ho confiturato sul mio router delle remote vpn con più
profili ma il problema è comune a tutti... ogni 45 minuti a me 15 minuti ad altri remote client, lui richiede la finestra di login per reinserire la pwd di autenticazione oppure errori che menziono più avanti.
- verificata la parte di authorization e autentichation sembra tutto normal
- il lifetime della policy è una a 3600 e l'altra 7200
ed i pc sono sempre in attività...con i remote server per
- ad un pc a cui non ho inserito la pwd la richiede dopo qualche minuto non raggiunge più i server anche se mantiene la vpn su.
-altri errori che appaiono (sempre con la cadenza di circa 45 minuti)
Reason 401: AN unrecognized error occurred while
establishing the vpn connnection
Reason 412: The remote peer is no longer responding
qualcuno sa darmi indicazioni su qualche
indicazione in più
di controlli da fare ?
il client vpn prima avevo il
5.0.05 ora ho l'ultimo
scaricabile dal sito cisco.
alcune note:
l'ip pubblico del router su cui termina la vpn è nattato da un fw asa su tutte le porte .
inoltre sul router trovo questo log che non so se ricondurre questo log al problema descritto:
%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC
packet has invalid spi for destaddr=192.168.1.61, prot=50, spi=0x3DBC083C
(1035733052), srcaddr=
il source address è l'ip pubblico con cui il client
remoto si presenta ho visto sul error message decoder di cisco è descrive la
problematica come:
1. %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC
packet has invalid spi for destaddr=[IP_address], prot=[dec], spi=[hex]([dec])
A received IPSec packet specifies an SPI that does not exist in SADB. This may
be a temporary condition because of slight differences in the aging of SAs
between the IPSec peers or because the local SAs have been cleared. It may also
be caused by invalid packets sent by the IPSec peer. This activity could be
considered a hostile event.
Recommended Action: If the local SAs have been
cleared, the peer may not know. In this case, if a new connection is
established from the local router, the two peers may reestablish successfully.
If the problem occurs for more than a brief period, either attempt to establish
a new connection or contact the peer administrator.
Related documents- No
specific documents apply to this error message.
2. %CRYPTO-4-RECVD_PKT_INV_SPI:
decaps: rec'd IPSEC packet has invalid spi for destaddr=[IP_address], prot=
[dec], spi=[hex]([int]), srcaddr=[IP_address] An IPSec packet was received that
specified an SPI that does not exist in the SADB. This may be a temporary
condition because of slight differences in aging of SAs between the IPSec
peers, or this condition might be caused by local SAs that have been cleared.
This condition may also be caused by bogus packets that were sent by the IPSec
peer. Under some circumstances this would be considered a hostile event.
Recommended Action: If the local SAs have been cleared, the peer may not be
aware of this condition. In this case, if a new connection is established from
the local router, the two peers may reestablish successfully. Otherwise, if the
problem occurs for more than a brief period, either attempt to establish a new
connection or contact the peer administrator.
Related documents- No specific
documents apply to this error message.
ho effettuato delle modifiche
riducendo ad un unico trasformset per tutte le vpn visto che ho letto su un doc
che più trasformset con hash differenti.
o verificato con il nat traversal
ma
niente continuo a vedere nei log questo messaggio ed il client si disconnette.
poco fa anche un errore nuovo 433.
