site to site VPN 时断时续问题

kai199418

小弟我在两个地点用cisco asa 5505 建立了site to site VPN ，但是总是时断时续，A地点的outside IP ：a.a.a.a , A地点内网地址：10.1.1.x  B地点的 outside IP: 10.2.2.x 。我一般用 packet-tracer 命令来看是否两个地点的内网地址联通。我发现A地点防火墙  packet-tracer input inside tcp 10.1.1.3 80 10.2.2.3 80 ,所有的都是ALLOW， 但是我从B点的防火墙  packet-tracer input inside tcp 10.2.2.3 80 10.1.1.3 80 到了 encrypt 这个地方就drop了， 我只有在B防火墙敲： clear ipsec peer a.a.a.a 这样才能allow ，而且好了之后，过两天或者重启防火墙 site to site vpn 又断了，我又得敲一次clear ipsec命令。只要一断开，A点的 packet-tracer 永远ALLOW，B点的 packet-tracer 总在encrypt 地方drop 。有哪位兄台知道怎么回事吗？
A点的ipsec 配置：
access-list S2SVPN-to-B extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
access-list nat0 extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
nat (inside) 0 access-list nat0
crypto ipsec transform-set S2SVPN-to-B esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 43200
crypto ipsec security-association lifetime kilobytes 4608000

crypto map L2L 20 match address S2SVPN-to-B
crypto map L2L 20 set peer b.b.b.b
crypto map L2L 20 set transform-set S2SVPN-to-B

crypto map L2L interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400

tunnel-group 1.202.242.130 type ipsec-l2l
tunnel-group 1.202.242.130 ipsec-attributes
pre-shared-key cisco



B点的ipsec配置：
access-list nat0 extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0
nat (inside) 0 access-list nat0
access-list  B-to-A extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0
crypto ipsec transform-set B-to-A esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 43200
crypto ipsec security-association lifetime kilobytes 4608000

crypto map cienetvpn 120 match address B-to-A
crypto map cienetvpn 120 set peer a.a.a.a
crypto map cienetvpn 120 set transform-set B-to-A

crypto map cienetvpn interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400

tunnel-group a.a.a.a type ipsec-l2l
tunnel-group a.a.a.a ipsec-attributes
pre-shared-key cisco

zhurx

再多加这几条命令,接口配置不知道你真实的nameif...
A点firewall
access-list S2SVPN-to-B extended permit ip 10.1.1.0 255.255.255.0 host b.b.b.b
access-list nat0 extended permit ip 10.1.1.0 255.255.255.0 host b.b.b.b
global (outside) 1 interface
nat (inside) 1 10.1.1.0 255.255.255.0

B点firewall
access-list nat0 extended permit ip 10.2.2.0 255.255.255.0 host a.a.a.a
access-list  B-to-A extended permit ip 10.2.2.0 255.255.255.0 host a.a.a.a
global (outside) 1 interface
nat (inside) 1 10.2.2.0 255.255.255.0

kai199418

上面说错了。B点的outside IP：b.b.b.b ，内网IP ： 10.2.2.x

zhurx

曾做过siteB share siteA的dhcp server....两台asa5510做的site-to-site vpn, 一直在线支持生产线系统，没出现掉线现象。
siteB client 发起DHCP 请求时，vpn isakmp sa 就建立。

kai199418

zhurx 发表于 2017-9-4 16:16
再多加这几条命令,接口配置不知道你真实的nameif...
A点firewall
access-list S2SVPN-to-B extended per ...

这几条命令都有

zhurx

把你的路由贴出来。
有高人说过，遇到VPN奇奇怪怪的问题时，按相关配置重新贴一下，有时问题就会莫名的解决。
有些配置你看到是一样的，可能设备有BUG,所以建议你将vpn的关键命令再重新粘贴一下。

kai199418

zhurx 发表于 2017-9-5 11:09
把你的路由贴出来。
有高人说过，遇到VPN奇奇怪怪的问题时，按相关配置重新贴一下，有时问题就会莫名的解 ...

行了，问题我自己解决了，因为
crypto map L2L 20 match address S2SVPN-to-B
crypto map L2L 20 set peer b.b.b.b
crypto map L2L 20 set transform-set S2SVPN-to-B，

我之前在做A与C的 S2S VPN的时候， crypto map L2L 编号是30 ，所以把A与B改成比30大的数就好了，按顺序来。

zhurx

解决了就好，否则闹心的。有时可以用用 show run all，这可以看到更详细的配置信息。
也学习了你的经验，下次这些奇怪问题时，也可以参考你的经历。谢谢你。

q466265670

学习