设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCNP求助答疑 Site to site vpn 问题(有红包奖励)
12下一页
返回列表 发新帖
查看: 3062|回复: 16
收起左侧

[求助] Site to site vpn 问题(有红包奖励)

[复制链接]
kai199418
发表于 2017-12-11 16:17:26 | 显示全部楼层 |阅读模式
3鸿鹄币
这个site to site vpn 的问题困扰了我半年了,我就想把这个问题解决,不为别的,就为了这个问题,我愿意发500红包来获取这个经验。

两个ASA5510,搭建 lan to lan  vpn ,我每次都得packet tracer 这个命令,第一遍的敲的时候,vpn encrypted 这个步骤drop了,但是第二次的敲的时候就UP了,然而另一端敲多少遍packet tracer 都在vpn encrypted drop ,如果两边的内网没有任何流量,这个VPN tunnel 5分钟自己断开了,我自己临时找个解决办法,找个机子一直ping对端的内网一台机子,这样VPN就不会断,但是我为了求解问题所在,实在找不到原因。我两台asa5510都是8.2版本的。难道是版本BUG????还是ASA 搭建lan to lan tunnel 有数量限制??超过10个tunnel就开始自动断开了??为了这个问题我发了两个帖子,发了两次配置,跟cisco 官网配置手册反复对比,真的找不到问题,甚至我还求助过 IT团队,都解决不了。也问过我的CCNP老师,也查不出个所以然。

如果哪位大神能解答这个问题,留个Wei Xin ,500红包奖励!!!!

回复

使用道具 举报

echong
发表于 2017-12-11 16:27:13 | 显示全部楼层
site to site vpn需要有感兴趣流量才能触发的,如果长时间隧道没有流量就需要再次触发,我以前为了解决这个我问题,我用的是track这个办法 定期去track一下对端 这样就就可以周期性的去触发这个流量
沙发 2017-12-11 16:27:13 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2017-12-11 16:45:52 | 显示全部楼层
echong 发表于 2017-12-11 16:27
site to site vpn需要有感兴趣流量才能触发的,如果长时间隧道没有流量就需要再次触发,我以前为了解决这个 ...

可是,我们公司有五六个site,我 不能一直track吧,何况有三个site我两年都没动,也没人说断过。唯独新建的两个site就出现这个问题,我感觉这个vpn tunnel 搭建起来,就能访问。我和别的客户做了一个site to site vpn三年就从来没有人说断过一次。
板凳 2017-12-11 16:45:52 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2017-12-11 16:47:03 | 显示全部楼层
kai199418 发表于 2017-12-11 16:45
可是,我们公司有五六个site,我 不能一直track吧,何况有三个site我两年都没动,也没人说断过。唯独新建 ...

更何况,我这个断的频率也太频繁了,几乎是每10分钟就断了
地板 2017-12-11 16:47:03 回复 收起回复
回复

使用道具 举报

echong
发表于 2017-12-13 10:12:46 | 显示全部楼层
kai199418 发表于 2017-12-11 16:45
可是,我们公司有五六个site,我 不能一直track吧,何况有三个site我两年都没动,也没人说断过。唯独新建 ...

贴个两端的配置看看,你可以peer ip隐藏下 免得泄露隐私
5# 2017-12-13 10:12:46 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2017-12-13 16:59:30 | 显示全部楼层
echong 发表于 2017-12-13 10:12
贴个两端的配置看看,你可以peer ip隐藏下 免得泄露隐私

防火墙A:
access-list QM-test extended permit ip 192.168.155.0 255.255.255.0 10.100.2.0 255.255.255.0
access-list acl_nat0 extended permit ip 192.168.155.0 255.255.255.0 10.100.2.0 255.255.255.0
nat (inside) 0 access-list acl_nat0
crypto ipsec transform-set test-QM esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 43200
crypto ipsec security-association lifetime kilobytes 4608000
crypto map mymap 10 match address QM-test
crypto map mymap 10 set peer a.a.a.a
crypto map mymap 10 set transform-set test-QM
crypto map mymap interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

tunnel-group a.a.a.a type ipsec-l2l
tunnel-group a.a.a.a ipsec-attributes
pre-shared-key 123456

防火墙B:
access-list nat0 extended permit ip 10.100.2.0 255.255.255.0 192.168.155.0 255.255.255.0
access-list PB-test extended permit ip 10.100.2.0 255.255.255.0 192.168.155.0 255.255.255.0
nat (inside) 0 access-list nat0
crypto ipsec transform-set test-PB esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 43200
crypto ipsec security-association lifetime kilobytes 4608000
crypto map cienetvpn 150 match address PB-test
crypto map cienetvpn 150 set peer b.b.b.b
crypto map cienetvpn 150 set transform-set test-PB
crypto map cienetvpn interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha     
group 2
lifetime 86400
tunnel-group b.b.b.b type ipsec-l2l
tunnel-group b.b.b.b ipsec-attributes
pre-shared-key 123456
6# 2017-12-13 16:59:30 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2017-12-13 16:59:45 | 显示全部楼层
echong 发表于 2017-12-13 10:12
贴个两端的配置看看,你可以peer ip隐藏下 免得泄露隐私

