если VPN-туннель IPSec отказал в Ike согласование, сбой может произойти или из-за PIX или из-за неспособности его узла распознать идентичность его узла. Когда два узла используют IKE для установления Сопоставлений безопасности IPSec, каждый узел передает свой ISAKMP - идентичность к удаленному узлу. Это передает или свой IP-адрес или имя хоста, зависящее от того, как каждому установили его ISAKMP - идентичность. По умолчанию ISAKMP - идентичность модуля Межсетевого экрана PIX установлен в IP-адрес. Как правило заставьте устройство безопасности и личности его узлов таким же образом избегать сбоя Ike согласование.

Чтобы заставить ID Фазы 2 передаваться узлу, используйте команду identity isakmp в режиме глобальной конфигурации

crypto isakmp identity address

!--- If the RA or L2L (site-to-site) VPN tunnels connect
!--- with pre-shared key as authentication type

Или

crypto isakmp identity auto

!--- If the RA or L2L (site-to-site) VPN tunnels connect
!--- with ISAKMP negotiation by connection type; IP address for 
!--- preshared key or cert DN for certificate authentication.

Или

crypto isakmp identity hostname

!--- Uses the fully-qualified domain name of
!--- the host exchanging ISAKMP identity information (default).
!--- This name comprises the hostname and the domain name.

VPN-туннель не в состоянии подходить после движущейся конфигурации от PIX до ASA с помощью программного средства миграции конфигурации PIX/ASA; эти сообщения появляются в журнале:

[IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Stale PeerTblEntry found, removing! [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Removing peer from correlator table failed, no match! [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, construct_ipsec_delete(): No SPI to identify Phase 2 SA! [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Removing peer from correlator table failed, no match!

Эта проблема происходит, так как PIX по умолчанию собирается определить соединение как имя хоста, где ASA определяет как IP. Для решения этого вопроса используйте команду crypto isakmp identity в режиме глобальной конфигурации как показано ниже:

crypto isakmp identity hostname


!--- Use the fully-qualified domain name of
!--- the host exchanging ISAKMP identity information (default).
!--- This name comprises the hostname and the domain name.

Когда вы получаете сообщение об ошибках Received an un-encrypted INVALID_COOKIE, выполняете команду crypto isakmp identity address для решения вопроса.

Примечание: Команда identity isakmp осуждалась от версии программного обеспечения 7.2 (1). Обратитесь к Справочнику по командам Cisco Security Appliance, Версия 7.2 для получения дополнительной информации.

Проверьте Простаивающий / Превышение времени ожидания сеанса

Если время простоя установлено в 30 минут (по умолчанию), это означает, что это отбрасывает туннель после того, как 30 минут "no traffic" (нета трафика) проходят через него. Клиент VPN разъединен после 30 минут независимо от значения времени простоя и встречается с ошибкой PEER_DELETE-IKE_DELETE_UNSPECIFIED.

Настройте время простоя и превышение времени ожидания сеанса как ни один для создания туннеля всегда, и так, чтобы туннель никогда не был отброшен даже когда с помощью устройств стороннего производителя.

PIX/ASA 7.x и более поздние

Введите команду vpn-idle-timeout в режим конфигурации групповой политики или в режим конфигурации имени пользователя для настройки пользовательского периода ожидания:

hostname(config)#group-policy DfltGrpPolicy attributes
hostname(config-group-policy)#vpn-idle-timeout none

Настройте максимальное количество времени для VPN-подключений с командой vpn-session-timeout в режиме конфигурации групповой политики или в режиме конфигурации имени пользователя:

hostname(config)#group-policy DfltGrpPolicy attributes
hostname(config-group-policy)#vpn-session-timeout none

Примечание: Когда у вас есть туннель - все настроенные, вы не должны настраивать idle-timeout, потому что даже при настройке времени простоя VPN это не будет работать, потому что весь трафик проходит через туннель (так как туннель - все настроено). Поэтому представляющий интерес трафик (или даже трафик, генерируемый ПК), будет содержательным и не позволит Idle-timeout входить в действие.

Маршрутизатор с ПО Cisco IOS

Используйте команду crypto ipsec security-association idle-time в режиме глобальной конфигурации или режиме конфигурации криптокарты для настройки счетчика простоя контекста безопасности IPSec. Контекстом безопасности IPSec по умолчанию счетчики простоя отключены.

crypto ipsec security-association idle-time 
seconds 

Время находится в секундах, которые счетчик простоя позволяет неактивному узлу поддерживать SA. Допустимые значения для секундного аргумента колеблются от 60 до 86400.

Проверьте, что ACL Корректны и Связаны к Криптокарте

В стандартной конфигурации IPsec VPN используются два списка доступа. Один список используется для исключения трафика, направленного в туннель VPN, из процесса NAT. Другой список доступа определяет трафик для шифрования; он включает в себя список шифрования ACL в настройке ЛВС-ЛВС или список раздельного туннелирования в конфигурации удаленного доступа. Если эти списки доступа неправильно настроены или отсутствуют, трафик может идти по туннелю VPN только в одном направлении или может вообще не проходить через туннель.

Примечание: Удостоверьтесь, что связали крипто-ACL с криптокартой при помощи команды адреса соответствия криптокарты в режиме глобальной конфигурации.

Убедитесь, что все списки доступа, необходимые для конфигурации IPsec VPN, настроены и что эти списки определяют правильный трафик. В списке далее описаны простые способы проверки в тех случаях, когда подозревается, что причина проблем с IPsec VPN в списке доступа.

  • Убедитесь, что в исключении NAT и списках доступа шифрования ACL указан правильный трафик.

  • Если имеется несколько туннелей VPN и списков шифрования ACL, убедитесь, что эти списки не пересекаются.

    Примечание: На концентраторе VPN вы могли бы видеть журнал как это:

    Tunnel Rejected: IKE peer does not match remote peer as defined in L2L policy

    Во избежание этого сообщения и для внедрения туннеля, удостоверьтесь, что крипто-ACL не накладываются, и тот же представляющий интерес трафик не используется никаким другим настроенным VPN-туннелем.

  • Не используйте ACL дважды. Даже если в списке контроля доступа (ACL) без трансляции сетевых адресов и в ACL шифрования указан один и тот же трафик, необходимо использовать два различных списка доступа.

  • Для конфигурации удаленного доступа не используйте access-list для представляющего интерес трафика с динамической криптокартой. Это может заставить клиент VPN быть неспособным соединиться с головным устройством. При ошибочной настройке крипто-ACL для VPN для удаленного доступа можно получить сообщение об ошибках %ASA-3-713042: IKE Initiator unable to find policy: Intf 2.

    Примечание: Если это - туннель от сайта к сайту VPN, удостоверьтесь, что совпали со списком доступа с узлом. Они должны быть в обратном порядке на узле.

    Обратитесь к PIX/ASA 7.x и Cisco VPN Client 4.x с Windows 2003 IAS RADIUS (Против Active Directory) Пример Конфигурации аутентификации для примера конфигурации, который показывает, как установить соединение VPN для удаленного доступа между Cisco VPN Client и PIX/ASA.

  • Убедитесь, что конфигурация устройства позволяет использовать ACL исключения NAT. Для маршрутизаторов это означает использование команды route-map. Для PIX или ASA это означает использование команды nat (0). Список ACL исключения NAT необходимо для конфигураций ЛВС-ЛВС и удаленного доступа.

    • Здесь, маршрутизатор IOS настроен для освобождения трафика, который передается между 192.168.100.0 / 24 и 192.168.200.0 / 24 или 192.168.1.0 / 24 от NAT. Трафик, предназначенный для где-либо еще, подвергается перегрузке NAT:

      access-list 110 deny ip 192.168.100.0 0.0.0.255 
         192.168.200.0 0.0.0.255
      access-list 110 deny ip 192.168.100.0 0.0.0.255 
         192.168.1.0 0.0.0.255
      access-list 110 permit ip 192.168.100.0 0.0.0.255 any
      
      route-map nonat permit 10
        match ip address 110 
      
      ip nat inside source route-map nonat interface FastEthernet0/0 overload
    • Здесь, PIX настроен для освобождения трафика, который передается между 192.168.100.0 / 24 и 192.168.200.0 / 24 или 192.168.1.0 / 24 от NAT. Например, весь другой трафик подвергается перегрузке NAT:

      access-list noNAT extended permit ip 192.168.100.0 
         255.255.255.0 192.168.200.0 255.255.255.0
      access-list noNAT extended permit ip 192.168.100.0 
         255.255.255.0 192.168.1.0 255.255.255.0
      
      nat (inside) 0 access-list noNAT
      nat (inside) 1 0.0.0.0 0.0.0.0
      
      global (outside) 1 interface

      Примечание: ACL освобождения NAT работают только с IP-адресом или IP - сетями, такими как те примеры, упомянутые (access-list noNAT), и должны быть идентичны ACL криптокарты. ACL освобождения NAT не работают с номерами портов (например, 23, 25, и т.д.).

      Примечание: В среде VoIP, куда голосовые вызовы между сетями передаются через VPN, не работают голосовые вызовы, если должным образом не настроены ACL NAT 0. Прежде, чем идти глубоко посредством Устранения проблем VoIP, предложено проверить статус возможности VPN - подключения, потому что проблема могла быть с неверной конфигурацией освобожденных ACL NAT.

      Примечание: Если существует неверная конфигурация в освобождении NAT (nat 0) ACL, можно получить сообщение об ошибках как показано.

