The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipsec между cisco и windows"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]

"ipsec между cisco и windows"  +/
Сообщение от Vasili email on 10-Янв-07, 18:01 
Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and is not an initialization offer
Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer

проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный трафик - результата никакого. Может кто сталкивался с чем-то подобным?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipsec между cisco и windows"  +/
Сообщение от Vasili email on 10-Янв-07, 18:06 
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?

Да, забыл сказать - когда я вижу эти ошибки у них тоннель падает и поднимают они его только вручную.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipsec между cisco и windows"  +/
Сообщение от meps email on 10-Янв-07, 19:12 
>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>
>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>is not an initialization offer
>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?


Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco работает на ура....

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "ipsec между cisco и windows"  +/
Сообщение от Изгой (??) on 11-Янв-07, 09:09 
>>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>>
>>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>>is not an initialization offer
>>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>>
>>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>>трафик - результата никакого. Может кто сталкивался с чем-то подобным?
>
>
>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>работает на ура....


Конфиг по Ipsec  с вашей стороны можно посмотреть ?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ipsec между cisco и windows"  +/
Сообщение от Vasili email on 11-Янв-07, 10:07 
>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>>работает на ура....
>
>
>Конфиг по Ipsec  с вашей стороны можно посмотреть ?

Конечно:

crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key KEY_FOR_REM_PEER address REM_PEER
crypto isakmp invalid-spi-recovery
!
crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac
!
crypto map ipsec-cryptomap 61 ipsec-isakmp
set peer REM_PEER
set transform-set to-telecom
match address 123

#sh cry ipse security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ipsec между cisco и windows"  +/
Сообщение от Изгой (??) on 11-Янв-07, 13:40 
>>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>>>работает на ура....
>>
>>
>>Конфиг по Ipsec  с вашей стороны можно посмотреть ?
>
>Конечно:
>
>crypto isakmp policy 20
> encr 3des
> hash md5
> authentication pre-share
> group 2
> lifetime 3600 - вот тут я непомню можно ли убрать вообще время пересогласования первой фазы IKE , давно я уже незанимался надо доку смотреть.
В общем идея такова чтоб после того как стороны договарилсь -  больше не догавоариваться
Попробуйте может всё получиться.
>!
>crypto isakmp key KEY_FOR_REM_PEER address REM_PEER
>crypto isakmp invalid-spi-recovery
>!
>crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac
>!
>crypto map ipsec-cryptomap 61 ipsec-isakmp
> set peer REM_PEER
> set transform-set to-telecom
> match address 123
>
>#sh cry ipse security-association lifetime
>Security association lifetime: 4608000 kilobytes/3600 seconds


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "ipsec между cisco и windows"  +/
Сообщение от Vasili email(ok) on 11-Янв-07, 18:17 
>В общем идея такова чтоб после того как стороны договарилсь -  
>больше не догавоариваться
>Попробуйте может всё получиться.

Хорошая идея - попробую глянуть, но помойму на сиске, если не укзаываешь lifetime, то берется дефолтовый, а это, если мне не изменяет память 86400 секунд (==1 сутки).

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "ipsec между cisco и windows"  +/
Сообщение от Pavel (??) on 11-Янв-07, 16:26 
Я бы использовал Cisco VPN client. Все бы работало стабильно!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "ipsec между cisco и windows"  +/
Сообщение от Vasili email(ok) on 11-Янв-07, 17:56 
>Я бы использовал Cisco VPN client. Все бы работало стабильно!

Что использовать выбираю не я

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "ipsec между cisco и windows"  +/
Сообщение от Изгой (??) on 12-Янв-07, 09:59 
>>Я бы использовал Cisco VPN client. Все бы работало стабильно!
>
>Что использовать выбираю не я


Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить до безобразия ???
В общем скажете что получиться из этого , интерестно даже , с какой часто той будет падать канал.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "ipsec между cisco и windows"  +/
Сообщение от Дмитрий email(??) on 25-Май-07, 14:14 
>>>Я бы использовал Cisco VPN client. Все бы работало стабильно!
>>
>>Что использовать выбираю не я
>
>
>Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить
>до безобразия ???
>В общем скажете что получиться из этого , интерестно даже , с
>какой часто той будет падать канал.


Чем все закончилось у меня такая-же ошибка с Pix515 в CO и Cisco 18xx series в регионах.
постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не помогает...
А вот отвязка crypto Map от интерфейса мин на 5 и привязка заново помогла. В чем модет быть дело, как решить проблему?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "ipsec между cisco и windows"  +/
Сообщение от Vasili (??) on 26-Май-07, 16:41 
>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>Cisco 18xx series в регионах.
>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>помогает...
>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>заново помогла. В чем модет быть дело, как решить проблему?

