- ipsec между cisco и windows,
 Vasili, 18:06 , 10-Янв-07 (1)>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным? Да, забыл сказать - когда я вижу эти ошибки у них тоннель падает и поднимают они его только вручную.
- ipsec между cisco и windows, meps, 19:12 , 10-Янв-07 (2)
>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>
>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>is not an initialization offer
>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным?
Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco работает на ура....
- ipsec между cisco и windows, Изгой, 09:09 , 11-Янв-07 (3)
>>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>>
>>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>>is not an initialization offer
>>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>>
>>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>>трафик - результата никакого. Может кто сталкивался с чем-то подобным?
>
>
>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>работает на ура....
Конфиг по Ipsec с вашей стороны можно посмотреть ?
- ipsec между cisco и windows, Vasili, 10:07 , 11-Янв-07 (4)
>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>>работает на ура....
>
>
>Конфиг по Ipsec с вашей стороны можно посмотреть ? Конечно: crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key KEY_FOR_REM_PEER address REM_PEER
crypto isakmp invalid-spi-recovery
!
crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac
!
crypto map ipsec-cryptomap 61 ipsec-isakmp
set peer REM_PEER
set transform-set to-telecom
match address 123 #sh cry ipse security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds
- ipsec между cisco и windows, Изгой, 13:40 , 11-Янв-07 (5)
>>>Я пробовал виндовоз с кошкой связать - не вышло. Зато схема FreeBSD-Cisco
>>>работает на ура....
>>
>>
>>Конфиг по Ipsec с вашей стороны можно посмотреть ?
>
>Конечно:
>
>crypto isakmp policy 20
> encr 3des
> hash md5
> authentication pre-share
> group 2
> lifetime 3600 - вот тут я непомню можно ли убрать вообще время пересогласования первой фазы IKE , давно я уже незанимался надо доку смотреть.
В общем идея такова чтоб после того как стороны договарилсь - больше не догавоариваться
Попробуйте может всё получиться.
>!
>crypto isakmp key KEY_FOR_REM_PEER address REM_PEER
>crypto isakmp invalid-spi-recovery
>!
>crypto ipsec transform-set to-telecom esp-3des esp-md5-hmac
>!
>crypto map ipsec-cryptomap 61 ipsec-isakmp
> set peer REM_PEER
> set transform-set to-telecom
> match address 123
>
>#sh cry ipse security-association lifetime
>Security association lifetime: 4608000 kilobytes/3600 seconds
- ipsec между cisco и windows, Vasili, 18:17 , 11-Янв-07 (8)
>В общем идея такова чтоб после того как стороны договарилсь -
>больше не догавоариваться
>Попробуйте может всё получиться. Хорошая идея - попробую глянуть, но помойму на сиске, если не укзаываешь lifetime, то берется дефолтовый, а это, если мне не изменяет память 86400 секунд (==1 сутки).
- ipsec между cisco и windows, Pavel, 16:26 , 11-Янв-07 (6)
Я бы использовал Cisco VPN client. Все бы работало стабильно!
- ipsec между cisco и windows, Vasili, 17:56 , 11-Янв-07 (7)
>Я бы использовал Cisco VPN client. Все бы работало стабильно! Что использовать выбираю не я
- ipsec между cisco и windows, Изгой, 09:59 , 12-Янв-07 (9)
>>Я бы использовал Cisco VPN client. Все бы работало стабильно!
>
>Что использовать выбираю не я
Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить до безобразия ???
В общем скажете что получиться из этого , интерестно даже , с какой часто той будет падать канал.
- ipsec между cisco и windows, Дмитрий, 14:14 , 25-Май-07 (10)
>>>Я бы использовал Cisco VPN client. Все бы работало стабильно!
>>
>>Что использовать выбираю не я
>
>
>Вот я тоже думаю что выбираеться деволт , но кто мешает увеличить
>до безобразия ???
>В общем скажете что получиться из этого , интерестно даже , с
>какой часто той будет падать канал.
Чем все закончилось у меня такая-же ошибка с Pix515 в CO и Cisco 18xx series в регионах.
постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не помогает...
А вот отвязка crypto Map от интерфейса мин на 5 и привязка заново помогла. В чем модет быть дело, как решить проблему?
- ipsec между cisco и windows, Vasili, 16:41 , 26-Май-07 (11)
>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>Cisco 18xx series в регионах.
>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>помогает...
>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>заново помогла. В чем модет быть дело, как решить проблему? 1. Согласовать lifetime'ы с обеих сторон (второй фазы)
2. Если не помогло: поменять софт.
- ipsec между cisco и windows, Дмитрий, 13:01 , 01-Июн-07 (12)
>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>>Cisco 18xx series в регионах.
>>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>>помогает...
>>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>>заново помогла. В чем модет быть дело, как решить проблему?
>
>1. Согласовать lifetime'ы с обеих сторон (второй фазы)
>2. Если не помогло: поменять софт.
Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco 18XX (3600)
Я заменил lifetime на cisco 18XX
crypto ipsec security-association lifetime seconds 28000
затем clear crypro SA
все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr и связи нет.
Пока железно помогает перезагрузка Pix515 но это недело. Какой и на чем нужно софт менять?
- ipsec между cisco и windows, meps, 00:54 , 02-Июн-07 (13)
Та же хрень..... и уменя
в конце дня приходится бутать PIX>>>Чем все закончилось у меня такая-же ошибка с Pix515 в CO и
>>>Cisco 18xx series в регионах.
>>>постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не
>>>помогает...
>>>А вот отвязка crypto Map от интерфейса мин на 5 и привязка
>>>заново помогла. В чем модет быть дело, как решить проблему?
>>
>>1. Согласовать lifetime'ы с обеих сторон (второй фазы)
>>2. Если не помогло: поменять софт.
>
>
>Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco
>18XX (3600)
>Я заменил lifetime на cisco 18XX
>crypto ipsec security-association lifetime seconds 28000
>затем clear crypro SA
>все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi
>for destaddr и связи нет.
>
>Пока железно помогает перезагрузка Pix515 но это недело.
>
>Какой и на чем нужно софт менять?
- ipsec между cisco и windows, Дмитрий, 15:35 , 06-Июн-07 (14)
>Та же хрень..... и уменя
>в конце дня приходится бутать PixНу это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.
А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?
Я работаю с CISCO не так давно и поэтому прошу помощи.
Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам.
Должно же быть решение. >>Пока железно помогает перезагрузка Pix515 но это недело.
>>
>>Какой и на чем нужно софт менять?
- ipsec между cisco и windows, Дмитрий, 15:36 , 06-Июн-07 (15)
>Та же хрень..... и уменя
>в конце дня приходится бутать PixНу это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.
А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?
Я работаю с CISCO не так давно и поэтому прошу помощи.
Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам.
Должно же быть решение.
Кстати очень важный вопрос icq 12703147
>>Пока железно помогает перезагрузка Pix515 но это недело.
>>
>>Какой и на чем нужно софт менять?
- ipsec между cisco и windows, Mikhail, 19:17 , 10-Окт-07 (16)
>Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства
>для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:
>
>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and
>is not an initialization offer
>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for
>destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer
>
>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный
>трафик - результата никакого. Может кто сталкивался с чем-то подобным? crypto isakmp keepalive
- ipsec между cisco и windows, jimmy, 19:34 , 11-Сен-08 (17)
- ipsec между cisco и windows, izh_dima, 08:43 , 01-Ноя-08 (18)
- ipsec между cisco и windows, gintonic, 14:30 , 20-Ноя-09 (19)
>[оверквотинг удален]
>>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
>>
>>..сам вот сижу разбираю похожий случай
>
>таже беда, но после clear crypto sa, все стало подниматься.
>софт везте 12.4 стоит
>cisco 2811 CA server + dmvpn + cisco 1841
>
>как только очистил, так стало подниматься само по себе, еще попробую лайфтамом
>поиграться. таже проблема с Cisco-Microsoft.....повторно тунель поднимается только после clear crypto sa
что можно сделать?
- ipsec между cisco и windows, Sergey, 20:27 , 23-Июл-11 (20)
Мне помогло: no set security-association lifetime seconds 3600 в crypto ipsec profile Profile1.
|
Версия для распечатки
ipsec между cisco и windows, 