防火墙A:
access-list QM-test extended permit ip 192.168.155.0 255.255.255.0 10.100.2.0 255.255.255.0
access-list acl_nat0 extended permit ip 192.168.155.0 255.255.255.0 10.100.2.0 255.255.255.0
nat (inside) 0 access-list acl_nat0
crypto ipsec transform-set test-QM esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 43200
crypto ipsec security-association lifetime kilobytes 4608000
crypto map mymap 10 match address QM-test
crypto map mymap 10 set peer a.a.a.a
crypto map mymap 10 set transform-set test-QM
crypto map mymap interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

tunnel-group a.a.a.a type ipsec-l2l
tunnel-group a.a.a.a ipsec-attributes
pre-shared-key 123456

防火墙B:
access-list nat0 extended permit ip 10.100.2.0 255.255.255.0 192.168.155.0 255.255.255.0
access-list PB-test extended permit ip 10.100.2.0 255.255.255.0 192.168.155.0 255.255.255.0
nat (inside) 0 access-list nat0
crypto ipsec transform-set test-PB esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 43200
crypto ipsec security-association lifetime kilobytes 4608000
crypto map cienetvpn 150 match address PB-test
crypto map cienetvpn 150 set peer b.b.b.b
crypto map cienetvpn 150 set transform-set test-PB
crypto map cienetvpn interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha     
group 2
lifetime 86400
tunnel-group b.b.b.b type ipsec-l2l
tunnel-group b.b.b.b ipsec-attributes
pre-shared-key 123456
7# 2017-12-13 16:59:45 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2017-12-13 17:01:07 | 显示全部楼层
echong 发表于 2017-12-13 10:12
贴个两端的配置看看,你可以peer ip隐藏下 免得泄露隐私

我感觉这个问题无人能解了,很多人要了配置之后就没回复了,因为我这个配置按照cisco 官网一步一步来的,反复检查,也对比跟其他site vpn 的配置,一点问题没有,但是tunnel就是起不来
8# 2017-12-13 17:01:07 回复 收起回复
回复

使用道具 举报

echong
发表于 2017-12-14 09:14:50 | 显示全部楼层
kai199418 发表于 2017-12-13 17:01
我感觉这个问题无人能解了,很多人要了配置之后就没回复了,因为我这个配置按照cisco 官网一步一步来的, ...

在两端的设备上的全局模式下加载sa的生存周期命令看看
ciscoasa(config)# crypto ipsec security-association lifetime seconds 86400
9# 2017-12-14 09:14:50 回复 收起回复
回复

使用道具 举报

echong
发表于 2017-12-14 09:38:35 | 显示全部楼层
kai199418 发表于 2017-12-13 17:01
我感觉这个问题无人能解了,很多人要了配置之后就没回复了,因为我这个配置按照cisco 官网一步一步来的, ...

你现在是连tunnel都起不来 还是可起来 就是隔几分钟没流量就会断开
10# 2017-12-14 09:38:35 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2017-12-14 09:57:18 | 显示全部楼层
echong 发表于 2017-12-14 09:38
你现在是连tunnel都起不来 还是可起来 就是隔几分钟没流量就会断开

我show isakmp sa ,说there is no isakmp ,但是我packet-tracer input inside tcp 10.100.2.52 80 192.168.155.3 80 一下,第一次是

11# 2017-12-14 09:57:18 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2017-12-14 09:58:48 | 显示全部楼层
kai199418 发表于 2017-12-14 09:57
我show isakmp sa ,说there is no isakmp ,但是我packet-tracer input inside tcp 10.100.2.52 80 192. ...

Phase: 7
Type: VPN
Subtype: encrypt
Result: DROP
Drop-reason: (ACL-drop) Flow is denied by configured rule
12# 2017-12-14 09:58:48 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2017-12-14 10:00:04 | 显示全部楼层
我show isakmp sa ,说there is no isakmp ,但是我packet-tracer input inside tcp 10.100.2.52 80 192.168.155.3 80 一下,第一次是
Phase: 7
Type: VPN
Subtype: encrypt
Result: DROP

phase: 8
Drop-reason: (ACL-drop) Flow is denied by configured rule
但是我第二次敲 packet-tracer input inside tcp 10.100.2.52 80 192.168.155.3 80 这个命令的时候,全部通过,然后tunnel起来了,但是过15分钟后又自己断了
13# 2017-12-14 10:00:04 回复 收起回复
回复

使用道具 举报

kai199418
 楼主| 发表于 2017-12-14 10:03:48 | 显示全部楼层
echong 发表于 2017-12-14 09:38
你现在是连tunnel都起不来 还是可起来 就是隔几分钟没流量就会断开


当tunnel 起来的时候,我show isakmp sa 就有东西了,
1   IKE Peer: b.b.b.b
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE


role 总是 initiator ,另一端responder,请问这个怎么改,responder 方的防火墙,输入多少次packet tracer都无法让tunnel起来,只能靠initiator 方的防火墙发包才能让tunnel起来。
14# 2017-12-14 10:03:48 回复 收起回复
回复

使用道具 举报

q466265670
发表于 2018-1-11 10:02:50 | 显示全部楼层
学习
15# 2018-1-11 10:02:50 回复 收起回复
回复

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-5-10 14:04 , Processed in 0.094782 second(s), 23 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表