- ipsec между cisco и windows, Vasili, 18:06 , 10-Янв-07 (1)
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный >трафик - результата никакого. Может кто сталкивался с чем-то подобным? Да, забыл сказать - когда я вижу эти ошибки у них тоннель падает и поднимают они его только вручную.
- ipsec между cisco и windows, meps, 19:12 , 10-Янв-07 (2)
>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства >для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки: > >Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and >is not an initialization offer >Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for >destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer > >проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный >трафик - результата никакого. Может кто сталкивался с чем-то подобным? Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco работает на ура....
- ipsec между cisco и windows, Изгой, 09:09 , 11-Янв-07 (3)
>>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства >>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки: >> >>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and >>is not an initialization offer >>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for >>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer >> >>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный >>трафик - результата никакого. Может кто сталкивался с чем-то подобным? > > >Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco >работает на ура.... Конфиг по Ipsec с вашей стороны можно посмотреть ?
- ipsec между cisco и windows, Vasili, 10:07 , 11-Янв-07 (4)
>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco >>работает на ура.... > > >Конфиг по Ipsec с вашей стороны можно посмотреть ? Конечно: crypto isakmp policy 20 encr 3des hash md5 authentication pre-share group 2 lifetime 3600 ! crypto isakmp key KEY_FOR_REM_PEER address REM_PEER crypto isakmp invalid-spi-recovery ! crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac ! crypto map ipsec-cryptomap 61 ipsec-isakmp set peer REM_PEER set transform-set to-telecom match address 123 #sh cry ipse security-association lifetime Security association lifetime: 4608000 kilobytes/3600 seconds
- ipsec между cisco и windows, Изгой, 13:40 , 11-Янв-07 (5)
>>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco >>>работает на ура.... >> >> >>Конфиг по Ipsec с вашей стороны можно посмотреть ? > >Конечно: > >crypto isakmp policy 20 > encr 3des > hash md5 > authentication pre-share > group 2 > lifetime 3600 - вот тут я непомню можно ли убрать вообще время пересогласования первой фазы IKE , давно я уже незанимался надо доку смотреть. В общем идея такова чтоб после того как стороны договарилсь - больше не догавоариваться Попробуйте может всё получиться. >! >crypto isakmp key KEY_FOR_REM_PEER address REM_PEER >crypto isakmp invalid-spi-recovery >! >crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac >! >crypto map ipsec-cryptomap 61 ipsec-isakmp > set peer REM_PEER > set transform-set to-telecom > match address 123 > >#sh cry ipse security-association lifetime >Security association lifetime: 4608000 kilobytes/3600 seconds
- ipsec между cisco и windows, Vasili, 18:17 , 11-Янв-07 (8)
>В общем идея такова чтоб после того как стороны договарилсь - >больше не догавоариваться >Попробуйте может всё получиться. Хорошая идея - попробую глянуть, но помойму на сиске, если не укзаываешь lifetime, то берется дефолтовый, а это, если мне не изменяет память 86400 секунд (==1 сутки).
- ipsec между cisco и windows, Pavel, 16:26 , 11-Янв-07 (6)
Я бы использовал Cisco VPN client. Все бы работало стабильно!
- ipsec между cisco и windows, Vasili, 17:56 , 11-Янв-07 (7)
>Я бы использовал Cisco VPN client. Все бы работало стабильно! Что использовать выбираю не я
- ipsec между cisco и windows, Изгой, 09:59 , 12-Янв-07 (9)
>>Я бы использовал Cisco VPN client. Все бы работало стабильно! > >Что использовать выбираю не я Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить до безобразия ??? В общем скажете что получиться из этого , интерестно даже , с какой часто той будет падать канал.
- ipsec между cisco и windows, Дмитрий, 14:14 , 25-Май-07 (10)
>>>Я бы использовал Cisco VPN client. Все бы работало стабильно! >> >>Что использовать выбираю не я > > >Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить >до безобразия ??? >В общем скажете что получиться из этого , интерестно даже , с >какой часто той будет падать канал. Чем все закончилось у меня такая-же ошибка с Pix515 в CO и Cisco 18xx series в регионах. постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не помогает... А вот отвязка crypto Map от интерфейса мин на 5 и привязка заново помогла. В чем модет быть дело, как решить проблему?
- ipsec между cisco и windows, Vasili, 16:41 , 26-Май-07 (11)
>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и >Cisco 18xx series в регионах. >постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не >помогает... >А вот отвязка crypto Map от интерфейса мин на 5 и привязка >заново помогла. В чем модет быть дело, как решить проблему? 1. Согласовать lifetime'ы с обеих сторон (второй фазы) 2. Если не помогло: поменять софт.
- ipsec между cisco и windows, Дмитрий, 13:01 , 01-Июн-07 (12)
>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и >>Cisco 18xx series в регионах. >>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не >>помогает... >>А вот отвязка crypto Map от интерфейса мин на 5 и привязка >>заново помогла. В чем модет быть дело, как решить проблему? > >1. Согласовать lifetime'ы с обеих сторон (второй фазы) >2. Если не помогло: поменять софт. Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco 18XX (3600) Я заменил lifetime на cisco 18XX crypto ipsec security-association lifetime seconds 28000 затем clear crypro SA все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr и связи нет.
Пока железно помогает перезагрузка Pix515 но это недело. Какой и на чем нужно софт менять?
- ipsec между cisco и windows, meps, 00:54 , 02-Июн-07 (13)
Та же хрень..... и уменя в конце дня приходится бутать PIX>>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и >>>Cisco 18xx series в регионах. >>>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не >>>помогает... >>>А вот отвязка crypto Map от интерфейса мин на 5 и привязка >>>заново помогла. В чем модет быть дело, как решить проблему? >> >>1. Согласовать lifetime'ы с обеих сторон (второй фазы) >>2. Если не помогло: поменять софт. > > >Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco >18XX (3600) >Я заменил lifetime на cisco 18XX >crypto ipsec security-association lifetime seconds 28000 >затем clear crypro SA >все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi >for destaddr и связи нет. > >Пока железно помогает перезагрузка Pix515 но это недело. > >Какой и на чем нужно софт менять?
- ipsec между cisco и windows, Дмитрий, 15:35 , 06-Июн-07 (14)
>Та же хрень..... и уменя >в конце дня приходится бутать PixНу это же УЖАСНО.... оборудование CISCO просто дискредитирует себя. А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ? Я работаю с CISCO не так давно и поэтому прошу помощи. Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам. Должно же быть решение. >>Пока железно помогает перезагрузка Pix515 но это недело. >> >>Какой и на чем нужно софт менять?
- ipsec между cisco и windows, Дмитрий, 15:36 , 06-Июн-07 (15)
>Та же хрень..... и уменя >в конце дня приходится бутать PixНу это же УЖАСНО.... оборудование CISCO просто дискредитирует себя. А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ? Я работаю с CISCO не так давно и поэтому прошу помощи. Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам. Должно же быть решение. Кстати очень важный вопрос icq 12703147 >>Пока железно помогает перезагрузка Pix515 но это недело. >> >>Какой и на чем нужно софт менять?
- ipsec между cisco и windows, Mikhail, 19:17 , 10-Окт-07 (16)
>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства >для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки: > >Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and >is not an initialization offer >Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for >destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer > >проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный >трафик - результата никакого. Может кто сталкивался с чем-то подобным? crypto isakmp keepalive
- ipsec между cisco и windows, jimmy, 19:34 , 11-Сен-08 (17)
- ipsec между cisco и windows, izh_dima, 08:43 , 01-Ноя-08 (18)
- ipsec между cisco и windows, gintonic, 14:30 , 20-Ноя-09 (19)
>[оверквотинг удален] >>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec... >> >>..сам вот сижу разбираю похожий случай > >таже беда, но после clear crypto sa, все стало подниматься. >софт везте 12.4 стоит >cisco 2811 CA server + dmvpn + cisco 1841 > >как только очистил, так стало подниматься само по себе, еще попробую лайфтамом >поиграться. таже проблема с Cisco-Microsoft.....повторно тунель поднимается только после clear crypto sa что можно сделать?
- ipsec между cisco и windows, Sergey, 20:27 , 23-Июл-11 (20)
Мне помогло: no set security-association lifetime seconds 3600 в crypto ipsec profile Profile1.
|