Сбой VPN от ASA5505-Checkpoint через час

Question

Сбой VPN от ASA5505-Checkpoint через час

У меня настроена и работает VPN-сеть IPsec, однако у меня возникают проблемы, если соединение установлено более часа. Через час ASDM все еще думает, что VPN-соединение подключено, и длительность соединения продолжает увеличиваться, однако, как только пользовательский интерфейс пытается отправить данные по нему, туннель разрушается и воссоздается вместе с первым пакетом, отправленным с нашего брандмауэра на клиентскую машину на наша сеть. Я включил регистрацию, и следующие две строки выглядят наиболее интересными:

Session Disconnected. ... Reason: crypto map policy not found
...
Connection terminated for peer 213.123.59.222.  Reason: Peer Terminate  Remote Proxy 78.129.136.64, Local Proxy 171.28.18.50

213.123.59.222 - это их внешний ip для поля контрольной точки, 78.129.136.64 - это машина в нашей локальной сети, отправляющая данные, а 171.28.18.50 - это машина в их сети, на которую я пытаюсь отправить данные.

Мой тайм-аут конфигурации выглядит следующим образом:

timeout conn 0:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
group-policy DfltGrpPolicy attributes
 vpn-idle-timeout 180
 vpn-tunnel-protocol IPSec svc

Я хотел бы понять, если проблема заключается в конфигурации на нашем (ASA5505) или брандмауэрах клиентов (Checkpoint). Могу ли я проверить что-то еще, прежде чем связаться с ними?

Обновление: когда я делаю show configuration мои списки доступа и криптокарты выглядят следующим образом (извините, если пропущены строки и смешные имена, такие как "bob", я немного не в себе и нашел немного пробную и ошибочную настройку VPN!):

access-list basic extended permit tcp any any eq 3389 
access-list basic extended permit tcp any any eq ssh 
access-list basic extended permit tcp any any eq www 
access-list basic extended permit tcp any any eq https 
access-list basic remark MySQL
access-list basic extended permit tcp any any eq 3306 
access-list allow extended permit ip any any 
access-list NoNAT extended permit ip 78.129.136.64 255.255.255.240 10.199.2.0 255.255.255.0 
access-list SiteAtoSiteB extended permit ip 78.129.136.64 255.255.255.240 10.199.2.0     255.255.255.0 
access-list SiteAtoSiteB extended permit tcp 78.129.136.64 255.255.255.240 host 171.28.18.50 eq telnet 
access-list bob standard permit host 171.28.18.50 
...
crypto map SiteToSiteVPN 10 match address SiteAtoSiteB
crypto map SiteToSiteVPN 10 set pfs 
crypto map SiteToSiteVPN 10 set peer 213.123.59.222 
crypto map SiteToSiteVPN 10 set transform-set SiteAToSiteBtransform
crypto map SiteToSiteVPN 10 set security-association lifetime seconds 28800
crypto map SiteToSiteVPN 10 set security-association lifetime kilobytes 4608000
crypto map SiteToSiteVPN interface Outside

Извините, я думаю, что неправильно понял комментарий Шейна, возможно, эта информация была в сообщении об ошибке. Операторы регистрации, генерируемые при отправке первого фрагмента данных после hr:

Teardown local-host Outside:171.28.18.50 duration 1:59:35
Teardown TCP connection 27792859 for Outside:171.28.18.50/23 to Inside:78.129.136.66/48572 duration 1:59:35 bytes 86765 Tunnel has been torn down
Ignoring msg to mark SA with dsID 72404992 dead because SA deleted
Group = 213.123.59.222, Username = 213.123.59.222, IP = 213.123.59.222, Session disconnected. Session Type: IPsec, Duration: 1h:59m:53s, Bytes xmt: 45646, Bytes rcv: 53194, Reason: crypto map policy not found
Pitcher: received key delete msg, spi 0xf025f6b
Pitcher: received key delete msg, spi 0x7447991f
Pitcher: received key delete msg, spi 0x7447991f
IP = 213.123.59.222, IKE_DECODE SENDING Message (msgid=27f78398) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 80
Group = 213.123.59.222, IP = 213.123.59.222, constructing qm hash payload
Group = 213.123.59.222, IP = 213.123.59.222, constructing IKE delete payload
Group = 213.123.59.222, IP = 213.123.59.222, constructing blank hash payload
IPSEC: An outbound LAN-to-LAN SA (SPI= 0x0F025F6B) between 87.117.211.90 and 213.123.59.222 (user= 213.123.59.222) has been deleted.
IPSEC: An inbound LAN-to-LAN SA (SPI= 0x7447991F) between 87.117.211.90 and 213.123.59.222 (user= 213.123.59.222) has been deleted.
Group = 213.123.59.222, IP = 213.123.59.222, sending delete/delete with reason message
Group = 213.123.59.222, IP = 213.123.59.222, IKE SA MM:a6daae8d terminating:  flags 0x01000002, refcnt 0, tuncnt 0
Group = 213.123.59.222, IP = 213.123.59.222, IKE SA MM:a6daae8d rcv'd Terminate: state MM_ACTIVE  flags 0x00000042, refcnt 1, tuncnt 0
Group = 213.123.59.222, IP = 213.123.59.222, IKE Deleting SA: Remote Proxy 171.28.18.50, Local Proxy 78.129.136.64
Group = 213.123.59.222, IP = 213.123.59.222, Active unit receives a delete event for remote peer 213.123.59.222.
Group = 213.123.59.222, IP = 213.123.59.222, Connection terminated for peer 213.123.59.222.  Reason: Peer Terminate  Remote Proxy 78.129.136.64, Local Proxy 171.28.18.50
Group = 213.123.59.222, IP = 213.123.59.222, processing delete
Group = 213.123.59.222, IP = 213.123.59.222, processing hash payload
IP = 213.123.59.222, IKE_DECODE RECEIVED Message (msgid=b3da5da4) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 68
Built inbound UDP connection 27794863 for Outside:213.123.59.222/500 (213.123.59.222/500) to identity:87.117.211.90/500 (87.117.211.90/500)
Built local-host Outside:213.123.59.222

0

vpn cisco-asa site-to-site-vpn checkpoint

Источник

James 13 июл '11 в 17:57

1 ответ

Решение

Другие вопросы по тегам vpn cisco-asa site-to-site-vpn checkpoint

Yon 14 июл '11 в 06:10 2011-07-14 06:10 · Accepted Answer · 2011-07-14 06:10

Это общая проблема с Cisco + CP VPN. Пожалуйста, проверьте настройки SA Life Expiry для обеих сторон, я думаю, что это 28800 секунд с Check Point и 86400 с Cisco (или наоборот)

2

Источник

Yon 14 июл '11 в 06:10