1. Согласовать lifetime'ы с обеих сторон (второй фазы)
2. Если не помогло: поменять софт.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "ipsec между cisco и windows"  +/
Сообщение от Дмитрий email(??) on 01-Июн-07, 13:01 
>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>>Cisco 18xx series в регионах.
>>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>>помогает...
>>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>>заново помогла. В чем модет быть дело, как решить проблему?
>
>1. Согласовать lifetime'ы с обеих сторон (второй фазы)
>2. Если не помогло: поменять софт.


Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco 18XX (3600)
Я заменил  lifetime на cisco 18XX
crypto ipsec security-association lifetime seconds 28000
затем clear crypro SA
все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr и связи нет.

Пока железно помогает перезагрузка Pix515 но это недело.

Какой и на чем нужно софт менять?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "ipsec между cisco и windows"  +/
Сообщение от meps email on 02-Июн-07, 00:54 
Та же хрень..... и уменя
в конце дня приходится бутать PIX

>>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>>>Cisco 18xx series в регионах.
>>>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>>>помогает...
>>>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>>>заново помогла. В чем модет быть дело, как решить проблему?
>>
>>1. Согласовать lifetime'ы с обеих сторон (второй фазы)
>>2. Если не помогло: поменять софт.
>
>
>Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco
>18XX (3600)
>Я заменил  lifetime на cisco 18XX
>crypto ipsec security-association lifetime seconds 28000
>затем clear crypro SA
>все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi
>for destaddr и связи нет.
>
>Пока железно помогает перезагрузка Pix515 но это недело.
>
>Какой и на чем нужно софт менять?


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "ipsec между cisco и windows"  +/
Сообщение от Дмитрий email(??) on 06-Июн-07, 15:35 
>Та же хрень..... и уменя
>в конце дня приходится бутать Pix

Ну это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.
А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один  или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?
Я работаю с CISCO не так давно и поэтому прошу помощи.
Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам.
    Должно же быть решение.

>>Пока железно помогает перезагрузка Pix515 но это недело.
>>
>>Какой и на чем нужно софт менять?


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "ipsec между cisco и windows"  +/
Сообщение от Дмитрий email(??) on 06-Июн-07, 15:36 
>Та же хрень..... и уменя
>в конце дня приходится бутать Pix

Ну это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.
А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один  или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?
Я работаю с CISCO не так давно и поэтому прошу помощи.
Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам.
    Должно же быть решение.
Кстати очень важный вопрос  icq 12703147


>>Пока железно помогает перезагрузка Pix515 но это недело.
>>
>>Какой и на чем нужно софт менять?


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "ipsec между cisco и windows"  +/
Сообщение от Mikhail (??) on 10-Окт-07, 19:17 
>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>
>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>is not an initialization offer
>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?

crypto isakmp keepalive

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "ipsec между cisco и windows"  +/
Сообщение от jimmy (??) on 11-Сен-08, 19:34 
можно здесь чего поглядеть: http://book.soundonair.ru/cisco/ch24lev1sec4.html
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...

..сам вот сижу разбираю похожий случай

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "ipsec между cisco и windows"  +/
Сообщение от izh_dima (??) on 01-Ноя-08, 08:43 
>можно здесь чего поглядеть: http://book.soundonair.ru/cisco/ch24lev1sec4.html
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
>
>..сам вот сижу разбираю похожий случай

таже беда, но после clear crypto sa, все стало подниматься.
софт везте 12.4 стоит
cisco 2811 CA server + dmvpn + cisco 1841

как только очистил, так стало подниматься само по себе, еще попробую лайфтамом поиграться.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "ipsec между cisco и windows"  +/
Сообщение от gintonic (ok) on 20-Ноя-09, 14:30 
>[оверквотинг удален]
>>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
>>
>>..сам вот сижу разбираю похожий случай
>
>таже беда, но после clear crypto sa, все стало подниматься.
>софт везте 12.4 стоит
>cisco 2811 CA server + dmvpn + cisco 1841
>
>как только очистил, так стало подниматься само по себе, еще попробую лайфтамом
>поиграться.

таже проблема с Cisco-Microsoft.....повторно тунель поднимается только после clear crypto sa
что можно сделать?


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "ipsec между cisco и windows"  +/
Сообщение от Sergey (??) on 23-Июл-11, 20:27 
Мне помогло: no set security-association lifetime seconds 3600 в crypto ipsec profile Profile1.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру