Gangbare problemen met L2L en IPsec VPN voor externe toegang troubleshooten

Inleiding

In dit document worden de meest gangbare oplossingen voor problemen met IPsec VPN beschreven.

Achtergrondinformatie

De oplossingen die hier worden beschreven, komen rechtstreeks voort uit serviceverzoeken die de technische ondersteuning van Cisco heeft opgelost.

Veel van deze oplossingen worden geïmplementeerd voordat een IPsec VPN-verbinding grondig wordt opgelost.

Dit document bevat een overzicht van de gebruikelijke procedures die u kunt proberen voordat u problemen met een verbinding oplost.

Hoewel de configuratievoorbeelden in dit document voor gebruik zijn op routers en beveiligingsapparaten, zijn bijna al deze concepten ook van toepassing op de VPN 3000.

Zie Problemen oplossen met IP-beveiliging - Begrijpen en gebruiken van foutopsporingsopdrachten voor een uitleg van veelvoorkomende foutopsporingsopdrachten die worden gebruikt om IPsec-problemen op te lossen met zowel de Cisco IOS^®-software als de IOS^®-software.

Opmerking: ASA geeft geen multicast-verkeer door via IPsec VPN-tunnels.

Waarschuwing: Veel van de oplossingen die in dit document worden gepresenteerd, kunnen leiden tot een tijdelijk verlies van alle IPsec VPN-connectiviteit op een apparaat.

Het wordt aanbevolen dat u deze oplossingen voorzichtig en in overeenstemming met uw beleid voor wijzigingsbeheer toepast.

Voorwaarden

Vereisten

Cisco raadt kennis van IPsec VPN-configuratie op deze Cisco-apparaten aan:

• Cisco ASA 5500 Series security applicatie

• Cisco IOS®-routers

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco ASA 5500 Series security applicatie

• Cisco IOS®

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

IPsec VPN-configuratie werkt niet

Probleem

Een recent geconfigureerde of gewijzigde IPsec VPN-oplossing werkt niet.

Een huidige IPsec VPN-configuratie werkt niet meer.

Oplossingen

Deze sectie bevat oplossingen voor de meest gangbare problemen met IPsec VPN.

Hoewel ze niet in een bepaalde volgorde worden vermeld, kunnen deze oplossingen worden gebruikt als een checklist van items om te verifiëren of te proberen voordat u een diepgaande sanering uitvoert.

Al deze oplossingen komen rechtstreeks voort uit TAC-serviceaanvragen en hebben tal van problemen opgelost.

• NAT-Traversal inschakelen (VPN-kwestie 1)

• Connectiviteit effectief testen

• ISAKMP inschakelen

• PFS in-/uitschakelen

• Oude of bestaande security koppelingen (tunnels) wissen

• Controleer de levensduur van ISAKMP

• ISAKMP-keepalives in- of uitschakelen

• Vooraf gedeelde sleutels opnieuw invoeren of herstellen

• Vooraf gedeelde sleutel komt niet overeen

• Crypto maps verwijderen en opnieuw toepassen

• Controleren of systeemopdrachten aanwezig zijn (alleen ASA/ASA)

• De ISAKMP-identiteit controleren

• Time-out bij inactiviteit/sessietime-out controleren

• Controleren of ACL’s correct en aan crypto map gebonden zijn

• Het ISAKMP-beleid controleren

• Controleren of de routing juist is

• Controleren of de transformatieset juist is

• Volgnummers en naam van crypto map controleren

• Controleren of het peer-IP-adres juist is

• De tunnelgroep en groepsnamen controleren

• XAUTH voor L2L-peers uitschakelen

• Uitputting van de VPN-pool

• Problemen met latentie voor VPN-clientverkeer

Opmerking: Sommige opdrachten in deze secties over twee regels verdeeld vanwege de benodigde ruimte.

NAT-Traversal inschakelen (VPN-kwestie 1)

Met NAT-Traversal (of NAT-T) kan VPN-verkeer door NAT- of PAT-apparaten gaan, zoals een Linksys SOHO-router.

Als NAT-T niet is ingeschakeld, lijken VPN-clientgebruikers vaak zonder probleem verbinding te maken met de ASA, maar hebben ze geen toegang tot het interne netwerk achter het beveiligingstoestel.

Als u de NAT-T niet inschakelt in het NAT/PAT-apparaat, kunt u de reguliere vertaling ontvangen die is mislukt voor protocol 50 src binnen:10.0.1.26 dst buiten:10.9.69.4 foutmelding in de ASA.

Evenzo, als u niet in staat bent om tegelijkertijd in te loggen vanaf hetzelfde IP-adres, wordt de beveiligde VPN-verbinding lokaal beëindigd door de client. Reden 412: De externe peer reageert niet meer.foutmelding verschijnt.

Schakel NAT-T in het head-end VPN-apparaat in om deze fout op te lossen.

Opmerking: Met Cisco IOS® Software Release 12.2(13)T en hoger is NAT-T standaard ingeschakeld in Cisco IOS®.

Dit is de opdracht om NAT-T in te schakelen op een Cisco security applicatie. De twintig (20) in dit voorbeeld is de keepalive-tijd (standaard).

ASA

securityappliance(config)#crypto isakmp nat-traversal 20

Om het te laten werken moeten ook de clients worden aangepast.

Navigeer in Cisco VPN Client naar Verbindingsitems en klik op Wijzigen. Het opent een nieuw venster waarin u het tabblad Transport moet kiezen.

Klik onder dit tabblad op Enable Transparent Tunnelling en het keuzerondje IPSec over UDP ( NAT / PAT ). Klik vervolgens op Opslaan en test de verbinding.

Het is belangrijk om de UDP 4500 voor NAT-T-, UDP 500- en ESP-poorten toe te staan door de configuratie van een ACL omdat de ASA fungeert als een NAT-apparaat.

Raadpleeg Een IPsec-tunnel configureren via een firewall met NAT voor meer informatie over de ACL-configuratie in ASA.

Connectiviteit effectief testen

Idealiter wordt VPN-connectiviteit getest vanaf apparaten achter de eindpuntapparaten die de codering uitvoeren, maar veel gebruikers testen VPN-connectiviteit met de pingopdracht op de apparaten die de codering uitvoeren.

Hoewel de ping over het algemeen voor dit doel werkt, is het belangrijk om uw ping van de juiste interface te halen.

Als de bron verkeerd is, kan het lijken dat de VPN-verbinding is mislukt wanneer deze echt werkt. Dit is een voorbeeld:

Crypto-ACL op router A

access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255

Crypto-ACL op router B

access-list 110 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255

In deze situatie moet aping afkomstig zijn van het interne netwerk achter beide routers. Dit komt doordat crypto-ACL's alleen geconfigureerd zijn om verkeer met die bronadressen te versleutelen.

Alle apparaten die afkomstig zijn van de externe interfaces van beide routers zijn niet gecodeerd. Gebruik de uitgebreide opties van de opdracht ping in de geprivilegieerde EXEC-modus om een ping te verkrijgen via de interne interface van een router:

routerA#ping
Protocol [ip]:
Target IP address: 192.168.200.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.100.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.100.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = ½/4 ms

Stel je voor dat de routers in dit diagram zijn vervangen door ASA-beveiligingstoestellen. De koppeling die wordt gebruikt om de connectiviteit te testen, kan ook worden verkregen via de interne interface met het zoekwoord aan de binnenkant:

securityappliance#ping inside 192.168.200.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Het wordt niet aanbevolen om de interne interface van een beveiligingsapparaat te richten op uw ping.

Als u de interne interface met uw ping moet richten, moet u beheer-toegang tot die interface inschakelen, anders reageert het toestel niet.

securityappliance(config)#management-access inside

Wanneer er een probleem is met de connectiviteit, functioneert zelfs fase één (1) van VPN niet.

Op de ASA, als de connectiviteit uitvalt, is de SA-uitvoer vergelijkbaar met dit voorbeeld, wat een mogelijke onjuiste crypto-peer-configuratie en / of onjuiste ISAKMP-voorstelconfiguratie aangeeft:

Router#show crypto isakmp sa

1   IKE Peer: XX.XX.XX.XX
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_WAIT_MSG2

De status kan variëren van MM_WAIT_MSG2 tot MM_WAIT_MSG5, wat duidt op het falen van de betreffende statusuitwisseling in de hoofdmodus (MM).

Crypto SA-uitvoer wanneer de fase 1 is voltooid, is vergelijkbaar met dit voorbeeld:

Router#show crypto isakmp sa

1   IKE Peer: XX.XX.XX.XX
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

ISAKMP inschakelen

Als er geen indicatie is dat een IPsec VPN-tunnel werkt, is het mogelijk dat ISAKMP niet is ingeschakeld. Zorg ervoor dat u ISAKMP op uw apparaten heeft ingeschakeld.

Gebruik een van de volgende opdrachten om ISAKMP op uw apparaten in te schakelen:

Cisco IOS®

router(config)#crypto isakmp enable

Cisco ASA (buiten vervangen door de gewenste interface)

securityappliance(config)#crypto isakmp enable outside

Bij het inschakelen van ISAKMP op de buiteninterface kan de volgende foutmelding optreden:

UDP: ERROR - socket <unknown> 62465 in used
ERROR: IkeReceiverInit, unable to bind to port

De oorzaak van de fout kan zijn dat de client achter ASA krijgt PAT upp poort 500 voordat isakmp kan worden ingeschakeld op de interface. Zodra de PAT-vertaling is verwijderd (clear xlate) kan ISAKMP worden ingeschakeld.

Controleer of UDP 500- en 4500-poortnummers zijn gereserveerd voor de onderhandeling van ISAKMP-verbindingen met de peer.

Wanneer ISAKMP niet is ingeschakeld op de interface, toont de VPN-client een foutbericht dat vergelijkbaar is met dit bericht:

Secure VPN connection terminated locally by client. 
Reason 412: The remote peer is no longer responding

Om deze fout op te lossen, schakelt u ISAKMP in op de crypto-interface van de VPN-gateway.

PFS in-/uitschakelen

Bij IPsec-onderhandelingen zorgt Perfect Forward Secrecy (PFS) ervoor dat elke nieuwe cryptografische sleutel geen verband houdt met een eerdere sleutel.

PFS inschakelen of uitschakelen op beide tunnelpeers; anders is de LAN-naar-LAN (L2L) IPsec-tunnel niet ingesteld in de ASA / Cisco IOS® router.

Perfect Forward Security (PFS) is bedrijfseigen van Cisco en wordt niet ondersteund op apparaten van derden.

ASA:

PFS is standaard uitgeschakeld. Als u PFS wilt inschakelen, gebruikt u de opdracht pfsmet het trefwoord enable in de configuratiemodus voor groepsbeleid. Voer het trefwoord disable in om PFS uit te schakelen.

hostname(config-group-policy)#pfs {enable | disable}

Als u het attribuut PFS uit de configuratie wilt verwijderen, voert u het formulier No van deze opdracht in.

Een groepsbeleid kan een PFS-waarde overnemen van een ander groepsbeleid. Voer het geen formulier van deze opdracht in om de overdracht van een waarde te voorkomen.

hostname(config-group-policy)#no pfs 

Cisco IOS® Router:

Om te specificeren dat IPsec om PFS moet vragen wanneer nieuwe beveiligingsassociaties worden gevraagd voor deze crypto-kaartvermelding, gebruikt u de ingestelde pfscommand in de configuratiemodus voor crypto-kaarten.

Om te specificeren dat IPsec PFS vereist wanneer het verzoeken voor nieuwe beveiligingsassociaties ontvangt, gebruikt u de ingestelde pfscommand in de configuratiemodus voor cryptografische kaarten.

Als u wilt instellen dat IPsec niet om PFS vraagt, gebruikt u de no-vorm van deze opdracht. PFS wordt standaard niet aangevraagd. Als bij deze opdracht geen groep wordt gespecificeerd, wordt standaard group1 gebruikt.

set pfs [group1 | group2]
no set pfs 

Argumenten van de opdracht set pfs:

• group1: Specificeert dat IPsec de 768-bits Diffie-Hellman prime modulus-groep moet gebruiken wanneer de nieuwe Diffie-Hellman uitwisseling wordt uitgevoerd.

• group2: Specificeert dat IPsec de 1024-bits Diffie-Hellman prime modulus-groep moet gebruiken wanneer de nieuwe Diffie-Hellman uitwisseling wordt uitgevoerd.

Voorbeeld:

Router(config)#crypto map map 10 ipsec-isakmp
Router(config-crypto-map)#set pfs group2

Oude of huidige beveiligingsassociaties (tunnels) wissen

Als deze foutmelding zich voordoet in de Cisco IOS®-router, is het probleem dat de SA is verlopen of is gewist.

Het externe tunnel-eindapparaat weet niet dat het een verlopen SA gebruikt om een pakket versturen (dat geen SA-opbouwpakket is).

Wanneer er een nieuwe SA is opgebouwd, wordt de communicatie hervat. Initieer dus het interessante verkeer door de tunnel om een nieuwe SA te maken en de tunnel opnieuw op te bouwen.

%CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x  has no SA 

Het wissen van de security koppelingen (SA's) van ISAKMP (fase I) en IPsec (fase II) is de meest simpele en vaak de beste oplossing voor IPsec VPN-problemen.

Met het wissen van security koppelingen kan een breed scala foutmeldingen en vreemd gedrag worden opgelost zonder dat troubleshooten nodig is.

Hoewel deze methode eenvoudig kan worden gebruikt in elke situatie, is het bijna altijd nodig security koppelingen te wissen na het wijzigen van een huidige IPsec VPN-configuratie.

Bovendien, hoewel het mogelijk is alleen specifieke security koppelingen te wissen, kan het gunstig zijn om alle security koppelingen op het apparaat te wissen.

Zodra de veiligheidsorganisaties zijn vrijgemaakt, kan het nodig zijn om verkeer door de tunnel te sturen om ze opnieuw te vestigen.

Waarschuwing: Tenzij u opgeeft welke security koppelingen u wilt wissen, kunnen de onderstaande opdrachten alle security koppelingen op het apparaat wissen. Ga voorzichtig te werk als andere IPsec VPN-tunnels in gebruik zijn.

1. Bekijk security koppelingen voordat u deze verwijdert

   1. Cisco IOS®

      router#show crypto isakmp sa
      router#show crypto ipsec sa
      

   2. Cisco ASA-beveiligingstoestellen

      securityappliance#show crypto isakmp sa
      securityappliance#show crypto ipsec sa

2. Wis security koppelingen. Elke opdracht kan worden ingevoerd zoals vetgedrukt weergegeven of met de opties die worden weergegeven.

   1.  Cisco IOS®

      1. ISAKMP (fase I)

         router#clear crypto isakmp ?
           <0 - 32766>  connection id of SA
           <cr>

      2. IPsec (fase II)

         router#clear crypto sa ?
           counters  Reset the SA counters
           map       Clear all SAs for a given crypto map
           peer      Clear all SAs for a given crypto peer
           spi       Clear SA by SPI
           <cr>

   2. Cisco ASA-beveiligingstoestellen

      1. ISAKMP (fase I)

         securityappliance#clear crypto isakmp sa
         

      2. IPsec (fase II)

         security appliance#clear crypto ipsec sa ?
         
           counters  Clear IPsec SA counters
           entry     Clear IPsec SAs by entry
           map       Clear IPsec SAs by map
           peer      Clear IPsec SA by peer
           <cr>

Controleer de levensduur van ISAKMP

Als de gebruikers vaak van de L2L-tunnel worden losgekoppeld, kan het probleem liggen in de lagere levensduur die is geconfigureerd in de SA van ISAKMP.

Als er een discrepantie optreedt in de ISAKMP-levensduur, kunt u de%ASA-5-713092 ontvangen: Groep = x.x.x.x, IP = x.x.x.x, Fout tijdens fase 1-hersleutelingspoging als gevolg van een botsingsfoutbericht in /ASA.

De standaardinstelling is 86.400 seconden of 24 uur. Over het algemeen biedt een kortere levensduur veiligere ISAKMP-onderhandelingen (tot op een zekere hoogte), maar met een kortere levensduur stelt de security applicatie sneller toekomstige IPsec security koppelingen in.

Er is een match wanneer het beleid van de twee peers dezelfde encryptie-, hash-, authenticatie- en Diffie-Hellman-parameterwaarden bevatten, en wanneer het beleid van de externe peer een levensduur specificeert die korter is dan of gelijk is aan de levensduur van het vergeleken beleid.

Bij niet-overeenkomende levensduren wordt de kortere levensduur – die van de externe peer – gebruikt. Als er geen aanvaardbare overeenkomst wordt gevonden, weigert de IKE de onderhandeling en wordt de IKE SA niet opgebouwd.

Specificeer de SA-levensduur. Dit voorbeeld stelt een levensduur van 4 uur (14400 seconden) in. De standaardinstelling is 86400 seconden (24 uur).

ASA

hostname(config)#isakmp policy 2 lifetime  14400

Cisco IOS® Router

R2(config)#crypto isakmp policy 10
R2(config-isakmp)#lifetime 86400

Als de maximale geconfigureerde levensduur wordt overschreden, krijgt u deze foutmelding wanneer de VPN-verbinding wordt beëindigd:

Secure VPN Connection terminated locally by the Client. Reden 426: maximale geconfigureerde levensduur overschreden.

Om dit foutbericht op te lossen, stelt u de levensduurwaarde in op nul (0) om de levensduur van een IKE-beveiligingsassociatie in te stellen op oneindig. De VPN is altijd verbonden en wordt niet beëindigd.

hostname(config)#isakmp policy 2 lifetime 0

U kunt ook re-xauth uitschakelen in het groep-beleid om het probleem op te lossen.

ISAKMP-keepalives in- of uitschakelen

Het configureren van ISAKMP-keepalives helpt het voorkomen van het sporadisch verbreken van LAN-to-LAN VPN's of VPN’s voor externe toegang, met inbegrip van VPN-clients, tunnels en tunnels die na een periode van inactiviteit worden verbroken.

Deze functie stelt het tunnel-endpoint in staat de voortdurende aanwezigheid van een externe peer te monitoren en zijn eigen aanwezigheid aan die peer te melden.

Als de peer niet meer reageert, verbreekt het endpoint de verbinding.

Om ervoor te zorgen dat ISAKMP-keepalives blijven werken, moeten beide VPN-endpoints deze ondersteunen.

Configureer ISAKMP keepalives in Cisco IOS® met deze opdracht:

router(config)#crypto isakmp keepalive 15

Gebruik deze opdrachten om ISAKMP-keepalives te configureren op de ASA-beveiligingstoestellen:

Cisco ASA voor de tunnelgroep genaamd10.165.205.222

securityappliance(config)#tunnel-group 10.165.205.222 
   ipsec-attributes

securityappliance(config-tunnel-ipsec)#isakmp keepalive 
   threshold 15 retry 10

In sommige situaties is het nodig om deze functie uit te schakelen om een probleem op te lossen, bijvoorbeeld als de VPN-client zich achter een firewall bevindt die DPD-pakketten tegenhoudt.

Cisco ASA, voor de tunnelgroep genaamd10.165.205.222

Schakel de IKE keepalive-verwerking uit, die standaard is ingeschakeld.

securityappliance(config)#tunnel-group 10.165.205.222 
   ipsec-attributes

securityappliance(config-tunnel-ipsec)#isakmp keepalive disable

Keepalives voor Cisco VPN Client 4.x uitschakelen

Navigeer naar%System Root% > Program Files > Cisco Systems >VPN Client > Profielen op de client-pc die het probleem ondervindt om IKE keepalive uit te schakelen en bewerk het PCF-bestand, indien van toepassing, voor de verbinding.

Wijzig de waarde ForceKeepAlives=0 (standaard) in ForceKeepAlives=1.

Keepalives zijn eigendom van Cisco en worden niet ondersteund door apparaten van derden.

Vooraf gedeelde sleutels opnieuw invoeren of herstellen

In veel gevallen kan een eenvoudige typografische fout de schuld zijn wanneer een IPsec VPN-tunnel niet werkt. Bijvoorbeeld worden op de security applicatie de vooraf gedeelde sleutels verborgen zodra ze worden ingevoerd.

Deze verduistering maakt het onmogelijk om te zien of een sleutel onjuist is. Zorg ervoor dat u vooraf gedeelde sleutels correct hebt ingevoerd op elk VPN-eindpunt. 

Voer een sleutel opnieuw in om er zeker van te zijn dat deze correct is; dit is een eenvoudige oplossing die kan helpen bij het voorkomen van diepgaande probleemoplossing.

In VPN’s voor externe toegang, controleer of de geldige groepsnaam en vooraf gedeelde sleutels zijn ingevoerd in de Cisco VPN Client.

U kunt deze fout ondervangen als de groepsnaam of de vooraf gedeelde sleutel niet overeenkomt tussen de VPN-client en het head-end-apparaat.

 1 12:41:51.900 02/18/06 Sev=Warning/3 IKE/0xE3000056
 The received HASH payload cannot be verified
 2 12:41:51.900 02/18/06 Sev=Warning/2 IKE/0xE300007D 
Hash verification failed
3      14:37:50.562  10/05/06  Sev=Warning/2 IKE/0xE3000099
Failed to authenticate peer (Navigator:904)
4      14:37:50.593  10/05/06  Sev=Warning/2 IKE/0xE30000A5
Unexpected SW error occurred while processing Aggressive Mode
negotiator:(Navigator:2202)
5      14:44:15.937  10/05/06  Sev=Warning/2 IKE/0xA3000067
Received Unexpected InitialContact Notify (PLMgrNotify:888)
6      14:44:36.578  10/05/06  Sev=Warning/3 IKE/0xE3000056
The received HASH payload cannot be verified
7      14:44:36.593  10/05/06  Sev=Warning/2 IKE/0xE300007D
Hash verification failed... possibly be configured with invalid group password.
8      14:44:36.609  10/05/06  Sev=Warning/2 IKE/0xE3000099
Failed to authenticate peer (Navigator:904)
9      14:44:36.640  10/05/06  Sev=Warning/2 IKE/0xE30000A5
Unexpected SW error occurred while processing Aggressive Mode
negotiator:(Navigator:2202)

Waarschuwing: Als u crypto-gerelateerde opdrachten verwijdert, zal u waarschijnlijk een of alle VPN-tunnels stopzetten. Gebruik deze opdrachten met de nodige voorzichtigheid en verwijzen naar het wijzigingsbeheerbeleid van uw organisatie voordat u crypto-gerelateerde opdrachten verwijdert.

Gebruik deze opdrachten om de vooraf gedeelde keysecretkey voor de peer10.0.0.1 en de groupvpngroup in Cisco IOS® te verwijderen en opnieuw in te voeren:

Cisco LAN-to-LAN VPN

router(config)#no crypto isakmp key secretkey 
   address 10.0.0.1
router(config)#crypto isakmp key secretkey 
   address 10.0.0.1

Cisco VPN voor externe toegang

router(config)#crypto isakmp client configuration 
   group vpngroup
router(config-isakmp-group)#no key secretkey
router(config-isakmp-group)#key secretkey

Gebruik deze opdrachten om de vooraf gedeelde keysecretkey voor de peer10.0.0.1 op /ASA Security Appliances te verwijderen en opnieuw in te voeren:

Cisco 6.x

(config)#no isakmp key secretkey address 10.0.0.1
(config)#isakmp key secretkey address 10.0.0.1

Cisco/ASA 7.x en hoger

securityappliance(config)#tunnel-group 10.0.0.1 
   ipsec-attributes
securityappliance(config-tunnel-ipsec)#no ikev1 pre-shared-key
securityappliance(config-tunnel-ipsec)# ikev1 pre-shared-key 
   secretkey

Vooraf gedeelde sleutel komt niet overeen

Het initialiseren van de VPN-tunnel wordt onderbroken. Deze kwestie doet zich voor vanwege een niet-overeenkomende vooraf gedeelde sleutel tijdens de fase I-onderhandelingen.

HetMM_WAIT_MSG_6-bericht in de opdracht crypto isakmp geeft een niet-overeenkomende vooraf gedeelde sleutel aan, zoals in dit voorbeeld wordt weergegeven:

ASA#show crypto isakmp sa
    
Active SA: 1 
Rekey SA: 0 (A tunnel reports 1 Active and 1 Rekey SA during rekey) 
Total IKE SA: 1 

1         IKE Peer: 10.7.13.20 
             Type : L2L                                 Role : initiator 
             Rekey : no                                 State : MM_WAIT_MSG_6

Om dit probleem op te lossen, voert u de vooraf gedeelde sleutel in beide toestellen opnieuw in; de vooraf gedeelde sleutel moet uniek zijn en overeenkomen. Zie Vooraf gedeelde sleutels opnieuw invoeren of herstellen voor meer informatie.

Crypto maps verwijderen en opnieuw toepassen

Wanneer u beveiligingsassociaties opruimt, en het een IPsec VPN-probleem niet oplost, verwijdert u de relevante crypto-kaart en past u deze opnieuw toe om een breed scala aan problemen op te lossen, waaronder intermitterende druppels VPN-tunnel en het falen van sommige VPN-sites om op te komen.

Waarschuwing: Als u een cryptografische kaart uit een interface verwijdert, worden alle IPsec-tunnels die aan die cryptografische kaart zijn gekoppeld, definitief verwijderd. Ga voorzichtig door met deze stappen en overweeg het wijzigingsbeheerbeleid van uw organisatie voordat u doorgaat.

Gebruik deze opdrachten om een cryptografische kaart in Cisco IOS® te verwijderen en te vervangen:

Begin met het verwijderen van de crypto map van de interface. Gebruik de no-vorm van het mapcommando crypto.

router(config-if)#no crypto map mymap

Blijf het formulier gebruiken om een hele crypto-kaart te verwijderen.

router(config)#no crypto map mymap 10

Vervang de cryptografische kaart op interface Ethernet0/0 voor de peer10.0.0.1. In dit voorbeeld wordt de minimaal vereiste configuratie van de cryptografische kaart weergegeven:

router(config)#crypto map mymap 10 ipsec-isakmp
router(config-crypto-map)#match address 101
router(config-crypto-map)#set transform-set mySET
router(config-crypto-map)#set peer 10.0.0.1
router(config-crypto-map)#exit
router(config)#interface ethernet0/0
router(config-if)#crypto map mymap

Gebruik deze commando's om een crypto-kaart op de ASA te verwijderen en te vervangen:

Begin met het verwijderen van de crypto map van de interface. Gebruik de no-vorm van het mapcommando crypto.

securityappliance(config)#no crypto map mymap interface outside

Blijf het formulier gebruiken om de andere crypto-kaartopdrachten te verwijderen.

securityappliance(config)#no crypto map mymap 10 match 
   address 101
securityappliance(config)#no crypto map mymap set 
   transform-set mySET
securityappliance(config)#no crypto map mymap set 
   peer 10.0.0.1

Vervang de cryptografische kaart voor de peer10.0.0.1. In dit voorbeeld wordt de minimaal vereiste configuratie van de cryptografische kaart weergegeven:

securityappliance(config)#crypto map mymap 10 ipsec-isakmp
securityappliance(config)#crypto map mymap 10 
   match address 101
securityappliance(config)#crypto map mymap 10 set 
   transform-set mySET
securityappliance(config)#crypto map mymap 10 set 
   peer 10.0.0.1
securityappliance(config)#crypto map mymap interface outside

Als u de cryptografische kaart verwijdert en opnieuw toepast, lost dit ook het connectiviteitsprobleem op als het IP-adres van de head-end is gewijzigd.

Controleren of systeemopdrachten aanwezig zijn (alleen ASA)

De opdrachtsysopt-verbindingsvergunning-ipsecandsysopt-verbindingsvergunning-vpnallow-pakketten uit een IPsec-tunnel en hun payloads om interface-ACL's op het beveiligingsapparaat te omzeilen.

IPsec-tunnels die eindigen op de security applicatie, zullen waarschijnlijk mislukken als een van deze opdrachten niet ingeschakeld is.

In Security Appliance Software versie 7.0 en eerder is de relevante sysopt-opdracht voor deze situatie sysopt connection permit-ipsec.

In Security Appliance Software versie 7.1(1) en hoger is de relevante sysopt-opdracht voor deze situatie sysopt connection permit-vpn.

In 6.x is deze functionaliteit standaard uitgeschakeld. Met /ASA 7.0(1) en hoger is deze functionaliteit standaard ingeschakeld. Gebruik deze opdrachten tonen om te bepalen of de relevante opdracht sysopt is ingeschakeld op uw apparaat:

Cisco ASA 

securityappliance# show running-config all sysopt
no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
no sysopt nodnsalias inbound
no sysopt nodnsalias outbound
no sysopt radius ignore-secret
sysopt connection permit-vpn

!--- sysopt connection permit-vpn is enabled !--- This device is running 7.2(2)

Gebruik deze opdrachten om de juiste sysoptopdracht voor uw apparaat in te schakelen:

Cisco ASA

securityappliance(config)#sysopt connection permit-vpn

Als u de opdracht Sysopt connection niet wilt gebruiken, staat u expliciet het vereiste interessante verkeer van bron naar bestemming toe.

Bijvoorbeeld van extern naar lokaal LAN van extern apparaat en "UDP-poort 500" voor externe interface van extern apparaat naar externe interface van lokaal apparaat, in buiten ACL.

De ISAKMP-identiteit controleren

Als de IPsec VPN-tunnel is mislukt tijdens de IKE-onderhandeling, kan de storing te wijten zijn aan het feit of het onvermogen van zijn peer om de identiteit van zijn peer te herkennen.

Wanneer twee peers IKE gebruiken om IPsec security koppelingen op te zetten, stuurt elke peer zijn ISAKMP-identiteit naar de externe peer.

Elke peer stuurt of zijn IP-adres of de hostnaam, afhankelijk van de manier waarop de ISAKMP-identiteit ervan is ingesteld.

Standaard wordt de ISAKMP-identiteit van de firewall-eenheid ingesteld op het IP-adres.

Stel de security applicatie en de identiteit van de peers doorgaans op dezelfde manier in om een storing in de IKE-onderhandeling te voorkomen.

Als u de fase 2-ID wilt instellen voor verzending naar de peer, gebruikt u de opdracht isakmp identity in de globale configuratiemodus.

crypto isakmp identity address

!--- If the RA or L2L (site-to-site) VPN tunnels connect !--- with pre-shared key as authentication type

OF

crypto isakmp identity auto

!--- If the RA or L2L (site-to-site) VPN tunnels connect !--- with ISAKMP negotiation by connection type; IP address for !--- preshared key or cert DN for certificate authentication.

OF

crypto isakmp identity hostname

!--- Uses the fully-qualified domain name of !--- the host exchange ISAKMP identity information (default). !--- This name comprises the hostname and the domain name.

VPN-tunnel kan niet worden weergegeven na een verschuiving van de configuratie van ASA naar ASA met de ASA-configuratiemigratietool; deze berichten worden weergegeven in het logboek:

[IKEv1]: Groep = x.x.x.x.x, IP = x.x.x.x, Stale PeerTableEntry gevonden, verwijderen!

[IKEv1]: Groep = x.x.x.x, IP = x.x.x.x, peer verwijderen uit correlatortabel mislukt, geen overeenkomst!

[IKEv1]: Groep = x.x.x.x.x, IP = x.x.x.x, construct_ipsec_delete(): geen SPI om fase 2 SA te identificeren!

[IKEv1]: Groep = x.x.x.x, IP = x.x.x.x, peer verwijderen uit correlatortabel mislukt, geen overeenkomst!

Time-out bij inactiviteit/sessietime-out controleren

Als de time-out voor inactiviteit is ingesteld op 30 minuten (zoals standaard) betekent dit dat de tunnel wordt verbroken na 30 minuten zonder verkeer.

De VPN-client wordt na 30 minuten losgekoppeld, ongeacht de parameter idle timeout en komt de PEER_DELETE-IKE_DELETE_UNSPECIFIEDerror tegen.

Configureer idle timeoutsession timeoutasnonom de tunnel altijd up te maken, en zodat de tunnel nooit valt, zelfs wanneer apparaten van derden worden gebruikt.

ASA 

Voer de opdracht vpn-idle-timeoutin in de configuratiemodus voor groepsbeleid of in de configuratiemodus voor de gebruikersnaam om de time-outperiode voor de gebruiker te configureren:

hostname(config)#group-policy DfltGrpPolicy attributes
hostname(config-group-policy)#vpn-idle-timeout none

Configureer een maximale tijdsduur voor VPN-verbindingen met de vpn-session-timeoutopdracht in de configuratiemodus voor groepsbeleid of in de configuratiemodus voor gebruikersnamen:

hostname(config)#group-policy DfltGrpPolicy attributes
hostname(config-group-policy)#vpn-session-timeout none

Wanneer u tunnel-all hebt geconfigureerd, hoeft u geen idle-time-out te configureren, omdat, zelfs als u een time-out voor VPN-inactiviteit configureert, deze niet werkt omdat al het verkeer door de tunnel gaat (omdat tunnel-all is geconfigureerd).

Daarom is het interessante verkeer (of zelfs het verkeer dat door de pc wordt gegenereerd) interessant en laat Idle-time-out niet in actie komen.

Cisco IOS® Router

Gebruik de opdracht crypto ipsec security-association idle-time in globale configuratiemodus of cryptografische configuratiemodus om de IPsec SA idle timer te configureren.

IPsec SA-inactiviteitstimers zijn standaard uitgeschakeld.

crypto ipsec security-association idle-time 
seconds 

De tijd wordt gemeten in seconden, waardoor de inactieve timer een inactieve peer in staat stelt om een SA te behouden. Het waardebereik voor het argument seconds is van 60 tot 86400.

Controleren of ACL’s correct en aan crypto map gebonden zijn

In een typische IPsec VPN-configuratie worden twee toegangslijsten gebruikt. Eén toegangslijst wordt gebruikt om verkeer bestemd voor de VPN-tunnel uit te sluiten van het NAT-proces.

De andere toegangslijst definieert welk verkeer moet worden gecodeerd; dit omvat een crypto-ACL in een LAN-naar-LAN-configuratie of een split-tunnel-ACL in een configuratie voor externe toegang.

Wanneer deze ACL's verkeerd zijn geconfigureerd of gemist, stroomt het verkeer misschien in één richting door de VPN-tunnel of helemaal niet door de tunnel.

Zorg ervoor dat u de crypto-ACL bindt met de cryptografische kaart met de opdracht crypto-kaartmatch in de globale configuratiemodus.

Zorg ervoor dat u alle toegangslijsten heeft geconfigureerd die nodig zijn om uw IPsec VPN-configuratie te voltooien en dat voor deze toegangslijsten het juiste verkeer is gedefinieerd.

Deze lijst bevat items die u eenvoudig kunt controleren als u vermoedt dat een ACL de oorzaak is van problemen met uw IPsec VPN.

Zorg ervoor dat het juiste verkeer is opgegeven voor uw NAT-uitzondering en crypto-ACL's.

Als u meerdere VPN-tunnels en crypto-ACL's heeft, moet u ervoor zorgen dat deze ACL's elkaar niet overlappen.

Zorg ervoor dat uw apparaat is geconfigureerd om de ACL voor NAT-uitzonderingen te gebruiken. Op een router betekent dit dat je de route-mapcommando gebruikt.

Op de ASA betekent dit dat je het at (0)commando gebruikt. Een ACL voor NAT-uitzonderingen is vereist voor zowel LAN-to-LAN als externe toegang-configuraties.

Hier wordt een Cisco IOS®-router geconfigureerd om verkeer vrij te stellen dat wordt verzonden tussen 192.168.100.0 /24 en 192.168.200.0 /24of 192.168.1.0 /24 van NAT. Verkeer met andere bestemmingen is onderworpen aan NAT-overload:

access-list 110 deny ip 192.168.100.0 0.0.0.255 
   192.168.200.0 0.0.0.255
access-list 110 deny ip 192.168.100.0 0.0.0.255 
   192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.100.0 0.0.0.255 any

route-map nonat permit 10
  match ip address 110 

ip nat inside source route-map nonat interface FastEthernet0/0 overload

ACL's met NAT-vrijstelling werken alleen met het IP-adres of IP-netwerken, zoals de genoemde voorbeelden (toegangslijst noNAT), en moeten identiek zijn aan de ACL's voor cryptografische kaarten.

De NAT-vrijstelling ACL's werken niet met de havennummers (bijvoorbeeld 23, 25,...).

In een VOIP-omgeving, waar de spraakoproepen tussen netwerken worden gecommuniceerd via de VPN, werken de spraakoproepen niet als de NAT 0 ACL's niet goed zijn geconfigureerd.

Voordat u problemen oplost, wordt voorgesteld om de VPN-connectiviteitsstatus te controleren, omdat het probleem kan zijn met een verkeerde configuratie van ACL's met NAT-vrijstelling.

U kunt de foutmelding krijgen zoals wordt weergegeven als er een verkeerde configuratie is in NAT-vrijstelling (nat 0) ACL's.

%ASA-3-305005: No translation group found for 
udp src Outside:x.x.x.x/p dst Inside:y.y.y.y/p

Onjuist voorbeeld:

access-list noNAT extended permit ip 192.168.100.0 
   255.255.255.0 192.168.200.0 255.255.255.0 eq 25

Als NAT-vrijstelling (nat 0) niet werkt, probeer deze dan te verwijderen en geef de opdracht NAT 0 uit zodat deze werkt.

Zorg ervoor dat uw ACL's niet in de verkeerde volgorde staan en dat ze van het juiste type zijn.

LAN-to-LAN configuraties voor crypto-ACL's en ACL's met NAT-uitzondering moeten worden geschreven vanuit het perspectief van het apparaat waarop de ACL is geconfigureerd.

Dit betekent dat de ACL's elkaar moeten spiegelen. In dit voorbeeld wordt een LAN-naar-LAN-tunnel ingesteld tussen 192.168.100.0 /24 en 192.168.200.0 /24.

Crypto-ACL op router A

access-list 110 permit ip 192.168.100.0 0.0.0.255 
   192.168.200.0 0.0.0.255

Crypto-ACL op router B

access-list 110 permit ip 192.168.200.0 0.0.0.255 
   192.168.100.0 0.0.0.255

Hoewel het hier niet wordt geïllustreerd, geldt hetzelfde concept voor de ASA Security Appliances.

In ASA moeten split-tunnel ACL's voor configuraties voor externe toegang standaardtoegangslijsten bevatten die verkeer naar het netwerk mogelijk maken waartoe de VPN-clients toegang moeten hebben.

Cisco IOS® routers kunnen uitgebreide ACL gebruiken voor split-tunnel. In de uitgebreide toegangslijst is het gebruik van 'any' aan de bron in de gesplitste tunnel ACL vergelijkbaar met het uitschakelen van gesplitste tunnel.

Gebruik alleen de bronnetwerken in de uitgebreide ACL voor gesplitste tunnel.

Juist voorbeeld:

access-list 140 permit ip 10.1.0.0 0.0.255.255 10.18.0.0 0.0.255.255

Onjuist voorbeeld:

access-list 140 permit ip any 10.18.0.0 0.0.255.255

Cisco IOS®

router(config)#access-list 10 permit ip 192.168.100.0
router(config)#crypto isakmp client configuration group MYGROUP
router(config-isakmp-group)#acl 10

Cisco ASA

securityappliance(config)#access-list 10 standard 
   permit 192.168.100.0 255.255.255.0
securityappliance(config)#group-policy MYPOLICY internal
securityappliance(config)#group-policy MYPOLICY attributes
securityappliance(config-group-policy)#split-tunnel-policy 
   tunnelspecified
securityappliance(config-group-policy)#split-tunnel-network-list 
   value 10

Configuratie voor NAT-uitzondering in ASA versie 8.3. voor een site-to-site VPN-tunnel:

Er moet een site-to-site VPN worden opgezet tussen HOASA en BOASA met beide ASA's met versie 8.3. De NAT-vrijstellingsconfiguratie op HOASA ziet er als volgt uit:

object network obj-local
subnet 192.168.100.0 255.255.255.0
object network obj-remote
subnet 192.168.200.0 255.255.255.0
nat (inside,outside) 1 source static obj-local obj-local destination static obj-remote objremote

Het ISAKMP-beleid controleren

Als de IPsec-tunnel niet actief is, controleer dan of het ISAKMP-beleid overeenkomt met de externe peers. Dit ISAKMP-beleid is toepasselijk voor zowel site-to-site (L2L) VPN's als IPsec VPN's voor externe toegang.

Als de Cisco VPN-clients of de Site-to-Site VPN niet in staat zijn om de tunnel met het externe apparaat tot stand te brengen, controleert u of de twee peers dezelfde waarden voor codering, hash, verificatie en Diffie-Hellman-parameters bevatten.

Controleer of het externe peer-beleid een levensduur opgeeft die kleiner is dan of gelijk is aan de levensduur in het beleid dat de initiator heeft verzonden.

Als de levensduur niet identiek is, gebruikt de security applicatie de kortere levensduur. Als er geen aanvaardbare overeenkomst bestaat, weigert ISAKMP de onderhandeling en wordt de SA niet opgebouwd.

"Error: Unable to remove Peer TblEntry, Removing peer from peer table
failed, no match!"

Het gedetailleerde logboekbericht is als volgt:

4|Mar 24 2010 10:21:50|713903: IP = X.X.X.X, Error: Unable to remove PeerTblEntry
3|Mar 24 2010 10:21:50|713902: IP = X.X.X.X, Removing peer from peer table failed,
no match!
3|Mar 24 2010 10:21:50|713048: IP = X.X.X.X, Error processing payload: Payload ID: 1
4|Mar 24 2010 10:21:49|713903: IP = X.X.X.X, Information Exchange processing failed
5|Mar 24 2010 10:21:49|713904: IP = X.X.X.X, Received an un-encrypted
NO_PROPOSAL_CHOSEN notify message, drop

Dit bericht wordt meestal weergegeven als gevolg van niet-overeenkomende ISAKMP-beleidsregels of een gemiste NAT 0-verklaring.

Bovendien wordt deze melding weergegeven:

Error Message    %ASA-6-713219: Queueing KEY-ACQUIRE messages to be processed when 
P1 SA is complete.

Dit bericht geeft aan dat fase 2-berichten in de wachtrij staan nadat fase 1 is voltooid. Deze foutmelding is te wijten aan een van de volgende redenen:

• Mismatch in fase op een van de peers

• ACL blokkeert de peers vanaf de voltooiing van fase 1

Dit bericht komt meestal nadat het verwijderen van peer uit peer tabel is mislukt, geen match! foutmelding.

Als de Cisco VPN-client het head-end apparaat niet kan verbinden, is het probleem mogelijk dat een mismatch in ISAKMP-beleid. Het head-end apparaat moet overeenkomen met een van de IKE-voorstellen van de Cisco VPN-client.

Voor het ISAKMP-beleid en de IPsec Transform-set die wordt gebruikt op de ASA, kan de Cisco VPN-client geen beleid gebruiken met een combinatie van DES en SHA.

Als u DES gebruikt, moet u MD5 voor het hash-algoritme gebruiken, of u kunt de andere combinaties gebruiken: 3DES met SHA en 3DES met MD5.

Controleren of de routing juist is

Zorg ervoor dat uw encryptie-apparaten zoals Routers en ASA Security Appliances hebben de juiste routing informatie om het verkeer over uw VPN-tunnel te sturen.

Als er andere routers achter uw gateway-apparaat bestaan, zorg er dan voor dat die routers weten hoe ze de tunnel moeten bereiken en welke netwerken zich aan de andere kant bevinden.

Eén belangrijke component van routing in een VPN-implementatie is RRI (Reverse Route Injection).

RRI plaatst dynamische vermeldingen voor externe netwerken of VPN-clients in de routingtabel van een VPN-gateway.

Deze routes zijn nuttig voor het apparaat waarop ze geïnstalleerd zijn, en voor andere apparaten in het netwerk, omdat de RRI-routes geherdistribueerd kunnen worden door een routingprotocol zoals EIGRP of OSPF.

Voor een LAN-to-LAN configuratie is het belangrijk dat elk endpoint één of meerdere routes heeft naar de netwerken waarvan het endpoint het verkeer moet versleutelen.

In dit voorbeeld moet Router A routes hebben naar de netwerken achter Router B tot en met 10.89.129.2. Router B moet een vergelijkbare route hebben als 192.168.100.0 / 24:

De eerste manier om ervoor te zorgen dat elke router de juiste route(s) kent, is om voor elk bestemmingsnetwerk statische routes te configureren. Bijvoorbeeld, voor Router A kunnen de volgende route-instructies zijn geconfigureerd.

ip route 0.0.0.0 0.0.0.0 172.22.1.1
ip route 192.168.200.0 255.255.255.0 10.89.129.2
ip route 192.168.210.0 255.255.255.0 10.89.129.2
ip route 192.168.220.0 255.255.255.0 10.89.129.2
ip route 192.168.230.0 255.255.255.0 10.89.129.2

Als Router A is vervangen door een ASA, kan de configuratie er als volgt uitzien:

route outside 0.0.0.0 0.0.0.0 172.22.1.1
route outside 192.168.200.0 255.255.255.0 10.89.129.2
route outside 192.168.200.0 255.255.255.0 10.89.129.2
route outside 192.168.200.0 255.255.255.0 10.89.129.2
route outside 192.168.200.0 255.255.255.0 10.89.129.2

Als er achter elk endpoint een groot aantal netwerken bestaat, wordt het ingewikkeld om de configuratie van statische routes te onderhouden.

In plaats daarvan raden we u aan om Reverse Route Injection te gebruiken, zoals beschreven. RRI plaatst routes voor alle externe netwerken die in de crypto-ACL zijn vermeld in de routingtabel.

De crypto-ACL en crypto map van Router A kan er bijvoorbeeld als volgt uitzien:

access-list 110 permit ip 192.168.100.0 0.0.0.255 
   192.168.200.0 0.0.0.255
access-list 110 permit ip 192.168.100.0 0.0.0.255 
   192.168.210.0 0.0.0.255
access-list 110 permit ip 192.168.100.0 0.0.0.255 
   192.168.220.0 0.0.0.255
access-list 110 permit ip 192.168.100.0 0.0.0.255 
   192.168.230.0 0.0.0.255

crypto map myMAP 10 ipsec-isakmp
 set peer 10.89.129.2
 reverse-route
 set transform-set mySET
 match address 110

Als Router A is vervangen door ah ASA, kan de configuratie er als volgt uitzien:

access-list cryptoACL extended permit ip 192.168.100.0 
   255.255.255.0 192.168.200.0 255.255.255.0
access-list cryptoACL extended permit ip 192.168.100.0 
   255.255.255.0 192.168.210.0 255.255.255.0
access-list cryptoACL extended permit ip 192.168.100.0 
   255.255.255.0 192.168.220.0 255.255.255.0
access-list cryptoACL extended permit ip 192.168.100.0 
   255.255.255.0 192.168.230.0 255.255.255.0

crypto map myMAP 10 match address cryptoACL
crypto map myMAP 10 set peer 10.89.129.2
crypto map myMAP 10 set transform-set mySET
crypto map mymap 10 set reverse-route

In een configuratie voor externe toegang zijn wijzigingen in de routing niet altijd nodig.

Maar als andere routers bestaan achter de VPN-gatewayrouter of security applicatie, moeten die routers het pad naar de VPN-clients op de een of andere manier leren.

Stel in dit voorbeeld dat de VPN-clients adressen krijgen in het bereik van 10.0.0.0 /24 wanneer ze verbinding maken.

Als er geen routingprotocol in gebruik is tussen de gateway en de andere router(s), kunnen statische routes worden gebruikt op routers als Router 2:

ip route 10.0.0.0 255.255.255.0 192.168.100.1

Als er een routingprotocol zoals EIGRP of OSPF in gebruik is tussen de gateway en andere routers, wordt aanbevolen Reverse Route Injection te gebruiken zoals beschreven.

RRI voegt automatisch routes voor de VPN-client toe aan de routingtabel van de gateway. Deze routes kunnen vervolgens naar de andere routers in het netwerk worden gedistribueerd.

Cisco IOS® Router:

crypto dynamic-map dynMAP 10
 set transform-set mySET
 reverse-route

crypto map myMAP 60000 ipsec-isakmp dynamic dynMAP

Cisco ASA Security Appliance:

crypto dynamic-map dynMAP 10 set transform-set mySET
crypto dynamic-map dynMAP 10 set reverse-route

crypto map myMAP 60000 ipsec-isakmp dynamic dynMAP

Het routeringsprobleem treedt op als de groep IP-adressen die is toegewezen aan de VPN-clients overlapt met interne netwerken van het head-end-apparaat. Voor meer informatie, zie de Overlapping Private Networks sectie.

Controleren of de transformatieset juist is

Zorg ervoor dat de IPsec-encryptie en hash-algoritmen die gebruikt worden door de transformatieset aan beide uiteinden hetzelfde zijn.

Raadpleeg het gedeelte Opdrachtverwijzing van de configuratiehandleiding voor Cisco Security Appliance voor meer informatie.

Voor het ISAKMP-beleid en de IPsec Transform-set die wordt gebruikt op de ASA, kan de Cisco VPN-client geen beleid gebruiken met een combinatie van DES en SHA.

Als u DES gebruikt, moet u MD5 voor het hash-algoritme gebruiken, of u kunt de andere combinaties gebruiken: 3DES met SHA en 3DES met MD5.

Volgnummers en naam van crypto map controleren en ook of de crypto map wordt toegepast in de juiste interface waarin de IPsec-tunnel start/eindigt

Als statische en dynamische peers op dezelfde crypto map zijn geconfigureerd, is de volgorde van de crypto map-vermeldingen zeer belangrijk.

Het volgnummer van de dynamische cryptografische kaart moet hoger zijn dan alle andere statische cryptografische kaarten.

Als de statische vermeldingen een hoger volgnummer hebben dan de dynamische, mislukken de verbindingen met deze peers en wordt de volgende debug-informatie getoond.

IKEv1]: Group = x.x.x.x, IP = x.x.x.x, QM FSM error (P2 struct &0x49ba5a0, mess id 0xcd600011)!
[IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Removing peer from correlator table failed, no match!

Er is slechts één dynamische Crypto-map toegestaan voor elke interface in de Security Appliance.

Dit is een voorbeeld van een goed genummerde crypto map die een statische en een dynamische vermelding bevat. Merk op dat de dynamische ingang het hoogste volgnummer heeft, en er ruimte is overgelaten voor aanvullende statische vermeldingen:

crypto dynamic-map cisco 20 set transform-set myset
crypto map mymap 10 match address 100
crypto map mymap 10 set peer 172.16.77.10 
crypto map mymap 10 set transform-set myset
crypto map mymap interface outside
crypto map mymap 60000 ipsec-isakmp dynamic ciscothe 

Crypto-kaartnamen zijn hoofdlettergevoelig.

Deze foutmelding kan ook worden gezien wanneer de dynamische crypto man-sequentie niet correct is, waardoor de peer de verkeerde crypto-kaart raakt.

Dit wordt ook veroorzaakt door een niet-overeenkomende crypto-toegangslijst die het interessante verkeer definieert:%ASA-3-713042: IKE Initiator kan het beleid niet vinden:

In een scenario waarin meerdere VPN-tunnels in dezelfde interface moeten worden beëindigd, maakt u een cryptografische kaart met dezelfde naam (slechts één cryptografische kaart is toegestaan per interface), maar met een ander volgnummer.

Dit geldt voor de router en ASA.