      %PIX-3-305005: No translation group 
      found for icmp src outside:192.168.100.41 dst
      inside:192.168.200.253 (type 8, code 0)
      
      %ASA-3-305005: No translation group found for 
      udp src Outside:x.x.x.x/p dst Inside:y.y.y.y/p

      Примечание:  Неправильный пример:

      access-list noNAT extended permit ip 192.168.100.0 
         255.255.255.0 192.168.200.0 255.255.255.0 eq 25
      

      Если освобождение NAT (nat 0) не работает, то попытайтесь удалить его и выполнить команду NAT 0 для него для работы.

  • Удостоверьтесь, что ACL не назад и что они - нужный тип.

    • Крипто-и ACL освобождения NAT для конфигураций LAN-to-LAN должен быть записан с точки зрения устройства, на котором настроен ACL. Это означает, что ACL должны отразить друг друга. В этом примере настроен туннель ЛВС-ЛВС между 192.168.100.0 /24 и 192.168.200.0 /24.

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble-1.gif

      Маршрутизатор A с ACL шифрования

      access-list 110 permit ip 192.168.100.0 0.0.0.255 
         192.168.200.0 0.0.0.255

      Маршрутизатор B с ACL шифрования

      access-list 110 permit ip 192.168.200.0 0.0.0.255 
         192.168.100.0 0.0.0.255

      Примечание: Несмотря на то, что это не проиллюстрировано здесь, это то же понятие применяется к PIX и Устройствам обеспечения безопасности ASA, также.

    • В PIX/ASA ACL разделения туннеля для конфигураций Удаленного доступа должны быть стандартными списками доступа, которые разрешают трафик к сети, к которой клиенты VPN должны обратиться. Маршрутизаторы IOS могут использовать расширенный список ACL для разделения туннеля.

      Примечание: В расширенном списке доступа, для использования 'любого' в источнике в ACL разделенного туннелирования подобно для отключения разделенного туннелирования. Используйте только исходные сети в расширенном списке ACL для разделенного туннелирования.

      Примечание:  Корректный пример:

      access-list 140 permit ip 10.1.0.0 0.0.255.255 10.18.0.0 0.0.255.255

      Примечание:  Неправильный пример:

      access-list 140 permit ip any 10.18.0.0 0.0.255.255

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble-2.gif

      • Cisco IOS

        router(config)#access-list 10 permit ip 192.168.100.0
        router(config)#crypto isakmp client configuration group MYGROUP
        router(config-isakmp-group)#acl 10
        
      • Cisco PIX 6.x

        pix(config)#access-list 10 permit 192.168.100.0 
           255.255.255.0
        pix(config)#vpngroup MYGROUP split-tunnel 10
        
      • Cisco – PIX/ASA 7.x

        securityappliance(config)#access-list 10 standard 
           permit 192.168.100.0 255.255.255.0
        securityappliance(config)#group-policy MYPOLICY internal
        securityappliance(config)#group-policy MYPOLICY attributes
        securityappliance(config-group-policy)#split-tunnel-policy 
           tunnelspecified
        securityappliance(config-group-policy)#split-tunnel-network-list 
           value 10
        

Если НИКАКОЙ ACL NAT не неправильно сконфигурирован или не настроен на ASA, эта ошибка происходит в ASA 8.3:

%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection for udp src outside: x.x.x.x/xxxxx dst inside:x.x.x.x/xx denied due to NAT reverse path failure

Для решения этого вопроса проверьте, что конфигурация корректна, или реконфигурируйте, если параметры настройки являются неправильными.

Конфигурация освобождения NAT в версии ASA 8.3 для туннеля VPN типа «узел-узел»:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble-10.gif

Сквозное VPN-соединение должно быть установлено между HOASA и BOASA с обоими ASA с помощью версии 8.3. Конфигурация освобождения NAT на HOASA выглядит подобной этому:

object network obj-local
subnet 192.168.100.0 255.255.255.0
object network obj-remote
subnet 192.168.200.0 255.255.255.0
nat (inside,outside) 1 source static obj-local obj-local destination static obj-remote objremote

Проверьте политику ISAKMP

Если Туннелем IPSec не является UP, проверьте, что политика ISAKMP совпадает с удаленными узлами. Эта политика ISAKMP применима как для VPN-конфигураций IPsec "сеть-сеть" (ЛВС-ЛВС), так и для IPsec VPN удаленного доступа.

Если VPN-клиенты Cisco или VPN типа "сеть-сеть" не могут установить туннель к удаленному устройству, убедитесь, что два узла содержат одни и те же значения шифрования, хеша, аутентификации и параметра Диффи-Хеллмана, а также убедитесь, что в политике удаленных узлов для жизненного цикла указано значение, меньшее или равное аналогичному значению в политике, отправленной инициатором. Если сроки службы не идентичны, устройство безопасности использует более короткий срок действия. Если никакое приемлемое соответствие не существует, ISAKMP отказывается от согласования, и SA не установлен.

"Error: Unable to remove Peer TblEntry, Removing peer from peer table
failed, no match!"

Вот подробное сообщение журнала:

4|Mar 24 2010 10:21:50|713903: IP = X.X.X.X, Error: Unable to remove PeerTblEntry
3|Mar 24 2010 10:21:50|713902: IP = X.X.X.X, Removing peer from peer table failed,
no match!
3|Mar 24 2010 10:21:50|713048: IP = X.X.X.X, Error processing payload: Payload ID: 1
4|Mar 24 2010 10:21:49|713903: IP = X.X.X.X, Information Exchange processing failed
5|Mar 24 2010 10:21:49|713904: IP = X.X.X.X, Received an un-encrypted
NO_PROPOSAL_CHOSEN notify message, dropping

Это сообщение обычно появляется из-за несогласованной политики ISAKMP или недостающего оператора NAT 0.

Кроме того, это сообщение появляется:

Error Message    %PIX|ASA-6-713219: Queueing KEY-ACQUIRE messages to be processed when 
P1 SA is complete.

Это сообщение указывает, что сообщения Фазы 2 ставятся в очередь после того, как Фаза 1 завершает. Это сообщение об ошибках могло бы произойти из-за одной из этих причин:

  • Не сочетайтесь синфазно на любом из узлов

  • ACL блокирует узлы от завершения фазы 1

Это сообщение обычно прибывает после Removing peer from peer table failed, no match! сообщение об ошибке.

Если Cisco VPN Client неспособен подключить устройство головного узла, проблемой может быть несоответствие ПОЛИТИКИ ISAKMP. Устройство головного узла должно совпасть с одним из Предложений ike Cisco VPN Client.

Примечание: Для политики ISAKMP и Команды IPsec transform set, которая используется на PIX/ASA, клиент Cisco VPN не может использовать политику с комбинацией DES и SHA. При использовании DES необходимо применить MD5 для алгоритма хеширования или можно воспользоваться другими комбинациями: 3DES и SHA или 3DES и MD5.

Проверьте, что Маршрутизация Корректна

Маршрутизация — это важная часть любого развертывания IPsec VPN. Будьте определенны, некоторый, что устройства шифрования, такие как Маршрутизаторы и PIX или Устройства обеспечения безопасности ASA имеют информацию о соответствующей маршрутизации для передачи трафика по VPN-туннелю. Кроме того, если другие маршрутизаторы существуют позади устройства шлюза, быть уверенными, что те маршрутизаторы знают, как достигнуть туннеля и что сети с другой стороны.

Одним основным компонентом маршрутизации в развертывании VPN является Включение ввода обратной маршрутизации (RRI). RRI размещает динамические записи для удаленных сетей или клиентов VPN в таблице маршрутизации Шлюза VPN. Эти маршруты полезны для устройства, на котором они установлены, а также к другим устройствам в сети, потому что маршруты, установленные RRI, могут быть перераспределены через протокол маршрутизации, такой как EIGRP или OSPF.

  • В конфигурации LAN-to-LAN для каждой оконечной точки важно иметь маршрут или маршруты к сетям, для которых это, как предполагается, шифрует трафик. В данном примере Обязательное требование Маршрутизатора направляет к сетям позади Маршрутизатора B до 10.89.129.2. Маршрутизатор B должен иметь подобный маршрут к 192.168.100.0 / 24:

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble-3.gif

    • Первый способ гарантировать, что каждый маршрутизатор знает соответствующий маршрут (ы), состоит в том, чтобы настроить статические маршруты для каждой сети назначения. Например, Маршрутизатору A можно было настроить эти инструкции маршрута:

      ip route 0.0.0.0 0.0.0.0 172.22.1.1
      ip route 192.168.200.0 255.255.255.0 10.89.129.2
      ip route 192.168.210.0 255.255.255.0 10.89.129.2
      ip route 192.168.220.0 255.255.255.0 10.89.129.2
      ip route 192.168.230.0 255.255.255.0 10.89.129.2

      Если Маршрутизатор A был заменен PIX или ASA, конфигурация может быть похожей на это:

      route outside 0.0.0.0 0.0.0.0 172.22.1.1
      route outside 192.168.200.0 255.255.255.0 10.89.129.2
      route outside 192.168.200.0 255.255.255.0 10.89.129.2
      route outside 192.168.200.0 255.255.255.0 10.89.129.2
      route outside 192.168.200.0 255.255.255.0 10.89.129.2
    • Если большое число сетей существует позади каждой оконечной точки, конфигурация статических маршрутов становится трудной поддержать. Вместо этого рекомендуется использовать внесение обратного маршрута в соответствии с приведенным описанием. RRI помещает в таблицу маршрутизации маршруты для всех удаленных сетей, указанных в ACL шифрования., Например, крипто-ACL и криптокарта Маршрутизатора A могут быть похожими на это:

      access-list 110 permit ip 192.168.100.0 0.0.0.255 
         192.168.200.0 0.0.0.255
      access-list 110 permit ip 192.168.100.0 0.0.0.255 
         192.168.210.0 0.0.0.255
      access-list 110 permit ip 192.168.100.0 0.0.0.255 
         192.168.220.0 0.0.0.255
      access-list 110 permit ip 192.168.100.0 0.0.0.255 
         192.168.230.0 0.0.0.255
      
      crypto map myMAP 10 ipsec-isakmp
       set peer 10.89.129.2
       reverse-route
       set transform-set mySET
       match address 110

      Если Маршрутизатор A был заменен PIX или ASA, конфигурация может быть похожей на это:

      access-list cryptoACL extended permit ip 192.168.100.0 
         255.255.255.0 192.168.200.0 255.255.255.0
      access-list cryptoACL extended permit ip 192.168.100.0 
         255.255.255.0 192.168.210.0 255.255.255.0
      access-list cryptoACL extended permit ip 192.168.100.0 
         255.255.255.0 192.168.220.0 255.255.255.0
      access-list cryptoACL extended permit ip 192.168.100.0 
         255.255.255.0 192.168.230.0 255.255.255.0
      
      crypto map myMAP 10 match address cryptoACL
      crypto map myMAP 10 set peer 10.89.129.2
      crypto map myMAP 10 set transform-set mySET
      crypto map mymap 10 set reverse-route
      
  • В конфигурации Удаленного доступа изменения маршрутизации не всегда необходимы. Однако если за шлюзом VPN или средством Security Appliance имеются другие маршрутизаторы, эти маршрутизаторы должны каким-то образом получить данные о пути к VPN-клиентам. В данном примере предположите, что клиентам VPN дают адреса в диапазоне 10.0.0.0 / 24, когда они соединяются.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble-4.gif

    Если никакой протокол маршрутизации не используется между шлюзом и другим маршрутизатором (ами), статические маршруты могут использоваться на маршрутизаторах, таких как Маршрутизатор 2:

    ip route 10.0.0.0 255.255.255.0 192.168.100.1

    Если протокол маршрутизации, такой как EIGRP или OSPF используется между шлюзом и другими маршрутизаторами, рекомендуется, чтобы Включение ввода обратной маршрутизации использовалось, как описано. RRI автоматически добавляет маршруты для клиента VPN к таблице маршрутизации шлюза. Эти маршруты могут тогда быть распределены другим маршрутизаторам в сети.

    • Маршрутизатор с ПО Cisco IOS:

      crypto dynamic-map dynMAP 10
       set transform-set mySET
       reverse-route
      
      crypto map myMAP 60000 ipsec-isakmp dynamic dynMAP
    • PIX Cisco или устройство обеспечения безопасности ASA:

      crypto dynamic-map dynMAP 10 set transform-set mySET
      crypto dynamic-map dynMAP 10 set reverse-route
      
      crypto map myMAP 60000 ipsec-isakmp dynamic dynMAP

Примечание: Если пул IP-адресов, назначенных для клиентов VPN, является наложениями с внутренними сетями устройства головного узла, проблема маршрутизации происходит. Для получения дополнительной информации обратитесь к разделу Наложений частной сети.

Проверьте, что Transform-Set Корректен

Удостоверьтесь, что IP - безопасное шифрование и алгоритмы хэширования, которые будут использоваться набором преобразований на обоих концах, являются тем же. Обратитесь к разделу Справочника по командам руководства по конфигурации Cisco Security Appliance для получения дополнительной информации.

Примечание: Для политики ISAKMP и Команды IPsec transform set, которая используется на PIX/ASA, клиент Cisco VPN не может использовать политику с комбинацией DES и SHA. При использовании DES необходимо применить MD5 для алгоритма хеширования или можно воспользоваться другими комбинациями: 3DES и SHA или 3DES и MD5.

Проверьте Порядковые номера Криптокарты и Название и также что Криптокарта применена в правильном интерфейсе, в котором Туннель IPSec запускают/заканчивают

Если статические и динамические узлы настроены на той же криптокарте, заказ элементов криптокарты очень важен. Порядковый номер записи динамической криптокарты должен быть выше, чем все другие записи статической криптокарты. Если статические записи пронумерованы выше, чем динамическая запись, соединения с теми узлами, сбой и отладки как показано появляются.

IKEv1]: Group = x.x.x.x, IP = x.x.x.x, QM FSM error (P2 struct &0x49ba5a0, mess id 0xcd600011)!
[IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Removing peer from correlator table failed, no match!

Примечание: Только одна Динамическая криптокарта позволена для каждого интерфейса в Устройстве безопасности.

Вот пример должным образом пронумерованной криптокарты, которая содержит статическую запись и динамическую запись. Обратите внимание на то, что динамическая запись имеет самый высокий порядковый номер, и комнату покинули добавить дополнительные статические записи:

crypto dynamic-map cisco 20 set transform-set myset
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.16.77.10 
crypto map mymap 10 set transform-set myset
crypto map mymap interface outside
crypto map mymap 60000 ipsec-isakmp dynamic cisco

Примечание: Имена криптокарты учитывают регистр.

Примечание: Это сообщение об ошибках может также быть замечено, когда динамическая крипто-последовательность человека не корректна, который заставляет узел поражать неправильную криптокарту, и также несогласованным крипто-списком доступа, который определяет представляющий интерес трафик: %ASA-3-713042: Инициатор IKE, неспособный найти политику:

В сценариях, где множественные VPN-туннели, которые будут завершены в том же интерфейсе, мы должны создать криптокарту с тем же названием (только одна криптокарта позволена для интерфейса), но с количеством другой последовательности. Это сохраняется для маршрутизатора, PIX и ASA.

Для получения дополнительных сведений о PIX-конфигурации концентратора для той же криптокарты с другими порядковыми номерами на том же интерфейсе см. документ Настройка IPsec между концентратором и удаленными PIX с VPN-клиентом и расширенной аутентификацией. Точно так же обратитесь к PIX/ASA 7. X : Добавьте Новый Туннель или Удаленный доступ к Существующей VPN L2L для получения дополнительной информации для узнавания больше о конфигурации криптокарты и для L2L и для сценариев VPN для удаленного доступа.

Проверьте, что IP - адрес адресуемой точки Корректен

Для Устройства безопасности PIX/ASA 7.x LAN-LAN (L2L) конфигурация IPSec VPN, необходимо задать <name> туннельной группы как theRemote IP - адрес адресуемой точки (удаленный туннельный конец) в команде tunnel-group <name> type ipsec-l2l для создания и управления базы данных записей о подключениях для IPSec. IP - адрес адресуемой точки должен совпасть в имени группы туннелей и командах Crypto map set address. При настройке VPN с ASDM она генерировала имя группы туннелей автоматически с правильным IP - адресом адресуемым точки. Если IP - адрес адресуемой точки не настроен должным образом, журналы могут содержать это сообщение, которое может быть решено правильной конфигурацией IP - адреса адресуемого точки.

[IKEv1]: Group = DefaultL2LGroup, IP = x.x.x.x, 
ERROR, had problems decrypting packet, probably due to mismatched pre-shared key. Aborting

В PIX 6.x LAN-LAN (L2L) конфигурация IPSec VPN, IP - адрес адресуемой точки (удаленный туннельный конец) должен совпасть с основным адресом isakmp и командой set peer в криптокарте для успешного соединения IPSec VPN.

Когда IP - адрес адресуемой точки не был настроен должным образом на крипте - настройке ASA, ASA не в состоянии установить VPN-туннель и "зависает" на этапе MM_WAIT_MSG4 только. Для решения этого вопроса исправьте IP - адрес адресуемой точки в конфигурации.

Когда VPN-туннель "зависает" в в состоянии MM_WAIT_MSG4, вот выходные данные команды show crypto isakmp sa.

hostname#show crypto isakmp sa

1   IKE Peer: XX.XX.XX.XX
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_WAIT_MSG4

Проверьте туннельную группу и имена групп

%PIX|ASA-3-713206: Tunnel Rejected: Conflicting protocols specified by  
tunnel-group and group-policy

Сообщение появляется, когда туннель отброшен, потому что позволенный туннель, заданный в групповой политике, другой, чем позволенный туннель в конфигурации туннельной группы.

group-policy hf_group_policy attributes
  vpn-tunnel-protocol l2tp-ipsec

username hfremote attributes
  vpn-tunnel-protocol l2tp-ipsec

Both lines should read:
  vpn-tunnel-protocol ipsec l2tp-ipsec

Уже включите IPSec В политике Группы по умолчанию к Существующие протоколы В Политике Группы по умолчанию.

group-policy DfltGrpPolicy attributes
   vpn-tunnel-protocol L2TP-IPSec IPSec webvpn

Отключите XAUTH для узлов L2L

Если туннель между локальными сетями (LAN-to-LAN) и туннель VPN для удаленного доступа настроены на той же криптокарте, узлу LAN-LAN предлагают для получения информации о XAUTH и сбоев туннеля между локальными сетями (LAN-to-LAN) с "CONF_XAUTH" в выходных данных команды show crypto isakmp sa.

Вот пример выходных данных SA:

Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id  slot  status
X.X.X.X         Y.Y.Y.Y         CONF_XAUTH       10223    0   ACTIVE
X.X.X.X         Z.Z.Z.Z         CONF_XAUTH       10197    0   ACTIVE

Примечание: Эта проблема только применяется к Cisco IOS и PIX 6. x . тогда как на PIX/ASA 7.x не влияет эта проблема, так как это использует туннельные группы.

