CiscoForums.it

Cisco Users Group
https://ciscoforums.it/

Problema VPN L2L ASA-PIX

https://ciscoforums.it/viewtopic.php?f=16&t=9587

Pagina 1 di 1

Problema VPN L2L ASA-PIX

Inviato: mer 08 ott , 2008 9:24 am
da luca.prina
Buongiorno a tutti.
Ho un problema con una VPN che ho realizzato tra un ASA e un PIX501.
Se effettuo un ping dalla rete dell'ASA la vpn sale e funziona correttamente se effettuo la stessa operazione dalla rete del PIX la VPN non sale.
Ho fatto un po di debug sul PIX e ho notato quanto segue:

Codice: Seleziona tutto

IPSEC(spi_response): getting spi 0xc2dbf42c(3269194796) for SA
        from    **IP_ASA** to    **IP_PIX** for prot 3

return status is IKMP_NO_ERROR
ISAKMP (0): sending INITIAL_CONTACT notify
ISAKMP (0): sending NOTIFY message 24578 protocol 1
VPN Peer: ISAKMP: Added new peer: ip:**IP_ASA**/4500 Total VPN Peers:1
VPN Peer: ISAKMP: Peer ip:**IP_ASA**/4500 Ref cnt incremented to:1 Total VPN Peers:1
crypto_isakmp_process_block:src:**IP_ASA**, dest:**IP_PIX** spt:4500 dpt:4500
ISAKMP (0): processing NOTIFY payload 14 protocol 3
        spi 0, message ID = 1578636538
return status is IKMP_NO_ERR_NO_TRANS
crypto_isakmp_process_block:src:**IP_ASA**, dest:**IP_PIX** spt:4500 dpt:4500
ISAKMP (0): processing DELETE payload. message ID = 3548042239, spi size = 16
ISAKMP (0): deleting SA: src **IP_PIX**, dst **IP_ASA**
return status is IKMP_NO_ERR_NO_TRANS
ISADB: reaper checking SA 0xae2a8c, conn_id = 0  DELETE IT!

VPN Peer: ISAKMP: Peer ip:**IP_ASA**/4500 Ref cnt decremented to:0 Total VPN Peers:1
VPN Peer: ISAKMP: Deleted peer: ip:**IP_ASA**/4500 Total VPN peers:0IPSEC(key_engine): got a queue event...
Sinceramente non riescco prioprio a capire il perchè la VPN non viene stabilita... qualcuno ha qualche suggerimento ?? :oops:
Grazie, saluti a tutti
Luca

Inviato: mer 08 ott , 2008 3:47 pm
da Wizard
Lato ASA vedi qualcosa mentre provi il ping da dietro al PIX?

Inviato: mer 08 ott , 2008 4:24 pm
da luca.prina
Ciao Wizard, grazie!
sull' ASA ho il seguente log
Oct 08 15:21:33 [IKEv1]: Group = **IP_PIX**, IP = **IP_PIX**, QM FSM error (P2 struct &0xd521b318, mess id 0xed75b7d8)!
Oct 08 15:21:33 [IKEv1]: Group = **IP_PIX**, IP = **IP_PIX**, Removing peer from correlator table failed, no match!
posso fare qualche genere di verifica o controllo ?
Grazie ancora, saluti a tutti
Luca

Inviato: gio 09 ott , 2008 2:44 pm
da luca.prina
Ciao a tutti.
Ho alzato il livello di debug con un

Codice: Seleziona tutto

debug crypto isakmp 2
debug crypto ipsec 2
e ho trovato un errore

Codice: Seleziona tutto

All IPSec SA proposals found unacceptable!
cercando un po su google ho scoperto che potrebbe essere il Perfect Forwarding Secrecy ... infatti una volta allineata la config tra pix e asa ha iniziato tutto a funzionare ... questo per la community! :wink:

grazie cmq a tutti... ciao
Luca

Inviato: ven 10 ott , 2008 10:14 am
da Wizard
All IPSec SA proposals found unacceptable!
Si, è un problema della fase 2.
La config di questa fare non era identica sui 2 firewall!

Inviato: ven 10 ott , 2008 11:00 am
da luca.prina
si.. mi ero perso una riga di configurazione.... :oops:
Grazie Wizard per l'aiuto :wink:

Ciao
Luca
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it