https://opennet.me/openforum/vsluhforumID6/23765.html Всем привет.<br>Обнаружилась след. проблемка при настройке l2l ipsec на нескольких asa, при след. хронологии процесса:<br><br>1. тоннели поднимаются, трафик ходит.<br>2. после того, как обмен трафиком прекращается, тоннель ожидаемо падает через некоторое время.<br>3. при попытке возобновления обмена трафиком тоннель поднимается, но трафик не ходит.<br><br>Подскажите пож. как поправить ситуацию?<br>Вот некоторые подробности:<br>[code]<br>[b]A1# sh crypto isakmp sa[/b]<br> Active SA: 2<br> Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)<br>Total IKE SA: 2<br><br>1 IKE Peer: 192.168.0.17<br> Type : L2L Role : responder<br> Rekey : no State : MM_ACTIVE<br>2 IKE Peer: 192.168.0.16<br> Type : L2L Role : responder<br> Rekey : no State : MM_ACTIVE<br><br>[b]A1# sh crypto ipsec sa[/b]<br>interface: outside<br> Crypto map tag: DYN-MAP, seq num: 5, local addr: 192.168.0.15<br><br> local ident (addr/mask/prot/port): (172.30.0.0/255.255.255.0/0/0)<br> https://opennet.me/openforum/vsluhforumID6/23765.html#2 Fri, 11 May 2012 19:01:46 GMT Проблемка была в dynamic-map, используемый для easy vpn. <br>Надо использовать отдельно от map для l2l.<br><br><br> https://opennet.me/openforum/vsluhforumID6/23765.html#1 Wed, 09 May 2012 23:25:41 GMT Частично удалось решить вопрос...<br>Опытным путём удалось выяснить, что после падения тоннеля (например разрыв соединения) инициировать соединение (пустить пинг) необходимо только с одной из сторон. <br><br>Если это сделать, например с сетки за ASA2, то: <br># sh crypto isakmp sa -покажет активные пиры, но трафик ходить не будет.<br><br>Чтобы это вылечить, необходимо очистить на ASA1 активные пиры командой:<br># clear crypto isakmp sa<br>После этого, инициировать соединение с сети за ASA1 и только тогда трафик будет бегать.<br>Если же, инициировать трафик с сети за ASA2, то опять ничего не получится.<br><br>Мне думается, что так быть не должно. <br>Кто сталкивался?<br>