Используйте команду no-xauth при вводе ключа isakmp, чтобы устройство не отправляло запрос о данных XAUTH на узел (имя пользователя и пароль). Это ключевое слово отключает XAUTH для статических узлов IPsec. Введите команду, подобную этому на устройстве, которое имеет и L2L и VPN RA, настроенную на той же криптокарте:

router(config)#crypto isakmp key cisco123 address 
   172.22.1.164 no-xauth

В сценарии, где PIX/ASA 7.x действия как Сервер Easy VPN, клиент Easy VPN неспособен соединиться с головным узлом из-за проблемы Xauth. Отключите проверку подлинности пользователя в PIX/ASA для решения вопроса как показано:

ASA(config)#tunnel-group example-group type ipsec-ra
ASA(config)#tunnel-group example-group ipsec-attributes
ASA(config-tunnel-ipsec)#isakmp ikev1-user-authentication none

Посмотрите Раздел прочих сведений этого документа для знания больше о команде isakmp ikev1-user-authentication.

Исчерпываемый пул VPN

Когда диапазон IP-адресов, назначенных на пул VPN, не достаточен, можно расширить доступность IP-адресов двумя способами:

  1. Удалите существующий диапазон и определите новый диапазон. Например:

    CiscoASA(config)#no ip local pool testvpnpool 10.76.41.1-10.76.41.254
    CiscoASA(config)#ip local pool testvpnpool 10.76.41.1-10.76.42.254
    
  2. Когда изолированные подсети должны быть добавлены к пулу VPN, можно определить два отдельных пула VPN и затем задать их в заказе под "атрибутами туннельной группы". Например:

    CiscoASA(config)#ip local pool testvpnpoolAB 10.76.41.1-10.76.42.254
    CiscoASA(config)#ip local pool testvpnpoolCD 10.76.45.1-10.76.45.254
    CiscoASA(config)#tunnel-group test type remote-access
    CiscoASA(config)#tunnel-group test general-attributes
    CiscoASA(config-tunnel-general)#address-pool (inside) testvpnpoolAB testvpnpoolCD
    CiscoASA(config-tunnel-general)#exit
    

Заказ, в котором вы задаете пулы, очень важен, потому что ASA выделяет адреса от этих пулов в заказе, в котором пулы появляются в этой команде.

Примечание: Параметры настройки пулов адресов в команде пулов адресов групповой политики всегда отвергают параметры настройки локального пула в команде address-pool туннельной группы.

Проблемы с задержкой для трафика клиента VPN

Когда существуют проблемы задержки по VPN-подключению, проверяют придерживающийся для решения этого:

  1. Проверьте, может ли MSS пакета быть уменьшен далее.

  2. Если IPsec/tcp используется вместо IPsec/udp, то настройте поток vpn заповедника.

  3. Повторно загрузите Cisco ASA.

Клиенты VPN Неспособны Соединиться с ASA/PIX

Проблема

Когда Xauth используется с Сервером RADIUS, клиенты Cisco VPN неспособны подтвердить подлинность.

Решение

Проблема может состоять в том, что xauth испытывает таймаут. Увеличьте значение таймаута для AAA-сервера для решения этого вопроса.

Например: :

Hostname(config)#aaa-server test protocol radius 
hostname(config-aaa-server-group)#aaa-server test host 10.2.3.4 
hostname(config-aaa-server-host)#timeout 10

Проблема

Когда Xauth используется с Сервером RADIUS, клиенты Cisco VPN неспособны подтвердить подлинность.

Решение

Первоначально, удостоверьтесь, что аутентификация работает должным образом. Для сужения проблемы сначала проверьте аутентификацию с локальной базой данных на ASA.

tunnel-group tggroup general-attributes 
              authentication-server-group none
              authentication-server-group LOCAL
        exit

Если это хорошо работает, то проблема должна быть отнесена к Конфигурации сервера RADIUS.

Проверьте подключение Сервера RADIUS от ASA. Если эхо-запрос работает без какой-либо проблемы, то проверьте Связанную с радиусом конфигурацию на ASA и конфигурацию базы данных на Сервере RADIUS.

Вы могли использовать команду debug radius для устранения проблем связанных проблем радиуса. Для выходных данных radius примера отладки обратитесь к этому Примеру выходных данных .

Примечание: Перед использованием команды отладки на ASA сошлитесь на эту документацию: Предупреждающее сообщение .

Соединение Отбрасываний Клиента VPN Часто на Первой Попытке или "VPN-подключении безопасности, завершенном узлом. Причина 433". или "Безопасное VPN-подключение, завершенное одноранговой Причиной 433: (Причина, Не Указанная узлом)"

Проблема

Пользователи Клиента Cisco VPN могли бы получить эту ошибку, когда они делают попытку соединения с устройством VPN головного узла.

"Клиент VPN часто отбрасывает соединение на первой попытке" или "VPN-подключении безопасности, завершенном узлом. Причина 433". или "Безопасное VPN-подключение, завершенное одноранговой Причиной 433: (Причина, Не Указанная узлом)" или "Предпринятый для присвоения сети или адреса широковещательного IP, удаляя (x. x . x . x) от пула"

Решение 1

Проблема могла бы быть с присвоением пула IP или через ASA/PIX, Сервер RADIUS, DHCP server или через Сервер RADIUS, действующий как DHCP server. Используйте команду debug crypto, чтобы проверить, что маска подсети и IP-адреса корректны. Кроме того, проверьте, что пул не включает сетевой адрес и широковещательный адрес. Серверы RADIUS должны быть в состоянии назначить надлежащие IP-адреса на клиенты.

Решение 2

Эта проблема также происходит из-за сбоя расширенной проверки подлинности. Необходимо проверить AAA-сервер для устранения проблем этой ошибки. Проверка пароля проверки подлинности сервера на Сервере и клиенте и повторная загрузка AAA-сервера могли бы решить этот вопрос.

Решение 3

Другой обходной путь для этой проблемы должен отключить опцию обнаружения угрозы. Время от времени, когда существуют множественные повторные передачи для других неполных Сопоставлений безопасности (SA), ASA с активированной опцией обнаружения угрозы думает, что атака сканирования происходит, и порты VPN отмечены как основной преступник. Попытайтесь отключить опцию обнаружения угрозы, поскольку это может вызвать много издержек на обработке ASA. Используйте эти команды для отключения обнаружения угрозы:

no threat-detection basic-threat
no threat-detection scanning-threat shun
no threat-detection statistics
no threat-detection rate

Для получения дополнительной информации об этой функции, обратитесь к Обнаружению Угрозы.

Примечание: Это может использоваться в качестве обходного пути, чтобы проверить, исправляет ли это актуальную проблему. Удостоверьтесь, что отключение обнаружения угрозы на Cisco ASA фактически ставит под угрозу несколько характеристик безопасности, таких как смягчение Попыток Сканирования, DoS с Недопустимым SPI, пакеты, которые отказывают Контроль приложения и Неполные Сеансы.

Решение 4

Когда набор преобразований должным образом не настроен, эта проблема также происходит. Правильная конфигурация набора преобразований решает вопрос.

Удаленный доступ и пользовательское подключение EZVPN к VPN, но не могут обратиться к внешним ресурсам

Проблема

У пользователей удаленного доступа нет интернет-подключения, как только они соединяются с VPN.

Пользователи удаленного доступа не могут обратиться к ресурсам, расположенным позади других VPN на том же устройстве.

Пользователи удаленного доступа могут обратиться только к локальной сети.

Решения

Попробуйте эти решения для решения этого вопроса:

Неспособный обратиться к серверам в DMZ

Как только клиент VPN установлен Туннель IPSec с устройством головного узла VPN (PIX/ASA/МАРШРУТИЗАТОР IOS), Пользователи VPN-клиента в состоянии обратиться к Внутренней сети (10.10.10.0/24) ресурсы, но они неспособны обратиться к сети DMZ (10.1.1.0/24).

Схема

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble-8.gif

Проверьте, что Разделение туннеля, НИКАКАЯ конфигурация NAT не добавлена в устройстве головного узла для доступа к ресурсам в сети DMZ.

Пример

ASA/PIX
ciscoasa#show running-config 


!--- Split tunnel for the inside network access

access-list vpnusers_spitTunnelAcl permit ip 10.10.10.0 255.255.0.0 any


!--- Split tunnel for the DMZ network access

access-list vpnusers_spitTunnelAcl permit ip 10.1.1.0 255.255.0.0 any


!--- Create a pool of addresses from which IP addresses are assigned 
!--- dynamically to the remote VPN Clients.

ip local pool vpnclient 192.168.1.1-192.168.1.5


!--- This access list is used for a nat zero command that prevents 
!--- traffic which matches the access list from undergoing NAT.

!--- No Nat for the DMZ network.


access-list nonat-dmz permit ip  10.1.1.0 255.255.255.0  192.168.1.0 255.255.255.0


!--- No Nat for the Inside network.

access-list nonat-in permit ip  10.10.10.0 255.255.255.0  192.168.1.0 255.255.255.0


!--- NAT 0 prevents NAT for networks specified in the ACL nonat

.
nat (DMZ) 0 access-list nonat-dmz 
nat (inside) 0 access-list nonat-in 

Конфигурация версии ASA 8.3:

Эта конфигурация показывает, как настроить освобождение NAT для сети DMZ, чтобы позволить пользователям VPN обратиться к сети DMZ:

object network obj-dmz
subnet 10.1.1.0 255.255.255.0
object network obj-vpnpool
subnet 192.168.1.0 255.255.255.0
nat (inside,dmz) 1 source static obj-dmz obj-dmz destination static obj-vpnpool obj-vpnpool

После добавления новой записи для конфигурации NAT очистите преобразование NAT.

Clear xlate
Clear local

Проверка. :

Если туннель был установлен, переходит к Cisco VPN Client и выбирает Status> Route Details, чтобы проверить, что защищенные маршруты показывают и для DMZ и для Внутренних сетей.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble-9.gif

Дополнительные сведения см. в разделе PIX/ASA 7.x: Доступ Почтового сервера на Примере Конфигурации DMZ для получения дополнительной информации о том, как установить Межсетевой экран PIX для доступа к почтовому серверу, расположился в сети Demilitarized Zone (DMZ).

