site to site vpn 经常自己中断。

kai199418

我用两个防火墙搭建了site to site vpn,但是时不时的中断，下面是两边的VPN配置。
防火墙A：
access-list S2SVPN-to-BJ extended permit ip 10.120.0.0 255.255.0.0 10.100.2.0 255.255.254.0
access-list nat0 extended permit ip 10.120.0.0 255.255.0.0 10.100.2.0 255.255.255.0
nat (inside) 0 access-list nat0
crypto ipsec transform-set S2SVPN-to-BJ esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 43200
crypto ipsec security-association lifetime kilobytes 4608000
crypto map L2L 10 match address S2SVPN-to-BJ
crypto map L2L 10 set peer 1.202.222.110
crypto map L2L 10 set transform-set S2SVPN-to-BJ

crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2      
lifetime 86400

tunnel-group 1.202.222.110 type ipsec-l2l
tunnel-group 1.202.222.110 ipsec-attributes
pre-shared-key 123456



防火墙B：
access-list BJ-WH extended permit ip 10.100.2.0 255.255.255.0 10.120.1.0 255.255.255.0
access-list nat0 extended permit ip 10.100.2.0 255.255.254.0 10.120.0.0 255.255.0.0
nat (inside) 0 access-list nat0

crypto ipsec transform-set BJ-WH esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 43200
crypto ipsec security-association lifetime kilobytes 4608000

crypto map cienetvpn 120 match address BJ-WH
crypto map cienetvpn 120 set peer 27.18.3.41
crypto map cienetvpn 120 set transform-set BJ-WH

crypto map cienetvpn interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10

authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

tunnel-group 27.18.3.41 type ipsec-l2l
tunnel-group 27.18.3.41 ipsec-attributes
pre-shared-key 123456


我实在搞不懂到底哪里有问题。或者我少打了什么命令，经常性的断，有时候隔了两个月断，有时候隔了几周断，我必须在防火墙上clear crypto isakmp sa x.x.x.x 才能使两边VPN从新建立起来，或者是packet tracert input tcp 这个命令发个包才能通，有的朋友说lifetime要一致，后来我设置成一样的了，还是出现这个问题。只不过出现这个问题的频率低了点，由几天变成了几周。我问了我的CCNP老师，确实配置没什么问题。我debug也看不出来哪里有什么问题。但就是经常的断。一个月断两三次。

zhurx

防火墙A：
access-list S2SVPN-to-BJ extended permit ip 10.120.0.0 255.255.0.0 10.100.2.0 255.255.254.0
access-list nat0 extended permit ip 10.120.0.0 255.255.0.0 10.100.2.0 255.255.255.0

仔细比较一下你两端的ACL,建议掩码完全一致。

Admln

运营商问题

kai199418

Admln 发表于 2017-11-21 15:06
运营商问题

但是其他site的VPN就没有这种情况，我换了个防火墙，依旧这样，命令模板都是一样的。我怀疑我是不是忘了enable什么东西了

kai199418

zhurx 发表于 2017-11-24 16:09
防火墙A：
access-list S2SVPN-to-BJ extended permit ip 10.120.0.0 255.255.0.0 10.100.2.0 255.255.254 ...

后来我也发现子网掩码，改成一致后，但是还是不行，根本不能自己搭建ISAKMP，我show isakmp sa 根本没有任何东西，提示there is no isakmp ，

kai199418

zhurx 发表于 2017-11-24 16:09
防火墙A：
access-list S2SVPN-to-BJ extended permit ip 10.120.0.0 255.255.0.0 10.100.2.0 255.255.254 ...

后来我也发现子网掩码，改成一致后，但是还是不行，根本不能自己搭建ISAKMP，我show isakmp sa 根本没有任何东西，提示there is no isakmp ，

zhurx

你把现在两端的VPN相关的配置重新粘出来，我看一下。

q466265670

学习

kai199418

zhurx 发表于 2017-11-29 11:00
你把现在两端的VPN相关的配置重新粘出来，我看一下。

这个问题我发到国外论坛上了，国外的大神告诉我真正的问题所在，如果防火墙同时做了easy vpn 和L2L vpn,
crypto dynamic-map dyn 100 set transform-set remotevpn,
如果你的L2L的值大于easy vpn的 number设定值，那么就会有问题，必须小于，
也就是说在客户端，crypto map 后面的number小于100，就什么事也没有，大于100就会出现我说的问题。
我让客户把这个值调小后，就再也没出现过这个问题了

zhurx

kai199418 发表于 2018-4-8 10:44
这个问题我发到国外论坛上了，国外的大神告诉我真正的问题所在，如果防火墙同时做了easy vpn 和L2L vpn,
...

你太能干了，学习了。谢谢分享。