Zie ook ASA: Voeg een nieuwe tunnel of externe toegang toe aan een bestaande L2L VPN - Cisco voor meer informatie over de configuratie van de cryptografische kaart voor zowel het L2L- als Remote Access VPN-scenario.

Controleren of het peer-IP-adres juist is

De database met verbindingsspecifieke records voor IPsec maken en beheren.

Voor een ASA Security Appliance LAN-to-LAN (L2L) IPsec VPN-configuratie, specificeert u de<name>van de tunnelgroep als het Remote peer IP Address (remote tunnel end) in de tunnelgroep <name> type ipsec-l2lcommand.

Het peer-IP-adres moet overeenkomen met de naam van de intunnelgroep en de adresopdrachten van de Crypto-map.

Bij het configureren van het VPN met ASDM wordt de naam van de tunnelgroep automatisch met het juiste peer-IP-adres gegenereerd.

Als het peer-IP-adres niet goed is geconfigureerd, kunnen de logs dit bericht bevatten, dat kan worden opgelost door de juiste configuratie van het peer-IP-adres.

[IKEv1]: Group = DefaultL2LGroup, IP = x.x.x.x, 
ERROR, had problems decrypting packet, probably due to mismatched pre-shared key. Aborting

Wanneer het peer-IP-adres niet goed is geconfigureerd in de ASA-cryptomonfiguratie, kan de ASA de VPN-tunnel niet instellen en hangt deze alleen in het MM_WAIT_MSG4-stadium.

Corrigeer in de configuratie het peer-IP-adres om dit probleem op te lossen.

Hier is de uitvoer van de show crypto is een opdracht wanneer de VPN-tunnel hangt in de MM_WAIT_MSG4 staat.

hostname#show crypto isakmp sa

1   IKE Peer: XX.XX.XX.XX
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_WAIT_MSG4

De tunnelgroep en groepsnamen controleren

%ASA-3-713206: Tunnel Rejected: Conflicting protocols specified by  
tunnel-group and group-policy

Dit bericht wordt weergegeven wanneer een tunnel wordt verbroken doordat de toegestane tunnel zoals gespecificeerd in het groepsbeleid afwijkt van de toegestane tunnel in de tunnelgroep-configuratie.

group-policy hf_group_policy attributes
  vpn-tunnel-protocol l2tp-ipsec

username hfremote attributes
  vpn-tunnel-protocol l2tp-ipsec

Both lines read:
  vpn-tunnel-protocol ipsec l2tp-ipsec

Schakel IPsec in voor de bestaande protocollen in het standaardgroepsbeleid.

group-policy DfltGrpPolicy attributes
   vpn-tunnel-protocol L2TP-IPSec IPSec webvpn

XAUTH voor L2L-peers uitschakelen

Als een LAN-naar-LAN-tunnel en een Remote Access VPN-tunnel op dezelfde cryptografische kaart zijn geconfigureerd, wordt de LAN-naar-LAN-peer gevraagd om XAUTH-informatie en mislukt de LAN-naar-LAN-tunnel met "CONF_XAUTH" in de uitvoer van de opdracht crypto isakmp.

Dit is een voorbeeld van de SA-output:

Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id  slot  status
X.X.X.X         Y.Y.Y.Y         CONF_XAUTH       10223    0   ACTIVE
X.X.X.X         Z.Z.Z.Z         CONF_XAUTH       10197    0   ACTIVE

Dit probleem is alleen van toepassing op Cisco IOS®, terwijl ASA niet wordt beïnvloed door dit probleem omdat het tunnelgroepen gebruikt.

Gebruik het gereserveerde woord no-xauthkeyword wanneer u de isakmp-sleutel invoert, zodat het apparaat de peer niet vraagt om XAUTH-informatie (gebruikersnaam en wachtwoord).

Dit trefwoord schakelt XAUTH uit voor statische IPsec-peers. Voer een vergelijkbare opdracht in op het apparaat dat zowel L2L VPN als VPN voor externe toegang op dezelfde crypto map heeft geconfigureerd.

router(config)#crypto isakmp key cisco123 address 
   172.22.1.164 no-xauth

In het scenario waarin de ASA fungeert als de Easy VPN Server, kan de gemakkelijke VPN-client geen verbinding maken met het hoofd vanwege het Xauth-probleem.

Schakel de gebruikersverificatie in de ASA uit om het probleem op te lossen zoals wordt weergegeven:

ASA(config)#tunnel-group example-group type ipsec-ra
ASA(config)#tunnel-group example-group ipsec-attributes
ASA(config-tunnel-ipsec)#isakmp ikev1-user-authentication none

Zie de sectie Diversen van dit document voor meer informatie over de opdracht isakmp ikev1-user-authentication.

Uitputting van de VPN-pool

Wanneer het bereik van de IP-adressen die aan de VPN-pool is toegewezen niet voldoet, kan de beschikbaarheid van de IP-adressen op twee manieren worden uitgebreid.

1. Verwijder het bestaande bereik en definieer een nieuw bereik. Hierna volgt een voorbeeld:

   CiscoASA(config)#no ip local pool testvpnpool 10.76.41.1-10.76.41.254
   CiscoASA(config)#ip local pool testvpnpool 10.76.41.1-10.76.42.254
   

2. Wanneer opgedeelde subnetten aan de VPN-pool moeten worden toegevoegd, kunt u twee afzonderlijke VPN-pools definiëren en ze vervolgens in volgorde specificeren onder de "tunnelgroepkenmerken". Hierna volgt een voorbeeld:

   CiscoASA(config)#ip local pool testvpnpoolAB 10.76.41.1-10.76.42.254
   CiscoASA(config)#ip local pool testvpnpoolCD 10.76.45.1-10.76.45.254
   CiscoASA(config)#tunnel-group test type remote-access
   CiscoASA(config)#tunnel-group test general-attributes
   CiscoASA(config-tunnel-general)#address-pool (inside) testvpnpoolAB testvpnpoolCD
   CiscoASA(config-tunnel-general)#exit
   

De volgorde waarin u de pools specificeert is zeer belangrijk, omdat de ASA adressen van deze pools toewijst in de volgorde waarin de pools in deze opdracht staan.

De instellingen voor adresgroepen in de opdracht adresgroepen voor groepsbeleid overschrijven altijd de instellingen voor lokale groepen in de opdracht adresgroep voor tunnelgroep.

Problemen met latentie voor VPN-clientverkeer

Als er latentieproblemen zijn met een VPN-verbinding, controleer dan deze voorwaarden om dit op te lossen:

1. Controleer of de MSS-waarde van het pakket verder kan worden verkleind.

2. Als IPsec/tcp wordt gebruikt in plaats van IPsec/udp, configureer dan reserve-vpn-flow.

3. Laad Cisco ASA opnieuw.

VPN-clients kunnen geen verbinding maken met ASA

Probleem

Cisco VPN-clients kunnen niet verifiëren wanneer XAUTH wordt gebruikt met de RADIUS-server.

Oplossing

Het probleem kan zijn dat bij XAUTH een time-out is opgetreden. Verhoog de time-outwaarde voor de AAA-server om dit probleem op te lossen.

Voorbeeld:

Hostname(config)#aaa-server test protocol radius 
hostname(config-aaa-server-group)#aaa-server test host 10.2.3.4 
hostname(config-aaa-server-host)#timeout 10

Probleem

Cisco VPN-clients kunnen niet verifiëren wanneer XAUTH wordt gebruikt met de RADIUS-server.

Oplossing

Zorg er ten eerste voor dat de authenticatie correct werkt. Om het probleem te bepalen verifieert u eerst de verificatie met de lokale database op de ASA.

tunnel-group tggroup general-attributes 
              authentication-server-group none
              authentication-server-group LOCAL
        exit

Als dit goed werkt, is het probleem gerelateerd aan de configuratie van de Radius-server.

Controleer de connectiviteit van de RADIUS-server vanaf de ASA. Als de ping zonder enig probleem werkt, controleer dan de RADIUS-configuratie op de ASA en de databaseconfiguratie op de RADIUS-server.

U kunt de foutopsporingsstraal gebruiken om problemen met de straal op te lossen. Voor sample debug radiusoutput, raadpleeg deze sample output.

Voordat u de debugcommand op de ASA gebruikt, raadpleegt u deze documentatie: Waarschuwingsbericht.

VPN-client verliest vaak verbinding bij eerste poging of "Security VPN Connection terminated by peer. Reden 433." of "Beveiligde VPN-verbinding beëindigd door Peer Reason 433: (Reden niet opgegeven door Peer)"

Probleem

Gebruikers van Cisco VPN-clients krijgen deze fout wanneer ze proberen verbinding te maken met het head-end VPN-apparaat.

VPN-client laat verbinding vaak vallen bij eerste poging

Beveiliging VPN-verbinding beëindigd door peer. Reden 433.

Beveiligde VPN-verbinding beëindigd door Peer Reason 433: (Reden niet opgegeven door Peer)

Probeerde het IP-adres van het netwerk of de uitzending toe te wijzen door (x.x.x.x) uit de groep te verwijderen

Oplossing 1

Het probleem kan zich voordoen bij de toewijzing van de IP-pool via ASA, Radius-server, DHCP-server of via Radius-server die als DHCP-server fungeert.

Gebruik de opdracht debug cryptocommand om te controleren of het netmasker en de IP-adressen correct zijn. Controleer ook of de pool het netwerkadres en het broadcastadres niet bevat.

RADIUS-servers moeten de juiste IP-adressen aan de clients kunnen toewijzen.

Oplossing 2

Dit probleem kan ook veroorzaakt zijn door het mislukken van uitgebreide verificatie. U moet de AAA-server controleren om deze fout te troubleshooten.

Controleer het wachtwoord voor de serververificatie op de server en de client. De AAA-server opnieuw laden kan dit probleem oplossen.

Oplossing 3

Een andere tijdelijke oplossing voor dit probleem is om de functie voor bedreigingsdetectie uit te schakelen.

Op momenten dat er meerdere heruitzendingen zijn voor verschillende incomplete Security Associations (SA's), denkt de ASA met de bedreigingsdetectiefunctie ingeschakeld dat er een scanaanval heeft plaatsgevonden en dat de VPN-poorten zijn gemarkeerd als de belangrijkste overtreder.

Probeer de functie voor bedreigingsdetectie uit te schakelen, omdat deze veel overhead kan veroorzaken bij de verwerking op de ASA. Gebruik deze opdrachten om de bedreigingsdetectie uit te schakelen:

no threat-detection basic-threat
no threat-detection scanning-threat shun
no threat-detection statistics
no threat-detection rate

Dit kan worden gebruikt als een tijdelijke oplossing om te controleren of dit het werkelijke probleem oplost.

Zorg ervoor dat het uitschakelen van de dreigingsdetectie op de Cisco ASA in feite verschillende beveiligingsfuncties in gevaar brengt, zoals mitigatie van de scanpogingen, DoS met ongeldige SPI, pakketten die Application Inspection mislukken, en onvolledige sessies.

Oplossing 4

Dit probleem kan ook veroorzaakt worden door een onjuiste configuratie van een transformatieset. Een juiste configuratie van de transformatieset lost het probleem op.

Externe en EZVPN-gebruikers verbinden met VPN maar hebben geen toegang tot externe bronnen

Probleem

Gebruikers met externe toegang hebben geen internetconnectiviteit na verbinding te hebben gemaakt met het VPN.

Gebruikers van externe toegang hebben geen toegang tot bronnen achter andere VPN’s op hetzelfde apparaat.

Gebruikers van externe toegang hebben alleen toegang tot het lokale netwerk.

Oplossingen

Probeer deze oplossingen om dit probleem op te lossen:

• Kan de servers in de DMZ niet bereiken

• VPN-clients kunnen DNS niet oplossen

• Split-Tunnel—kan geen toegang tot internet of uitgesloten netwerken krijgen

• Lokale LAN-toegang

• Overlappende private netwerken

Kan de servers in de DMZ niet bereiken

Zodra de VPN-client in de IPsec-tunnel is geïnstalleerd met het VPN-head-end-apparaat (ASA / Cisco IOS® Router), kunnen de VPN-clientgebruikers toegang krijgen tot de bronnen van het INSIDE-netwerk (10.10.10.0/24), maar ze hebben geen toegang tot het DMZ-netwerk (10.1.1.0/24).

Diagram

Controleer dat de configuratie met split-tunnel en NAT-uitzondering op het head-end apparaat is toegevoegd om toegang te hebben tot bronnen in het DMZ-netwerk.

Voorbeeld:

ASA-configuratie:

Deze configuratie toont hoe u de NAT-uitzondering voor het DMZ-netwerk kunt configureren om de VPN-gebruikers toegang te geven tot het DMZ-netwerk.

object network obj-dmz
subnet 10.1.1.0 255.255.255.0
object network obj-vpnpool
subnet 192.168.1.0 255.255.255.0
nat (inside,dmz) 1 source static obj-dmz obj-dmz destination static obj-vpnpool obj-vpnpool

Nadat u een nieuwe vermelding voor de NAT-configuratie heeft toegevoegd, verwijdert u de NAT-vertaling.

Clear xlate
Clear local

Verifiëren:

Als de tunnel tot stand is gebracht, gaat u naar de Cisco VPN-client en kiest u Status > Route-details om te controleren of de beveiligde routes worden weergegeven voor zowel het DMZ- als het INSIDE-netwerk.

Zie ASA: Voeg een nieuwe tunnel of externe toegang toe aan een bestaande L2L VPN - Cisco voor stappen die nodig zijn om een nieuwe VPN-tunnel of een externe toegang VPN toe te voegen aan een L2L VPN-configuratie die al bestaat.

Zie ASA: Allow Split Tunneling for VPN Clients on the ASA Configuration Voorbeeld voor stapsgewijze instructies over hoe u VPN Clients toegang kunt geven tot het internet terwijl ze worden getunneld in een Cisco 5500 Series Adaptive Security Appliance (ASA).

VPN-clients kunnen DNS niet oplossen

Als de VPN-clients de DNS niet kunnen oplossen nadat de tunnel is ingesteld, kan het probleem de DNS-serverconfiguratie in het head-end-apparaat (ASA) zijn.

Controleer ook de connectiviteit tussen de VPN-clients en de DNS-server. De DNS-serverconfiguratie moet worden geconfigureerd onder het groepsbeleid en worden toegepast onder het groepsbeleid in de algemene kenmerken van de tunnelgroep; bijvoorbeeld:

!--- Create the group policy named vpn3000 and !--- specify the DNS server IP address(172.16.1.1) !--- and the domain name(cisco.com) in the group policy.

group-policy vpn3000 internal
group-policy vpn3000 attributes
 dns-server value 172.16.1.1
 default-domain value cisco.com


!--- Associate the group policy(vpn3000) to the tunnel group !--- with the default-group-policy.

tunnel-group vpn3000 general-attributes
 default-group-policy vpn3000

VPN-clients zijn niet in staat om op naam verbinding te maken met interne servers

De VPN-client kan niet op naam een ping versturen naar de hosts of servers van het externe of head-end interne netwerk. U moet de configuratie van split-dns inschakelen op ASA om dit probleem op te lossen.

Split-Tunnel—kan geen toegang tot internet of uitgesloten netwerken krijgen

Split tunnel laat remote-access IPsec-clients voorwaardelijk pakketten over de IPsec-tunnel leiden in gecodeerde vorm of naar een netwerkinterface in duidelijke tekstvorm, gedecodeerd, waar ze naar een eindbestemming worden gerouteerd.

Split-tunnel is standaard uitgeschakeld, wat alle verkeer is.

split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}

De optie excludespecideswordt alleen ondersteund voor Cisco VPN-clients, niet voor EZVPN-clients.

ciscoasa(config-group-policy)#split-tunnel-policy excludespecified

Raadpleeg deze documenten voor gedetailleerde configuratievoorbeelden van split-tunnel:

• ASA: Split Tunneling toestaan voor VPN-clients in het voorbeeld van de ASA-configuratie

• Configuratievoorbeeld van router staat VPN-clients toe IPsec en het internet te verbinden met split-tunneling

Haarspeldoplossing

Deze optie is handig voor VPN-verkeer dat een interface betreedt maar vervolgens uit dezelfde interface wordt gerouteerd.

In een hub en spoke VPN-netwerk, waar het beveiligingstoestel de hub is en externe VPN-netwerken worden gesproken, moet gesproken communicatieverkeer in het beveiligingstoestel gaan en vervolgens weer naar de andere spreker gaan.

Gebruik dezelfde verkeersconfiguratie om verkeer dezelfde interface in en uit te laten.

securityappliance(config)#same-security-traffic permit intra-interface

Lokale LAN-toegang

Gebruikers van externe toegang maken verbinding met het VPN maar hebben slechts toegang tot het lokale netwerk.

Voor een gedetailleerder configuratievoorbeeld, zie ASA: Allow local LAN access for VPN clients.

Overlappende private netwerken

Probleem

Als u geen toegang heeft tot het interne netwerk nadat de tunnel is opgezet, controleer het IP-adres dat toegewezen is aan de VPN-client die overlapt met het interne netwerk achter het head-end apparaat.

Oplossing

Controleer of de IP-adressen in de pool die moeten worden toegewezen voor de VPN-clients, het interne netwerk van het head-end-apparaat en het interne netwerk van de VPN-client zich in verschillende netwerken bevinden.

U kunt hetzelfde hoofdnetwerk met verschillende subnetten toewijzen, maar soms komen routingproblemen voor.

Zie voor meer voorbeelden hetDiagramandExample of theUnable to Access the Servers in DMZsection.

Kan geen verbinding maken met meer dan drie VPN-clientgebruikers

Probleem

Slechts drie VPN-clients kunnen verbinding maken met ASA /; verbinding voor de vierde client mislukt. De volgende foutmelding wordt getoond:

Secure VPN Connection terminated locally by the client.
	 Reason 413: User Authentication failed.

tunnel rejected; the maximum tunnel count has been reached

Oplossingen

In de meeste gevallen houdt dit probleem verband met een instelling voor gelijktijdige aanmelding binnen het groepsbeleid en de maximale sessielimiet.

Probeer deze oplossingen om dit probleem op te lossen:

• Gelijktijdige aanmeldingen configureren

• ASA configureren met CLI

• Configureren

Gelijktijdige aanmeldingen configureren

Als het selectievakje Inherit in ASDM is ingeschakeld, is alleen het standaardaantal gelijktijdige aanmeldingen voor de gebruiker toegestaan. De standaardwaarde voor gelijktijdige aanmeldingen is drie (3).

Om dit probleem op te lossen, verhoogt u de waarde voor gelijktijdige aanmeldingen.

1. Start ASDM en navigeer vervolgens naar Configuration > VPN > Group Policy.

2. Kies de juiste Groepering en klik op de knop Bewerken.

3. Als u het tabblad Algemeen hebt geopend, schakelt u het selectievakje Overnemen voor gelijktijdige aanmeldingen onder Verbindingsinstellingen uit. Kies een geschikte waarde in het veld.

   De minimale waarde voor dit veld is nul (0), waardoor de aanmelding wordt uitgeschakeld en de toegang van de gebruiker wordt verhinderd.

   Wanneer u zich aanmeldt met dezelfde gebruikersaccount vanaf een andere pc, wordt de huidige sessie (de verbinding die is gemaakt vanaf een andere pc met dezelfde gebruikersaccount) beëindigd en wordt de nieuwe sessie tot stand gebracht.

Dit is het standaardgedrag en is onafhankelijk van gelijktijdige VPN-aanmeldingen.

ASA configureren met CLI

Voer deze stappen uit om het gewenste aantal gelijktijdige aanmeldingen te configureren. In dit voorbeeld werd twintig (20) gekozen als de gewenste waarde.

ciscoasa(config)#group-policy Bryan attributes
ciscoasa(config-group-policy)#vpn-simultaneous-logins 20

Raadpleeg Cisco Security Appliance Command Reference voor meer informatie over deze opdracht.

Gebruik de opdracht vpn-sessiondb max-session-limit in globale configuratiemodus om VPN-sessies te beperken tot een lagere waarde dan het beveiligingstoestel toestaat.

Gebruik de overzetting van deze opdracht om de sessielimiet te verwijderen. Gebruik de opdracht opnieuw om de huidige instelling te overschrijven.

vpn-sessiondb max-session-limit {session-limit}

Dit voorbeeld toont hoe u een maximum VPN-sessielimit van 450 instelt:

hostname#vpn-sessiondb max-session-limit 450

Configureren

Fout

20932 10/26/2007 14:37:45.430 SEV=3 AUTH/5 RPT=1863 10.19.187.229
Authentication rejected: Reason = Simultaneous logins exceeded for user
handle = 623, server = (none), user = 10.19.187.229, domain = <not
specified>

Oplossing

Volg deze stappen om het gewenste aantal gelijktijdige aanmeldingen te configureren. U kunt ook proberen de gelijktijdige aanmeldingen voor deze SA in te stellen op 5:

Kies Configuratie > Gebruikersbeheer > Groepen > Wijzigen 10.19.187.229 > Algemeen > Gelijktijdige aanmeldingen en wijzig het aantal aanmeldingen in 5.

Kan sessie of toepassing niet starten en overdracht nadat tunnel tot stand is gebracht is langzaam

Probleem

De toepassing of sessie initieert niet door de tunnel nadat een IPsec-tunnel is opgebouwd.

Oplossingen

Gebruik de opdracht ping om het netwerk te controleren of te controleren of de toepassingsserver bereikbaar is vanuit het netwerk.

Het kan een probleem zijn met de maximale segmentgrootte (MSS) voor tijdelijke pakketten die een router of / ASA-apparaat doorkruisen, met name TCP-segmenten met de SYN-bitset.

Cisco IOS® Router—Wijzig de MSS-waarde in de externe interface (Tunnel End Interface) van de router

Voer de volgende opdrachten uit om de MSS-waarde in de buiteninterface (interface aan tunnel-einde) van de router te wijzigen:

Router>enable 
Router#configure terminal
Router(config)#interface ethernet0/1 
Router(config-if)#ip tcp adjust-mss 1300 
Router(config-if)#end

Deze berichten tonen de debug-output voor TCP MSS:

Router#debug ip tcp transactions

Sep 5 18:42:46.247: TCP0: state was LISTEN -> SYNRCVD [23 -> 10.0.1.1(38437)]
Sep 5 18:42:46.247: TCP: tcb 32290C0 connection to 10.0.1.1:38437, peer MSS 1300, MSS is 
1300
Sep 5 18:42:46.247: TCP: sending SYN, seq 580539401, ack 6015751
Sep 5 18:42:46.247: TCP0: Connection to 10.0.1.1:38437, advertising MSS 1300
Sep 5 18:42:46.251: TCP0: state was SYNRCVD -> ESTAB [23 -> 10.0.1.1(38437)]

De MSS wordt ingesteld op 1300 op de router zoals geconfigureerd.

Raadpleeg voor meer informatie ASA en Cisco IOS®: VPN-fragmentatie.

ASA — Raadpleeg de documentatie van ASA/ASA

Er is geen toegang tot het internet of langzame overdracht door de tunnel vanwege MSS-problemen, en de foutmelding over MTU-grootte wordt gegeven.

Raadpleeg dit document om het probleem op te lossen:

• ASA en Cisco IOS®: VPN-fragmentatie
  
  

Kan VPN-tunnel niet starten vanuit ASA

Probleem

U kunt de VPN-tunnel niet starten vanuit de ASA-interface en na het instellen van de tunnel kan de externe end/VPN-client de interne interface van ASA niet pingen in de VPN-tunnel.

De pn-client kan bijvoorbeeld geen SSH- of HTTP-verbinding met ASA's binnen de interface via VPN-tunnel starten.

Oplossing

De interne interface van de tunnel kan niet worden vastgepind aan het andere uiteinde van de tunnel, tenzij de opdracht beheer-toegang is geconfigureerd in de globale configuratiemodus.

ASA-02(config)#management-access inside

ASA-02(config)#show management-access
management-access inside

Deze opdracht helpt ook met ssh initiatie of http verbinding met de interne interface van ASA door middel van een VPN-tunnel.

Deze informatie geldt ook voor de DMZ-interface. Als u bijvoorbeeld de DMZ-interface van /ASA wilt pingen of een tunnel vanaf de DMZ-interface wilt starten, is de opdracht DMZ-toegang vereist.

ASA-02(config)#management-access DMZ

Als de VPN-client geen verbinding kan maken, moet u ervoor zorgen dat de ESP- en UDP-poorten geopend zijn.

Als deze poorten echter niet geopend zijn, probeert u verbinding te maken op TCP 10000 met de selectie van deze poort onder de vermelding VPN-clientverbinding.

Klik met de rechtermuisknop op Wijzigen > tabblad Transport > IPsec via TCP.

Verkeer kan niet door de VPN-tunnel

Probleem

U kunt geen verkeer via een VPN-tunnel doorgeven.

Oplossing

Dit probleem kan ook optreden wanneer de ESP-pakketten worden geblokkeerd. Configureer de VPN-tunnel opnieuw om dit probleem op te lossen.

Dit probleem kan optreden wanneer gegevens niet worden gecodeerd, maar alleen worden gedecodeerd via de VPN-tunnel, zoals wordt weergegeven in deze uitvoer:

ASA# sh crypto ipsec sa peer x.x.x.x
peer address: y.y.y.y
    Crypto map tag: IPSec_map, seq num: 37, local addr: x.x.x.x
      access-list test permit ip host xx.xx.xx.xx host yy.yy.yy.yy
      local ident (addr/mask/prot/port): (xx.xx.xx.xx/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (yy.yy.yy.yy/255.255.255.255/0/0)
      current_peer: y.y.y.y

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 393, #pkts decrypt: 393, #pkts verify: 393
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

Om dit probleem op te lossen, controleert u op de volgende voorwaarden:

1. Of de crypto-toegangslijsten overeenkomen met de externe locatie en de toegangslijsten met NAT 0 juist zijn.

2. Als de routering correct is en het verkeer de buiteninterface raakt die binnenin passeert. De voorbeeldoutput toont dat decryptie werkt, maar encryptie niet.

3. Als de Sysopt permit connection-vpn-opdracht is geconfigureerd op de ASA. Als deze niet is geconfigureerd, configureert u deze opdracht omdat de ASA hiermee het gecodeerde/VPN-verkeer kan vrijstellen van ACL Check-interface.

Back-up peer voor vpn-tunnel configureren op dezelfde cryptografische kaart

Probleem

U wilt meerdere back-up peers gebruiken voor één VPN-tunnel.

Oplossing

De configuratie van meerdere peers is gelijk aan het aanbieden van een fallback-lijst. Voor elke tunnel probeert de security applicatie te onderhandelen met de eerste peer op de lijst.

Als deze peer niet reageert, gaat de security applicatie de lijst af totdat of een peer reageert of er geen peers meer op de lijst staan.

De ASA heeft al een crypto-kaart geconfigureerd als de primaire peer. De secundaire peer kan na de primaire worden toegevoegd.

Deze voorbeeldconfiguratie toont de primaire peer als X.X.X.X en back-up peer als Y.Y.Y.Y:

ASA(config)#crypto map mymap 10 set peer X.X.X.X Y.Y.Y.Y

VPN-tunnel uitschakelen/opnieuw starten

Probleem

Voltooi de procedure in deze sectie om de VPN-tunnel tijdelijk uit te schakelen en de service opnieuw te starten.

Oplossing

Gebruik de opdracht Crypto-interface toewijzen in globale configuratiemodus om een eerder gedefinieerde cryptografische kaart te verwijderen die is ingesteld op een interface.

Gebruik de noform van deze opdracht om de set cryptografische kaarten uit de interface te verwijderen.

hostname(config)#no crypto map map-name interface interface-name

Deze opdracht verwijdert een crypto map die op een actieve interface van de security applicatie is ingesteld en maakt de IPsec VPN-tunnel inactief in die interface.

Om de IPsec-tunnel op een interface te hervatten, moet u een crypto map toewijzen die op een interface is ingesteld voordat die interface IPsec-services kan leveren.

hostname(config)#crypto map map-name interface interface-name 

Sommige tunnels zijn niet versleuteld

Probleem

Wanneer een zeer groot aantal tunnels op de VPN-gateway wordt geconfigureerd, geven sommige tunnels geen verkeer door. ASA ontvangt geen versleutelde pakketten voor die tunnels.

Oplossing

Dit probleem treedt op omdat ASA de versleutelde pakketten niet door de tunnels kan sturen. In de ASP-tabel worden dubbele encryptieregels gemaakt.

Fout:- %ASA-5-713904: Groep = DefaultRAGroup, IP = x.x.x.x, ... niet-ondersteunde transactiemodus v2 versie.Tunnel beëindigd.

Probleem

Het foutbericht %ASA-5-713904: Group = DefaultRAGroup, IP = 192.0.2.0,... niet-ondersteunde transactiemodus v2 version.Tunnel terminateerror wordt weergegeven.

Oplossing

De reden voor de foutmelding Transaction Mode v2 is dat ASA alleen IKE Mode Config V6 ondersteunt en niet de oude versie van de V2-modus.

Gebruik de IKE Mode Config V6-versie om deze fout op te lossen.

Fout:- %ASA-6-722036: Groepsclient-groep Gebruiker xxxx IP x.x.x.x.x Groot pakket verzenden 1220 (drempel 1206)

Probleem

De foutmelding%ASA-6-722036: Group < client-group > Gebruiker < xxxx > IP < x.x.x.x> die een groot pakket verzendt 1220 (drempel 1206) wordt weergegeven in de logboeken van ASA.

Wat betekent deze melding en hoe kan dit probleem worden opgelost?

Oplossing

Dit logboekbericht geeft aan dat een groot pakket naar de client is verzonden. De bron van het pakket is niet op de hoogte van de MTU van de client.

Dit kan ook het gevolg zijn van compressie van data die niet kunnen worden gecomprimeerd. De oplossing is om de SVC-compressie uit te schakelen met de niet-opdracht voor de vc-compressie, waardoor het probleem wordt opgelost.

Foutmelding wanneer QoS aan één einde van de VPN-tunnel is ingeschakeld

Probleem

Als u QoS hebt ingeschakeld in één uiteinde van de VPN-tunnel, kunt u deze foutmelding ontvangen:

IPSEC: Received an ESP packet (SPI= 0xDB6E5A60, sequence number= 0x7F9F) from
10.18.7.11 (user= ghufhi) to 172.16.29.23 that failed anti-replay check

Oplossing

Dit bericht wordt normaal gesproken veroorzaakt wanneer één uiteinde van de tunnel QoS uitvoert. Dit gebeurt wanneer een pakket wordt gedetecteerd als niet in orde.

Om dit te stoppen kunt u QoS uitschakelen, maar zolang de tunnel werkt kan dit ook worden genegeerd.

WAARSCHUWING: vermelding cryptomaart onvolledig

Probleem

Wanneer u de opdracht cryptomaart mymap 20 ipsec-isakmpcommand uitvoert, kunt u deze fout ontvangen:

WAARSCHUWING: vermelding cryptomaart onvolledig

Voorbeeld:

ciscoasa(config)#crypto map mymap 20 ipsec-isakmp
WARNING: crypto map entry incomplete

Oplossing

Dit is een gebruikelijke waarschuwing wanneer u een nieuwe cryptografische kaart definieert; een herinnering dat parameters zoals toegangslijst (overeenkomend adres), transformatieset en peer-adres moeten worden geconfigureerd voordat deze kunnen werken.

Het is ook normaal dat de eerste regel die u typt om de crypto map te definiëren niet in de configuratie wordt getoond.

Fout:- %ASA-4-400024: IDS:2151 Groot ICMP-pakket van naar buiten interface

Probleem

Het is niet mogelijk grote ping-pakketten door te VPN-tunnel te sturen. Wanneer we proberen om grote ping-pakketten passeren krijgen we de fout%ASA-4-400024: IDS: 2151 Grote ICMP pakket van naar buiten interface.

Oplossing

Schakel de handtekeningen 2150 en 2151 uit om dit probleem op te lossen. Zodra de handtekeningen zijn uitgeschakeld, werkt ping als normaal.

Gebruik deze opdrachten om de handtekeningen uit te schakelen:

ASA(config)#ip audit signature 2151 disable

ASA(config)#ip audit signature 2150 disable

Fout:- %ASA-4-402119: IPSEC: een protocolpakket ontvangen (SPI=spi, volgnummer= seq_num) van remote_IP (gebruikersnaam) naar local_IP dat niet is gecontroleerd.

Probleem

De volgende foutmelding wordt weergegeven in de logboekberichten van ASA:

Fout:- %|ASA-4-402119: IPSEC: een protocolpakket ontvangen (SPI=spi, volgnummer= seq_num) van remote_IP (gebruikersnaam) naar local_IP dat niet is gecontroleerd op antireplay.

Oplossing

Om deze fout op te lossen, gebruikt u de opdracht crypto ipsec security-association replay window-size om de venstergrootte te variëren.

hostname(config)#crypto ipsec security-association replay window-size 1024

Cisco raadt u aan de volledige grootte van het 1024-venster te gebruiken om eventuele problemen met anti-replay te elimineren.

Foutbericht - %ASA-4-407001: Verkeer weigeren voor local-host interface_name: inside_address, licentiegrens van aantal overschreden

Probleem

Een aantal hosts kan geen verbinding maken met het internet, en deze foutmelding wordt in het syslog weergegeven:

Foutbericht - %ASA-4-407001: Verkeer weigeren voor local-host interface_name: inside_address, licentiegrens van aantal overschreden

Oplossing

Deze foutmelding komt voor als het aantal gebruikers de gebruikerslimiet van de licentie overstijgt. Deze fout kan worden opgelost door de licentie te upgraden naar een groter aantal gebruikers.

De gebruikerslicentie kan naar wens 50, 100 of een onbeperkt aantal gebruikers ondersteunen.

Fout: - %VPN_HW-4-PACKET_ERROR:

Probleem

De foutmelding - %VPN_HW-4-PACKET_ERROR: foutmelding geeft aan dat het ESP-pakket met HMAC dat door de router is ontvangen, niet overeenkomt. Deze fout kan worden veroorzaakt door de volgende problemen:

• De VPN H/W-module is defect

• Het ESP-pakket is beschadigd

Oplossing

Om dit probleem op te lossen:

• Negeer de foutmelding indien verkeersonderbreking optreedt.

• Vervang de module als een verkeersonderbreking optreedt.

Foutbericht: Opdracht afgewezen: eerst cryptoverbinding tussen VLAN XXXX en XXXX verwijderen.

Probleem

Deze foutmelding wordt weergegeven wanneer u probeert een toegestaan VLAN toe te voegen aan de trunkpoort van een switch: Command rejected: eerst cryptoverbinding verwijderen tussen VLAN XXXX en VLAN XXXX..

De WAN-edge-trunk kan niet worden aangepast om extra VLAN’s toe te staan. Dat wil zeggen, u kunt geen VLAN's toevoegen in de IPSEC VPN SPAtrunk.

Deze opdracht wordt afgewezen omdat het resulteert in een crypto-verbonden interface VLAN dat behoort tot de toegestane VLAN-lijst, die een potentiële IPSec-beveiligingsinbreuk vormt.

Merk op dat dit gedrag van toepassing is op alle trunkpoorten.

Oplossing

In plaats van de opdracht VLAN (vlanlist) zonder switchport-trunk toegestaan, gebruikt u de opdracht VLAN noncommand of de opdracht "switchport-trunk toegestaan VLAN verwijderen (vlanlist)".

Foutbericht - % FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE: Vervallen pakket - Ongeldige optie voor vensterschaal voor sessie x.x.x.x:27331 tot x.x.x.x:23 [Initiator(flag 0,factor 0) Responder (flag 1, factor 2)]

Probleem

Het volgende probleem treedt op bij het telnetten vanaf een apparaat aan het andere uiteinde van een VPN-tunnel of vanaf de router zelf:

Foutbericht - % FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE: Vervallen pakket - Ongeldige optie voor vensterschaal voor sessie x.x.x.x:27331 tot x.x.x.x:23 [Initiator(flag 0,factor 0) Responder (flag 1, factor 2)]

Oplossing

De gebruikerslicentie kan naar wens 50, 100 of een onbeperkt aantal gebruikers ondersteunen. De vensterschaalfunctie werd toegevoegd om een snelle overdracht van gegevens op lange vetnetwerken (LFN) mogelijk te maken.

Dit zijn doorgaans verbindingen met zeer hoge bandbreedte maar ook hoge latentie.

Een voorbeeld van een LFN is een netwerk met satellietverbindingen, aangezien dergelijke links altijd hoge verspreidingsvertragingen maar doorgaans ook een hoge bandbreedte hebben.

Om de vensterschaalfunctie in te schakelen voor ondersteuning van LFN's, moet de grootte van het TCP-venster groter zijn dan 65.535. Dit foutbericht kan worden opgelost als u de grootte van het TCP-venster vergroot tot meer dan 65.535.

%ASA-5-305013: Asymmetrische NAT-regels afgestemd op voorwaarts en achteruit. Please update this issue flows

Probleem

De volgende foutmelding wordt weergegeven zodra de VPN-tunnel is opgezet:

%ASA-5-305013: Asymmetrische NAT-regels afgestemd op voorwaarts en achteruit. Please update this issue flows

Oplossing

Om dit probleem op te lossen wanneer het zich niet op dezelfde interface als de host met NAT bevindt, gebruikt u het toegewezen adres in plaats van het werkelijke adres om verbinding te maken met de host.

Schakel bovendien de opdracht inspecteren in als de toepassing het IP-adres insluit.

%ASA-5-713068: Ontvangen niet-routinematige melding: notify_type

Probleem

De volgende foutmelding wordt weergegeven als de VPN-tunnel niet wordt opgebouwd:

%ASA-5-713068: Ontvangen niet-routinematige melding: notify_type

Oplossing

Deze melding wordt veroorzaakt door een onjuiste configuratie (de ACL's of het beleid op de peers komen niet overeen)

Zodra het beleid en de ACL's overeenkomen, wordt de tunnel zonder problemen opgezet.

%ASA-5-720012: (VPN-Secondary) IPSec-failover-runtimegegevens op de standby-eenheid zijn niet bijgewerkt (of) %ASA-6-720012: (VPN-eenheid) IPsec-failover-runtimegegevens op de standby-eenheid zijn niet bijgewerkt

Probleem

Een van de volgende foutmeldingen wanneer u de Cisco adaptieve security applicatie (ASA) probeert te upgraden:

%ASA-5-720012: (VPN-Secondary) IPSec-failover-runtimegegevens op de standby-eenheid zijn niet bijgewerkt.

%ASA-6-720012: (VPN-unit) IPsec-failover-runtimegegevens op de standby-unit zijn niet bijgewerkt.

Oplossing

Deze foutmeldingen zijn informatief. De berichten hebben geen invloed op de functionaliteit van de ASA of het VPN.

Deze berichten worden weergegeven wanneer het VPN-failover-subsysteem de IPsec-gerelateerde runtime-gegevens niet kan bijwerken omdat de bijbehorende IPsec-tunnel op de standby-eenheid is verwijderd.

Om deze problemen op te lossen, geeft u het standbycommando op de actieve eenheid.

Fout:- %ASA-3-713063: IKE Peer-adres niet geconfigureerd voor bestemming 0.0.0.0

Probleem

Het foutbericht %ASA-3-713063: IKE Peer address not configured for destination 0.0.0.0 verschijnt en de tunnel komt niet naar boven.

Oplossing

Deze melding wordt weergegeven wanneer het IKE peer-adres niet geconfigureerd is voor een L2L-tunnel.

Deze fout kan worden opgelost als u het volgnummer van de crypto-kaart wijzigt en vervolgens de crypto-kaart verwijdert en opnieuw toepast.

Fout: %ASA-3-752006: Tunnel Manager heeft geen KEY_ACQUIRE-bericht verzonden.

Probleem

De%ASA-3-752006: Tunnel Manager heeft geen KEY_ACQUIRE-bericht verzonden.Vermoedelijke onjuiste configuratie van de cryptografische kaart of tunnelgroep."Foutbericht is geregistreerd op de Cisco ASA.

Oplossing

Deze foutmelding kan worden veroorzaakt door een onjuiste configuratie van de crypto map of tunnelgroep. Zorg ervoor dat beide op de juiste manier zijn geconfigureerd. Raadpleeg Fout 752006 voor meer informatie over deze foutmelding.

Dit zijn enkele van de corrigerende maatregelen:

• Verwijder de crypto-ACL (bijvoorbeeld gekoppeld aan de dynamische kaart).

• Verwijder eventueel ongebruikte IKEv2-configuratie.

• Controleer dat de crypto-ACL overeenkomt.

• Verwijder eventuele dubbele vermeldingen in toegangslijsten.

Fout: %ASA-4-402116: IPSEC: Een ESP-pakket ontvangen (SPI= 0x99554D4E, volgnummer= 0x9E) van XX.XX.XX.XX (user= XX.XX.XX.XX) naar YY.YY.YY.YY

Bij het opbouwen van een LAN-to-LAN VPN-tunnel wordt de volgende foutmelding weergegeven op een eind-ASA:

Het gedecapsuleerde binnenpakket komt niet overeen met het onderhandelde beleid in de SA.

Het pakket specificeert zijn bestemming als 10.32.77.67, zijn bron als 10.105.30.1, en zijn protocol als icmp.

De SA specificeert zijn lokale proxy als 10.32.77.67/255.255.255.255/ip/0 en zijn externe proxy als 10.105.42.192/255.255.255.224/ip/0.

Oplossing

U moet de toegangslijsten voor interessant verkeer verifiëren die op beide einden van de VPN-tunnel zijn gedefinieerd. Beide moeten overeenkomen als exacte spiegelbeelden.

Failed to launch 64-bit VA installer to enable the virtual adapter due to error 0xffffffff

Probleem

Het 64-bits VA-installatieprogramma kan niet worden gestart om de virtuele adapter in te schakelen als gevolg van fout 0xfffffffflog wordt ontvangen wanneer AnyConnect geen verbinding kan maken.

Oplossing

Voer de volgende stappen uit om dit probleem op te lossen:

1. Ga naar Systeem > Internetcommunicatiebeheer > Instellingen voor internetcommunicatie en zorg ervoor dat Automatische updates voor basiscertificaten uitschakelen is uitgeschakeld.

2. Als deze is uitgeschakeld, schakelt u het volledige onderdeel Administratieve sjabloon van de GPO die aan het betreffende systeem is toegewezen uit en test u opnieuw.

Zie Automatische update van basiscertificaten uitschakelen voor meer informatie.

Cisco VPN-client werkt niet met datakaart op Windows 7

Probleem

Cisco VPN-client werkt niet met datakaart op Windows 7.

Oplossing

De Cisco VPN-client op Windows 7 werkt niet met 3G-verbindingen omdat VPN-clients op Windows 7 geen gegevenskaarten ondersteunen.

Waarschuwing: "VPN-functionaliteit werkt mogelijk helemaal niet" 

Probleem

Tijdens pogingen om het isampon in te schakelen op de buiteninterface van ASA, wordt dit waarschuwingsbericht ontvangen:

ASA(config)# crypto isakmp enable outside 
WARNING, system is running low on memory.  Performance may start to degrade. 
VPN functionality may not work at all.

Maak nu via ssh verbinding met de ASA. HTTPS is gestopt, en andere SSL-clients worden ook getroffen.

Oplossing

Dit probleem is het gevolg van de geheugenvereisten van verschillende modules als logger en crypto.

Zorg ervoor dat u niet de opdracht wachtrij 0 hebt. De wachtrijgrootte wordt ingesteld op 8192 en de geheugentoewijzing wordt verhoogd.

In platforms zoals ASA5505 en ASA5510 heeft deze geheugentoewijzing de neiging om andere modules uit te hongeren.

IPSec Padding-foutmelding

Probleem

De volgende foutmelding wordt ontvangen:

%ASA-3-402130: CRYPTO: Received an ESP packet (SPI =
	 0xXXXXXXX, sequence number= 0xXXXX) from x.x.x.x (user= user) to y.y.y.y with
	 incorrect IPsec padding

Oplossing

Het probleem doet zich voor omdat de IPSec VPN onderhandelt zonder een hash-algoritme. Packet hash zorgt voor integriteitscontrole voor het ESP-kanaal.

Daarom, zonder hash, worden misvormde pakketten onopgemerkt geaccepteerd door de Cisco ASA en het probeert deze pakketten te decoderen.

Echter, omdat deze pakketten zijn misvormd, de ASA vindt gebreken tijdens packet decryptie. Dit veroorzaakt de getoonde padding-foutmeldingen.

U wordt aangeraden een hash-algoritme toe te voegen aan de transformatieset voor het VPN en ervoor te zorgen dat de link tussen de peers minieme pakketmisvorming heeft.

VPN-tunnel wordt elke 18 uur verbroken

Probleem

De VPN-tunnel wordt elke 18 uur verbroken ondanks dat de levensduur is ingesteld op 24 uur.

Oplossing

De levensduur is de maximale tijd dat de SA kan worden gebruikt voor rekey. De waarde voor de levensduur die u invoert in de configuratie verschilt van de rekey-tijd van de SA.

Daarom is het noodzakelijk om voorafgaand aan het verstrijken van de huidige SA te onderhandelen over een nieuwe SA (of SA-paar in het geval van IPsec).

De rekey-tijd moet altijd kleiner zijn dan de levensduur, zodat er meerdere pogingen kunnen worden gedaan indien de eerste poging mislukt.

De RFC's specificeren niet hoe de rekey-tijd moet worden berekend. Dit wordt overgelaten aan het oordeel van de uitvoerders.

De tijd verschilt per platform. Sommige implementaties kunnen een willekeurige factor gebruiken om de rekey-timer te berekenen.

Als de ASA bijvoorbeeld de tunnel initieert, is het normaal dat deze opnieuw wordt gesleuteld op 64800 seconden = 75% van 86400.

Als de router wordt gestart, kan de ASA langer wachten om de peer meer tijd te geven om de rekey te starten.

Het is dus normaal dat de VPN-sessie elke 18 uur wordt verbroken om een andere sleutel te gebruiken voor de VPN-onderhandeling. Dit mag geen VPN-uitval of -probleem veroorzaken.

Verkeersstroom wordt onderbroken nadat LAN-naar-LAN-tunnel opnieuw is onderhandeld

Probleem

De verkeersstroom wordt onderbroken nadat de LAN-to-LAN tunnel opnieuw is onderhandeld.

Oplossing

De ASA bewaakt elke verbinding die er doorheen gaat en onderhoudt een vermelding in de statustabel in overeenstemming met de applicatie-inspectiefunctie.

De details van het versleutelde verkeer dat door het VPN gaat, worden behouden in de vorm van een security koppeling (SA) database. Voor LAN-to-LAN VPN-verbindingen worden twee verschillende verkeersstromen onderhouden.

Eén van deze is het versleutelde verkeer tussen de VPN-gateways. De andere is de verkeersstroom tussen de netwerkbron achter de VPN-gateway en de eindgebruiker achter het andere einde.

Wanneer VPN wordt beëindigd, worden de verkeersstroomdetails voor deze specifieke SA verwijderd.

De vermelding in de toestandstabel die bijgehouden wordt door de ASA voor deze TCP-verbinding raakt echter vanwege het gebrek aan activiteit verouderd. Dit belemmert de download.

Dit betekent dat de ASA nog steeds de TCP-verbinding voor die specifieke stroom behoudt terwijl de gebruikerstoepassing wordt beëindigd.

De TCP-verbindingen worden echter verdwaald en uiteindelijk time-out nadat de TCP-inactieve timer is verlopen.

Dit probleem is opgelost met de introductie van een functie genaamd Persistente IPSec Tunneled Flows.

Er is een nieuwe opdracht sysopt connection preserve-vpn-flows in Cisco ASA geïntegreerd om de toestandstabelinformatie te behouden bij het opnieuw onderhandelen van de VPN-tunnel.

Deze opdracht is standaard uitgeschakeld. Om dit mogelijk te maken, houdt de Cisco ASA de TCP-statustabelinformatie bij wanneer de L2L VPN herstelt van de verstoring en de tunnel opnieuw instelt.

Foutmelding dat limiet van bandbreedte voor Crypto-functionaliteit is bereikt

Probleem

De volgende foutmelding wordt weergegeven op de 2900 Series router:

Fout: Mar 20 10:51:29: %CERM-4-TX_BW_LIMIT: Maximale Tx Bandbreedte limiet van 85000 Kbps bereikt voor Crypto functionaliteit met securityK9 technologie pakket licentie.

Oplossing

Dit is een bekend probleem dat zich voordoet vanwege de strenge richtlijnen die door de Amerikaanse regering zijn uitgevaardigd.

In overeenstemming hiermee kan de securityK9-licentie alleen een payloadversleuteling tot snelheden van bijna 90 Mbps toestaan en het aantal gecodeerde tunnels / TLS-sessies op het apparaat beperken.

Voor meer informatie over de crypto-exportbeperkingen, raadpleegt u Cisco ISR G2 SEC en HSEC Licensing.

Cisco-apparaten zijn ingesteld om unidirectioneel verkeer in of uit de ISR G2-router onder 85 Mbps te houden, met een bidirectioneel totaal van 170 Mbps.

Deze eis is van toepassing op Cisco 1900, 2900 en 3900 ISR G2-platforms. Deze opdracht helpt om deze beperkingen te bekijken:

Router#show platform cerm-information
Crypto Export Restrictions Manager(CERM) Information:
CERM functionality: ENABLED
 ----------------------------------------------------------------
 Resource                       Maximum Limit           Available
 ----------------------------------------------------------------
 Tx Bandwidth(in kbps)          85000                   85000
 Rx Bandwidth(in kbps)          85000                   85000
 Number of tunnels                225                     225
 Number of TLS sessions          1000                    1000
---Output truncated----

Om dit probleem te voorkomen, moet u een HSECK9-licentie aanschaffen. Een "hseck9" functielicentie biedt verbeterde functionaliteit voor payload-encryptie met hogere aantallen VPN-tunnels en beveiligde spraaksessies.

Voor meer informatie over licenties voor Cisco ISR Router raadpleegt u Software Activation (Softwareactivering).

Probleem: Uitgaand coderingsverkeer in een IPsec-tunnel mislukt, zelfs als inkomend decoderingsverkeer werkt.

Oplossing

Dit probleem is waargenomen bij een IPsec-verbindingen na meerdere rekeys, maar de trigger of oorzaak is onbekend.

De aanwezigheid van dit probleem kan worden vastgesteld als u de uitvoer van de show asp dropcommand controleert en controleert of de verlopen VPN-contexttteller toeneemt voor elk verzonden uitgaande pakket.

Diversen

AG_INIT_EXCH-melding wordt weergegeven in de output voor de opdrachten "show crypto isakmp sa" en "debug"

Als de tunnel niet wordt geïnitieerd, verschijnt het bericht AG_INIT_EXCH ook in de uitvoer van de show crypto isakmp saccommand en indebugoutput.

De reden kan te wijten zijn aan een mismatch van isampbeleid of als poort udp 500 onderweg wordt geblokkeerd.

Debug-melding "Received an IPC message during invalid state" wordt weergegeven

Dit is een informatief bericht en heeft niets te maken met het verbreken van de VPN-tunnel.

Gerelateerde informatie

• ASA en Cisco IOS®: VPN-fragmentatie
• Cisco ASA 5500 Series security applicaties
• IPsec-onderhandeling/IKE-protocollen
• Technische ondersteuning en documentatie – Cisco Systems