Дополнительные сведения см. в разделе PIX/ASA 7.x: Добавьте Новый Туннель или Удаленный доступ к Существующей VPN L2L для обеспечения шагов, требуемых добавить новый VPN-туннель или VPN для удаленного доступа к конфигурации VPN L2L, которая уже существует.

Дополнительные сведения см. в разделе PIX/ASA 7.x: Позвольте Разделенное туннелирование для Клиентов VPN на Примере конфигурации ASA для обеспечения пошаговых инструкций о том, как предоставить доступ Клиентов VPN к Интернету, в то время как они туннелированы в устройство адаптивной защиты Cisco (ASA) Устройство безопасности серии 5500.

Обратитесь к PIX/ASA 7.x и Cisco VPN Client 4.x с Windows 2003 IAS RADIUS (Против Active Directory) Пример Конфигурации аутентификации для получения дополнительной информации о том, как установить соединение VPN для удаленного доступа между Cisco VPN Client (4.x для Windows) и устройством защиты PIX 500 Series 7. x .

Клиенты VPN, неспособные решить DNS

После того, как туннель был установлен, если Клиенты VPN неспособны решить DNS, проблемой может быть конфигурация Сервера DNS в устройстве головного узла (ASA/PIX). Также проверьте подключение между Клиентами VPN и Сервером DNS. Конфигурация Сервера DNS должна быть настроена под групповой политикой и применена под групповая политика в туннельной группе общие атрибуты; например: :


!--- Create the group policy named vpn3000 and 
!--- specify the DNS server IP address(172.16.1.1)
!--- and the domain name(cisco.com) in the group policy.

group-policy vpn3000 internal
group-policy vpn3000 attributes
 dns-server value 172.16.1.1
 default-domain value cisco.com


!--- Associate the group policy(vpn3000) to the tunnel group 
!--- using the default-group-policy.

tunnel-group vpn3000 general-attributes
 default-group-policy vpn3000

Клиенты VPN, неспособные подключить внутренние серверы по имени

Клиент VPN неспособен пропинговать хосты или серверы удаленной внутренней сети или внутренней сети головного узла по имени. Необходимо включить split-dns, настраивают на ASA для решения этого вопроса.

Разделение туннеля — Неспособный обратиться к Интернету или исключенным сетям

Разделенное туннелирование позволяет Клиентам IPSEC удаленного доступа условно прямые пакеты по Туннелю IPSec в зашифрованной форме или прямые пакеты к сетевому интерфейсу в форме открытого текста, дешифрованной, где они тогда маршрутизируются к конечному назначению. Раздельное туннелирование отключено по умолчанию, который является трафиком tunnelall.

split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}

Примечание: Опция excludespecified поддерживается только для клиентов Cisco VPN, не Клиентов EzVPN.

ciscoasa(config-group-policy)#split-tunnel-policy excludespecified

Сошлитесь на эти документы для примеров подробной конфигурации раздельного туннелирования:

Прикрепление

Эта функция полезна для трафика VPN, который входит по интерфейсу и маршрутизируется на выход из этого же интерфейса. Например, если имеется концентратор и оконечная сеть VPN, в которой устройствами защиты являются концентраторы, а удаленные сети VPN являются оконечными, для обеспечения взаимодействия между оконечными устройствами трафик должен переходить к устройству защиты, а затем к другому оконечному устройству.

Используйте конфигурацию same-security-traffic, чтобы позволить трафику вводить и выходить из того же интерфейса.

securityappliance(config)#same-security-traffic permit intra-interface

Доступ к локальной сети

Пользователи удаленного доступа соединяются с VPN и в состоянии соединиться с локальной сетью только.

Для просмотра более подробного примера настройки см. PIX/ASA 7.x: обеспечение доступа к локальной сети для VPN-клиентов.

Наложения частной сети

Проблема

Если вы неспособны обратиться к внутренней сети после установки туннеля, проверьте IP-адрес, назначенный на клиент VPN, который накладывается на внутреннюю сеть позади устройства головного узла.

Решение

Всегда удостоверяйтесь, что IP-адреса в пуле, который будет назначен для клиентов VPN, внутренней сети устройства головного узла и внутренней сети Клиента VPN, должны быть в других сетях. Можно назначить ту же крупную сеть с другими подсетями, но иногда происходят проблемы маршрутизации.

Для дальнейших примеров см. Схему и Пример Неспособного для Доступа к Серверам в разделе DMZ.

Неспособный подключить больше чем Трех пользователей VPN-клиента

Проблема

Только три клиента VPN могут соединиться с ASA/PIX; соединение для четвертых клиентских сбоев. После сбоя отображено это сообщение об ошибках:

Secure VPN Connection terminated locally by the client.
	 Reason 413: User Authentication failed.
tunnel rejected; the maximum tunnel count has been reached

Решения

В большинстве случаев эта проблема отнесена к одновременному значению входа в систему в групповой политике и максимальном session-limit.

Попробуйте эти решения для решения этого вопроса:

Для получения дополнительных сведений см. раздел Настройка групповых политик Выбранные процедуры настройки ASDM VPN для Cisco ASA серии 5500, версия 5.2.

Настройте одновременные входы в систему

Если флажок Inherit в ASDM проверен, только число по умолчанию одновременных входов в систему позволено для пользователя. Значение по умолчанию для одновременных входов в систему равняется трем.

Для решения этого вопроса увеличьте стоимость для одновременных входов в систему.

  1. ASDM запуска и затем перешел к Конфигурации> VPN> Групповая политика.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble-5.gif

  2. Выберите соответствующую Группу и нажмите кнопку Edit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble-6.gif

  3. Один раз во Вкладке Общие, отмените флажок Inherit для Одновременных Входов в систему при Настройках соединения. Выберите соответствующее значение в поле.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble-7.gif

    Примечание: Минимальное значение для этого поля 0, который отключает вход в систему и предотвращает пользовательский доступ.

    Примечание: При регистрации в использование той же учетной записи пользователя от другого ПК текущий сеанс (соединение, установленное от другого ПК с помощью той же учетной записи пользователя), завершен, и новый сеанс установлен. Это - поведение по умолчанию и независимо к VPN одновременные входы в систему.

Настройка ASA/PIX в интерфейсе командной строки

Выполните эти шаги для настройки необходимого номера одновременных входов в систему. В данном примере, 20 был выбран в качестве желаемого значения.

ciscoasa(config)#group-policy Bryan attributes
ciscoasa(config-group-policy)#vpn-simultaneous-logins 20

Для узнавания больше об этой команде обратитесь к Справочнику по командам Cisco Security Appliance, Версии 7.2.

Используйте команду vpn-sessiondb max-session-limit в режиме глобальной конфигурации для ограничения сеансов VPN минимальным значением, чем устройство безопасности позволяет. Используйте версию no этой команды для удаления предела сеанса. Используйте команду снова для перезаписи текущего параметра.

vpn-sessiondb max-session-limit {session-limit}

Данный пример показывает, как установить максимальный предел сеанса VPN 450:

hostname#vpn-sessiondb max-session-limit 450

Настройте концентратор

Сообщение об ошибке

20932 10/26/2007 14:37:45.430 SEV=3 AUTH/5 RPT=1863 10.19.187.229
Authentication rejected: Reason = Simultaneous logins exceeded for user
handle = 623, server = (none), user = 10.19.187.229, domain = <not
specified>

Решение

Выполните эти шаги для настройки необходимого номера одновременных входов в систему. Можно также попытаться установить Одновременные Входы в систему в 5 для этого SA:

Choose Configuration> User Management> Groups> Modify 10.19.187.229> Общий> Одновременные Входы в систему и изменяет количество входов в систему к 5.

Неспособный Инициировать Сеанс или Приложение и Медленную Передачу после Установки туннеля

Проблема

После установления Туннеля IPSec, приложения или сеанса не инициирует по туннелю.

Решения

Используйте команду ping для проверки работы сети или проверьте доступность сервера приложений из сети пользователя. Это может быть проблема с Maximum Segment Size (MSS) для переходных пакетов, которые пересекают маршрутизатор или устройство PIX/ASA, в частности сегменты TCP с установленным битом SYN.

Маршрутизатор Cisco IOS — изменяет значение MSS во внешнем интерфейсе (туннельный интерфейс конца) маршрутизатора

Выполните эти команды для изменения значения MSS во внешнем интерфейсе (туннельный интерфейс конца) маршрутизатора:

Router>enable 
Router#configure terminal
Router(config)#interface ethernet0/1 
Router(config-if)#ip tcp adjust-mss 1300 
Router(config-if)#end

Эти сообщения показывают выходные данные отладки для TCP MSS:

Router#debug ip tcp transactions

Sep 5 18:42:46.247: TCP0: state was LISTEN -> SYNRCVD [23 -> 10.0.1.1(38437)]
Sep 5 18:42:46.247: TCP: tcb 32290C0 connection to 10.0.1.1:38437, peer MSS 1300, MSS is 
1300
Sep 5 18:42:46.247: TCP: sending SYN, seq 580539401, ack 6015751
Sep 5 18:42:46.247: TCP0: Connection to 10.0.1.1:38437, advertising MSS 1300
Sep 5 18:42:46.251: TCP0: state was SYNRCVD -> ESTAB [23 -> 10.0.1.1(38437)]

MSS отрегулирован к 1300 на маршрутизаторе согласно конфигурации.

Для получения дополнительной информации обратитесь к PIX/ASA 7.x и IOS: Фрагментация VPN.

PIX/ASA 7. X — Ссылаются на Документацию PIX/ASA

Существует неспособность обратиться к Интернету должным образом или медленной передаче через туннель, потому что это дает сообщение об ошибках максимального размера передаваемого блока данных и проблемы MSS. Сошлитесь на эти документы для решения вопроса:

Неспособный инициировать VPN-туннель от ASA/PIX

Проблема

Вы неспособны инициировать VPN-туннель от интерфейса ASA/PIX, и после того, как установка туннеля, Клиент/VPN удаленного конца будет неспособен пропинговать внутренний интерфейс ASA/PIX на VPN-туннеле. Например, pn клиент может быть неспособен инициировать SSH или соединение HTTP к Внутреннему интерфейсу ASA по VPN-туннелю.

Решение

Внутренний интерфейс PIX не может быть пропингован от другого конца туннеля, пока команда management-access не настроена в режиме глобальной конфигурации.

PIX-02(config)#management-access inside

PIX-02(config)#show management-access
management-access inside

Примечание: Эта команда также помогает в инициировании ssh или соединения http с внутренним интерфейсом ASA через VPN-туннель.

Примечание: Эта информация сохраняется для интерфейса DMZ также. Например, если вы хотите пропинговать интерфейс DMZ PIX/ASA или хотеть инициировать туннель от интерфейса DMZ, тогда команда management-access DMZ требуется.

PIX-02(config)#management-access DMZ

Примечание: Если клиент VPN неспособен соединиться, то удостоверьтесь ESP, и порты UDP открыты, однако если те порты не открыты, тогда пытаются соединиться на TCP 10000 с выбором этого порта при записи подключения VPN Client. Щелчок правой кнопкой модифицирует> вкладка Передача> IPSec по TCP. Обратитесь к PIX/ASA 7.x Поддержать IPSec по TCP на любом Примере Конфигурации порта для получения дополнительной информации о IPSec по TCP.

Неспособный передать трафик по VPN-туннелю

Проблема

Вы неспособны передать трафик по VPN-туннелю.

Решение

Эта проблема происходит из-за проблемы, описанной в идентификаторе ошибки Cisco CSCtb53186 (только зарегистрированные клиенты). Для решения этого вопроса повторно загрузите ASA. Обратитесь к дефекту для получения дополнительной информации.

Когда пакеты ESP заблокированы, эта проблема могла бы также произойти. Для решения этого вопроса, реконфигурируя VPN-туннель.

Когда данные не зашифрованы, но только дешифрованы по VPN-туннелю как показано в этих выходных данных, эта проблема могла бы произойти:

ASA# sh crypto ipsec sa peer x.x.x.x
peer address: y.y.y.y
    Crypto map tag: IPSec_map, seq num: 37, local addr: x.x.x.x
      access-list test permit ip host xx.xx.xx.xx host yy.yy.yy.yy
      local ident (addr/mask/prot/port): (xx.xx.xx.xx/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (yy.yy.yy.yy/255.255.255.255/0/0)
      current_peer: y.y.y.y

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 393, #pkts decrypt: 393, #pkts verify: 393
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

Для решения этого вопроса проверьте придерживающееся:

  1. И если крипто-соответствие access-lists с удаленным сайтом, что access-lists NAT 0 корректен.

  2. Если маршрутизация корректна, и трафик действительно поражает внешний интерфейс, проходящий внутри. Пример выходных данных показывает, что расшифровка сделана, но не происходит шифрование.

  3. Если команда connection-vpn разрешения на sysopt была настроена на ASA. Не настроенный, при настройке этой команды, потому что она позволяет ASA освобождать ЗАШИФРОВАННЫЙ/ТРАФИК VPN от интерфейсной проверки ACL.

Резервный узел Настройки для vpn туннелирует на той же криптокарте

Проблема

Вы хотите использовать узлы множественного резервирования для одиночного туннеля vpn.

Решение

Множественные одноранговые телефонные соединения Настройки эквивалентны обеспечению списка нейтрализации. Для каждого туннеля устройство безопасности пытается выполнить согласование с первым узлом в списке.

Если тот узел не отвечает, устройство безопасности прокладывает себе путь вниз список, пока или узел не отвечает или в списке больше нет узлов.

ASA нужно настроить криптокарту уже как основную адресуемую точку. Вторичный узел мог быть добавлен после основного.

Конфигурация данного примера показывает основную адресуемую точку как X.X.X.X и резервный узел как Y.Y.Y.Y:

ASA(config)#crypto map mymap 10 set peer X.X.X.X Y.Y.Y.Y

Для получения дополнительной информации обратитесь к одноранговому разделу набора Криптокарты в Справочнике по командам Cisco Security Appliance, Версии 8.0.

Отключите/Перезапустите VPN-туннель

Проблема

Чтобы временно отключить VPN-туннель и перезапустить сервис, завершите процедуру, описанную в этом разделе.

Решение

Используйте команду crypto map interface в режиме глобальной конфигурации для удаления ранее определенного набора криптокарты к интерфейсу. Используйте эту команду с параметром no для удаления набора криптокарты из интерфейса.

hostname(config)#no crypto map map-name interface interface-name

Эта команда удаляет набор криптокарты к любому интерфейсу устройства активной безопасности, и сделайте VPN-туннель IPSec неактивным в том интерфейсе.

Для перезапуска Туннеля IPSec на интерфейсе необходимо назначить набор криптокарты на интерфейс, прежде чем тот интерфейс сможет предоставить Сервисы IPSec.

hostname(config)#crypto map map-name interface interface-name 

Некоторые Туннели, не Зашифрованные

Проблема

Когда очень большой номер туннелей настроен на Шлюзе VPN, некоторые туннели не передают трафик. ASA не получает зашифрованные пакеты для тех туннелей.

Решение

Эта проблема происходит, потому что ASA не в состоянии передавать зашифрованные пакеты через туннели. Двойные правила шифрования созданы в таблице ASP. Это - известная неполадка и идентификатор ошибки, CSCtb53186 (только зарегистрированные клиенты) был подан для рассмотрения этой проблемы. Для решения, этот вопрос, или повторно загружают ASA или обновляют программное обеспечение к версии, в которой исправлена эта ошибка.

Ошибка:-%ASA-5-713904: Группа = DefaultRAGroup, IP = x. x . x . x, Клиент использует неподдерживаемый Режим транзакции v2 версия. Туннель завершился.

Проблема

Сообщение об ошибках %ASA-5-713904: Group = DefaultRAGroup, IP = 99.246.144.186, Client is using an unsupported Transaction Mode v2 version.Tunnel terminated появляется.

Решение

Причина для сообщения об ошибках Transaction Mode v2 состоит в том, что ASA поддерживает только Настройку режима IKE V6 а не старая версия режима V2. Используйте Настройку режима IKE версия V6 для решения этой ошибки.

Ошибка:-%ASA-6-722036: Пользователь группы клиентов Группы xxxx IP x. x . x . x Передающий большой пакет 1220 (порог 1206)

Проблема

Сообщение об ошибках %ASA-6-722036: Group < client-group > User < xxxx > IP < x.x.x.x> Transmitting large packet 1220 (threshold 1206) появляется в журналах ASA. Что это регистрирует средства и как это может быть решено?

Решение

Это сообщение журнала сообщает, что большой пакет был передан клиенту. Источник пакета не знает о MTU клиента. Это может также произойти из-за сжатия несжимаемых данных. Обходной путь должен выключить сжатие SVC со сжатием обращения к операционной системе, ни один не дает команду, который решает вопрос.

Ошибка: группа сервера аутентификации ни один не дает команду, была осуждена

Проблема

Если вы передаете конфигурацию VPN от PIX/ASA, который выполняет Версию 7.0.x к другому устройству безопасности, которое выполняется 7.2.x, вы получаете это сообщение об ошибках:

ERROR: The authentication-server-group none command has been deprecated.
The "isakmp ikev1-user-authentication none" command in the ipsec-attributes should be used
instead.

Решение

Команда authentication-server-group больше не поддерживается в 7.2 (1) и позже. Эта команда осуждалась и переместилась в режим конфигурации общих атрибутов туннельной группы.

Обратитесь к разделу ikev1-проверка-подлинности-пользователи isakmp Справочника по командам для получения дополнительной информации об этой команде.

Сообщение об ошибках, когда QoS Включено в одном Конце VPN-туннеля

Проблема

При включении QoS в одном конце VPN-туннеля вы могли бы получить это сообщение об ошибках:

IPSEC: Received an ESP packet (SPI= 0xDB6E5A60, sequence number= 0x7F9F) from
10.18.7.11 (user= ghufhi) to 172.16.29.23 that failed anti-replay checking

Решение

Когда один конец туннеля делает QoS, это сообщение обычно вызывается. Когда пакет обнаружен как являющийся неисправным, это происходит. Можно отключить QoS для остановки этого, но оно может быть проигнорировано, пока трафик в состоянии пересечь туннель.

warningПредупреждение: элемент криптокарты будет неполным

Проблема

При выполнении команды crypto map mymap 20 ipsec-isakmp вы могли бы получить эту ошибку:

warningПредупреждение: элемент криптокарты будет неполным

Например: :

ciscoasa(config)#crypto map mymap 20 ipsec-isakmp
WARNING: crypto map entry will be incomplete

Решение

Это - обычное предупреждение при определении новой криптокарты, напоминание, что параметры, такие как access-list (адрес соответствия), набор преобразований и адрес партнера (peer) должны быть настроены, прежде чем это сможет работать. Это также обычно, который первая линия, которую вы вводите для определения криптокарты не показывает в конфигурации.

Ошибка:-%ASA-4-400024: IDS:2151 Большой пакет ICMP от к на интерфейсе снаружи

Проблема

Неспособный передать большой ping - пакет по туннелю vpn. Когда мы пытаемся передать большие ping - пакеты, мы получаем ошибку %ASA-4-400024: IDS:2151 Large ICMP packet from to on interface outside

Решение

Отключите подписи 2150 и 2151 для решения этого вопроса. Как только подписи отключены, эхо-запрос хорошо работает.

Используйте эти команды для отключения подписей:

ASA (config) #ip контрольная подпись 2151 отключает

ASA (config) #ip контрольная подпись 2150 отключает

Ошибка:-%PIX|ASA-4-402119: IPSEC: Полученный пакет протокола (SPI=spi, порядковый номер = seq_num) от remote_IP (имя пользователя) к local_IP, который отказал проверку антивоспроизведения.

Проблема

Я получил эту ошибку в сообщениях журнала ASA:

Error:- %PIX|ASA-4-402119: IPSEC: Received a protocol packet (SPI=spi, sequence number= seq_num) from remote_IP (username) to local_IP that failed anti-replay checking.

Решение

Для решения этой ошибки используйте команду crypto ipsec security-association replay window-size для варьирования размера окна.

hostname(config)#crypto ipsec security-association replay window-size 1024

Примечание: Cisco рекомендует использовать полные 1024 размера окна для устранения любых проблем антивоспроизведения.

Сообщение об ошибках - %PIX|ASA-4-407001: Запретите трафик для local-host interface_name:inside_address, ограничение лицензии количества превысило

Проблема

Немного хостов неспособны соединиться с Интернетом, и это сообщение об ошибках появляется в системном журнале:

Error Message - %PIX|ASA-4-407001: Deny traffic for local-host interface_name:inside_address, license limit of number exceeded

Решение

Когда количество пользователей превышает пользовательский предел используемой лицензии, это сообщение об ошибках получено. Эта ошибка может быть решена путем обновления лицензии на более высокое количество пользователей. Лицензия пользователя может включать 50, 100, или неограниченные пользователи как требуется.

Сообщение об ошибках - %VPN_HW-4-PACKET_ERROR:

Проблема

Сообщение об ошибках Error Message - %VPN_HW-4-PACKET_ERROR: указывает, что не соответствуют пакету ESP с HMAC, полученным маршрутизатором. Эта ошибка могла бы быть вызвана этими проблемами:

  • Дефектная VPN модуль H/W

  • Поврежденный пакет ESP

Решение

Для решения этого сообщения об ошибках:

  • Проигнорируйте сообщения об ошибках, пока нет нарушение трафика.

  • Если существует нарушение трафика, замените модуль.

Сообщение об ошибке: Команда отклонила: удалите крипто-соединение между VLAN XXXX и XXXX, сначала.

Проблема

Когда вы пытаетесь добавить позволенный VLAN на магистральном порту на коммутаторе, это сообщение об ошибках появляется: Command rejected: delete crypto connection between VLAN XXXX and VLAN XXXX, first..

Граничный транк глобальной сети (WAN) не может модифицироваться для разрешения дополнительных VLAN. Т.е. вы неспособны добавить VLAN в транке SPA IPSEC VPN.

Эта команда отклонена, потому что разрешение ее приведет к крипто-VLAN связанного интерфейса, которая принадлежит позволенному списку VLAN интерфейса, который излагает потенциальное нарушение Безопасности IPsec. Обратите внимание на то, что это поведение применяется ко всем магистральным портам.

Решение

Вместо команды no switchport trunk allowed vlan (vlanlist), используйте команду switchport trunk allowed vlan none или команду "switchport trunk allowed vlan remove (vlanlist)".

Сообщение об ошибках - % FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE: Отбрасывание пакета - опция Invalid Window Scale для сеанса x. x . x . x : 27331 к x. x . x . x : 23 [Инициатор (отмечают 0, разлагают на множители 0), Респондент (отмечают 1, разлагают на множители 2),]

Проблема

Эта ошибка происходит, когда вы пробуете к telnet от устройства на дальнем конце VPN-туннеля или когда вы пробуете к telnet от самого маршрутизатора:

Error Message - % FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE: Dropping packet - Invalid Window Scale option for session x.x.x.x:27331 to x.x.x.x:23 [Initiator(flag 0,factor 0) Responder (flag 1, factor 2)]

Решение

Лицензия пользователя может включать 50, 100, или неограниченные пользователи как требуется. Масштабирование окна было добавлено для учета быстрой передачи данных на длинных толстых сетях (LFN). Это, как правило, соединения с очень высокой пропускной способностью, но также и большая задержка. Сети со спутниковыми подключениями являются одним примером LFN, так как соединения Satellite всегда имеют высокие задержки распространения, но, как правило, имеют высокую пропускную способность. К окну enable, масштабирующемуся для поддержки LFNs, размер окна TCP должен быть больше чем 65,535. Это сообщение об ошибках может быть решено путем увеличения размера окна TCP, чтобы быть больше чем 65,535.

%ASA-5-305013: Асимметричные правила NAT совпали для форварда и реверса. Обновите эту проблему потоки

Проблема

Это сообщение об ошибках появляется, как только подходит VPN-туннель:

%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse . Please update this issue flows

Решение

Для решения этого вопроса если не о том же интерфейсе как хост с помощью NAT, используйте сопоставленный адрес вместо фактического адреса для соединения с хостом. Кроме того, включите команду inspect, если приложение встраивает IP-адрес.

%PIX|ASA-5-713068: Полученная неподпрограмма Уведомляет сообщение: notify_type

Проблема

Если VPN-туннель не в состоянии подходить, это сообщение об ошибках появляется:

%PIX|ASA-5-713068: Received non-routine Notify message: notify_type

Решение

Это сообщение происходит из-за неверной конфигурации (т.е. когда политика или ACL не настроены, чтобы быть тем же на узлах). Как только с политикой и ACL совпадают, туннель подходит без любой проблемы.

%ASA-5-720012: (Вторичный VPN) Отказавший для обновления данных времени выполнения аварийного переключения IPSec на резервном модуле (или) %ASA-6-720012: (модуль VPN), Отказавший для обновления данных времени выполнения аварийного переключения IPSec на резервном модуле

Проблема

Когда вы пытаетесь обновить устройство адаптивной защиты Cisco (ASA), одно из этих сообщений об ошибках появляется:

%ASA-5-720012: (VPN-Secondary) Failed to update IPSec failover runtime data on the standby unit.

%ASA-6-720012: (VPN-unit) Failed to update IPsec failover runtime data on the standby unit.

Решение

Эти сообщения об ошибках являются информативными ошибками. Сообщения не влияют на функциональность ASA или VPN.

Эти сообщения появляются, когда подсистема аварийного переключения VPN не может обновить связанные с IPSec данные во время выполнения, потому что соответствующий Туннель IPSec был удален на резервном модуле. Для решения их выполните команду wr standby на активном модуле.

Два дефекта были поданы для адресации к этому поведению и обновлению к версии программного обеспечения ASA, где исправлены эти ошибки. Обратитесь к идентификаторам ошибок Cisco CSCtj58420 (только зарегистрированные клиенты) и CSCtn56517 (только зарегистрированные клиенты) для получения дополнительной информации.

Ошибка:-%ASA-3-713063: Адрес партнера (peer) IKE, не настроенный для назначения 0.0.0.0

Проблема

Сообщение об ошибках %ASA-3-713063: IKE Peer address not configured for destination 0.0.0.0 появляется, и туннель не в состоянии подходить.

Решение

Когда адрес партнера (peer) IKE не настроен для туннеля L2L, это сообщение появляется. Эта ошибка может быть решена путем изменения порядкового номера криптокарты, затем удаления и повторного применения криптокарты.

Ошибка: %ASA-3-752006: Туннельный Менеджер был не в состоянии диспетчеризировать сообщение KEY_ACQUIRE.

Проблема

Сообщение об ошибках %ASA-3-752006: Tunnel Manager failed to dispatch a KEY_ACQUIRE message.Probable mis-configuration of the crypto map or tunnel-group." зарегистрировано на Cisco ASA.

Решение

Это сообщение об ошибках может быть вызвано неверной конфигурацией криптокарты или туннельной группы. Гарантируйте, что оба настроены должным образом. Для получения дополнительной информации об этом сообщении об ошибках, обратитесь к Ошибке 752006.

Вот некоторые корректирующие действия:

  • Удалите крипто-ACL (например, привязанный к динамической схеме).

  • Удалите неиспользованную связанную конфигурацию IKEv2, если таковые имеются.

  • Проверьте, что крипто-ACL совпал должным образом.

  • Удалите двойные записи access-list, если таковые имеются.

Ошибка: %ASA-4-402116: IPSEC: Полученный пакет ESP (SPI = 0x99554D4E, порядковый номер = 0x9E) от XX.XX.XX.XX (user = XX.XX.XX.XX) к YY.YY.YY.YY

В настройке Туннеля VPN между локальными сетями эта ошибка получена на одном конечном ASA:

The decapsulated inner packet doesn't match the negotiated policy in the SA.

The packet specifies its destination as 10.32.77.67, its source as 10.105.30.1, and its protocol as icmp.

The SA specifies its local proxy as 10.32.77.67/255.255.255.255/ip/0 and its remote_proxy as 10.105.42.192/255.255.255.224/ip/0.

Решение

Необходимо проверить access-lists представляющего интерес трафика, определенный на обоих концах VPN-туннеля. Оба должны совпасть как точные зеркальные образы.

Подведенный для запуска 64-разрядного установщика ВА для включения виртуального адаптера из-за ошибки 0xffffffff

Проблема

Когда AnyConnect не в состоянии соединяться, сообщение журнала Failed to launch 64-bit VA installer to enable the virtual adapter due to error 0xffffffff получено.

Решение

Для устранения указанной неполадки выполните следующие действия:

  1. Перейдите к Системе> интернет-менеджмент Связи> интернет-параметры настройки Связи и удостоверьтесь, что Выключают Автоматическое Обновление Корневых сертификатов, отключен.

  2. Если это отключено, то отключите всю Административную часть Шаблона GPO, назначенного на машину, на которую влияют, и тест снова.

Отнеситесь для Выключения Автоматического Обновления Корневых сертификатов leavingcisco.com для получения дополнительной информации.

Ошибка 5: Отсутствует имя хоста для этого подключения. Невозможно установить VPN-подключение.

Проблема

Сообщение об ошибках Error 5: No hostname exists for this connection entry. Unable to make VPN connection получено во время новой установки ПК.

Решение

Эта проблема происходит из-за идентификатора ошибки Cisco CSCso94244 (только зарегистрированные клиенты). Для получения дополнительных сведений обратитесь к документации по данной ошибке.

Cisco VPN Client не работает с картой данных на Windows 7

Проблема

Cisco VPN Client не работает с картой данных на Windows 7.

Решение

Cisco VPN Client, установленный на Windows 7, не работает с соединениями 3G, так как карты данных не поддерживаются на клиентах VPN, установленных на машине Windows 7.

Предупреждающее сообщение: "Функциональные возможности VPN могут не работать вообще"

Проблема

При попытке включить isakmp на внешнем интерфейсе ASA, получено это предупреждающее сообщение:

ASA(config)# crypto isakmp enable outside 
WARNING, system is running low on memory.  Performance may start to degrade. 
VPN functionality may not work at all.

На этом этапе обратитесь к ASA через ssh. HTTPS остановлен, и на других клиентов SSL также влияют.

Решение

Эта проблема происходит из-за требований к памяти другими модулями, такими как регистратор и крипто-. Удостоверьтесь, что у вас нет команды logging queue 0. Это делает набор размера очереди к 8192, и распределение памяти поднимается.

В платформах, таких как ASA5505 и ASA5510, это распределение памяти склоняется к памяти - исчерпали ресурсы другие модули (IKE и и т.д.). Идентификатор ошибки Cisco CSCtb58989 (только зарегистрированные клиенты) был зарегистрирован для адресации к подобному типу поведения. Для решения этого настройте logging queue к меньшему значению, такой как 512.

Ошибка Заполнения IPSec

Проблема

Это сообщение об ошибках получено:

%PIX|ASA-3-402130: CRYPTO: Received an ESP packet (SPI =
	 0xXXXXXXX, sequence number= 0xXXXX) from x.x.x.x (user= user) to y.y.y.y with
	 incorrect IPsec padding

Решение

Проблема происходит, потому что IPSEC VPN выполняет согласование без алгоритма хеширования. Пакетное хеширование гарантирует проверку целостности для канала ESP. Поэтому без хеширования, неправильна сформированные пакет приняты необнаруженные Cisco ASA, и это пытается дешифровать эти пакеты. Однако, потому что эти пакеты неправильно сформированы, ASA находит дефекты при дешифровании пакета. Это вызывает сообщения об ошибках заполнения, которые замечены.

Рекомендация состоит в том, чтобы включать алгоритм хэширования в набор преобразований для VPN и гарантировать, что ссылка между узлами имеет минимальный пакетный дефект.

Время задержки Тишины в эфире по удаленным телефонам сайта

Проблема

Время задержки тишины в эфире испытано по удаленным телефонам сайта. Как устранить эту проблему?

Решение

Отключите облегченную и проверку SIP для решения этой проблемы:

asa(config)# no inspect sip
asa(config)# no inspect skinny

После каждых 18 часов разъединен VPN-туннель

Проблема

После каждых 18 часов разъединен VPN-туннель даже при том, что срок действия установлен в течение 24 часов.

Решение

Срок действия является максимальным временем, SA может использоваться для смены ключа. Значение, которое вы вводите в конфигурацию как срок действия, является другим с повторно вводить времени SA. Поэтому необходимо выполнить согласование о новом SA (или пара SA в случае IPSec), прежде чем истечет текущий. Повторно вводить время должно всегда быть меньшим, чем срок действия для получения возможности множественных попыток в случае, если первые повторно вводят сбои попытки. RFC не задают, как вычислить повторно вводить время. Это оставляют усмотрению лиц, осуществляющих внедрение. Поэтому время будет варьироваться в зависимости от используемой платформы, который версия программного обеспечения, и т.д.

Некоторые реализации могут использовать случайный фактор для вычисления повторно вводить таймера. Например, если ASA инициирует туннель, то это обычно, который это повторно введет в 64800 секунд = 75% из 86400. Если маршрутизатор инициирует, то ASA может ждать дольше, чтобы дать узлу больше времени для инициирования повторно введения. Таким образом это обычно, что сеанс VPN разъединен каждые 18 часов для использования другого ключа для согласования VPN. Это не должно вызывать отбрасывание VPN или проблему.

Трафик не поддержан после того, как LAN в туннель LAN пересмотрена

Проблема

Трафик не поддержан после того, как LAN в туннель LAN пересмотрена.

Решение

ASA контролирует каждое соединение, которое проходит через него и поддерживает запись в ее таблице состояний согласно функции контроля приложения. Подробные данные зашифрованного потока данных, которые проходят через VPN, поддержаны в форме базы данных сопоставления безопасности (SA). Для LAN к VPN-подключениям LAN это поддерживает два других трафика. Каждый - зашифрованный поток данных между Шлюзами VPN. Другой трафик между сетевым ресурсом позади Шлюза VPN и конечным пользователем позади другого конца. Когда VPN завершена, подробные данные потока для этого определенного SA удалены. Однако запись таблицы состояний, поддержанная ASA для этого TCP - подключения, становится устаревшей ни из-за какого действия, которое препятствует загрузкам. Это означает, что ASA все еще сохранит TCP - подключение для того отдельного потока, в то время как завершается пользовательское приложение. Однако TCP - подключения станут случайными и в конечном счете таймаут после того, как истечет таймер простоя TCP.

Эта проблема была решена путем представления функции под названием Туннелированные Потоки Персистентного IPSec. Новая команда, потоки vpn заповедника соединения sysopt, была интегрирована в Cisco ASA для сохранения информации о таблице состояний на пересмотре VPN-туннеля. По умолчанию эта команда отключена. Когда VPN L2L восстановится с разрушения и восстановит туннель, путем включения этого Cisco ASA поддержит сведения таблицы состояния TCP.

Сообщение об ошибках сообщает, что Пропускная способность достигла Крипто-функциональности

Проблема

Это сообщение об ошибках получено на Маршрутизаторе серии 2900:

Error: Mar 20 10:51:29: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

Решение

Это - известная неполадка, которая происходит из-за строгих рекомендаций, выполненных Правительством США. Согласно этому, securityk9 лицензия может только позволить шифрованию полезной нагрузки до скоростей близко к 90 Мбит/с и ограничить количество зашифрованных сеансов туннелей/TLS к устройству. Для получения дополнительной информации о крипто-ограничениях экспорта, обратитесь к Cisco ISR G2 SEC и HSEC Лицензирование.

В случае устройств Сisco это получено, чтобы быть однонаправленным трафиком на меньше чем 85 Мбит/с в или из маршрутизатора ISR G2 с двунаправленным общим количеством 170 Мбит/с. Это требование просит Cisco 1900, 2900 и 3900 платформ ISR G2. Эта команда помогает вам в просмотре этих ограничений:

Router#show platform cerm-information
Crypto Export Restrictions Manager(CERM) Information:
CERM functionality: ENABLED
 ----------------------------------------------------------------
 Resource                       Maximum Limit           Available
 ----------------------------------------------------------------
 Tx Bandwidth(in kbps)          85000                   85000
 Rx Bandwidth(in kbps)          85000                   85000
 Number of tunnels                 225                       225
 Number of TLS sessions        1000                    1000
---Output truncated----

Существует дефект, поданный для адресации к этому поведению. Обратитесь к идентификатору ошибки Cisco CSCtu24534 (только зарегистрированные клиенты) для получения дополнительной информации.

Во избежание этой проблемы необходимо купить лицензию HSECK9. "hseck9" характеристика лицензирования предоставляет улучшенную функциональность шифрования полезной нагрузки увеличенным количеством VPN-туннеля и безопасными речевыми сеансами. Для получения дополнительной информации о лицензировании комплекта маршрутизаторов ISR Cisco, обратитесь к Активации ПО.

Проблема: Даже если входящий трафик расшифровки работает, исходящий трафик шифрования в Туннеле IPSec может отказать.

Решение

Эта проблема наблюдалась относительно IP - безопасного соединения после того, как множитель повторно вводит, но более аккуратное условие не ясно. Присутствие этой проблемы может быть установлено путем проверки выходных данных команды show asp drop и подтверждения, что контекст VPN С истекшим сроком противостоит увеличениям для каждого передаваемого исходящего пакета. Обратитесь к идентификатору ошибки Cisco CSCtd36473 (только зарегистрированные клиенты) для получения дополнительной информации.

Прочее

Сообщение AG_INIT_EXCH Появляется в Выходных данных Команд "show crypto isakmp sa" и "отладки"

Если туннель не становится инициируемым, сообщение AG_INIT_EXCH появляется в выходных данных команды show crypto isakmp sa и в выходных данных отладки также. Если порт udp 500 заблокирован на пути, причина может произойти из-за не сочетающейся политики ISAKMP или.

Сообщение отладки "Получило сообщение IPC во время недопустимого состояния", Появляется

Это сообщение является информационным сообщением и не имеет никакого отношения к разъединению VPN-туннеля.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 81824