仮想プライベートネットワーク (VPN) について

CiscoJapanModerator · ‎2012-02-24

シスコの技術サポートエンジニアへ質問して疑問を解決できる「エキスパートに質問」へようこそ！

ここでは、シスコのエキスパートからのアドバイスや最新の情報が得られる場として気軽に質問してみてください。

担当エキスパート：「荒井教男（アライミチオ）」

ディスカッション開催期間：2012年2月27日～2012年3月11日

Cisco Japan TAC のカスタマーサポートエンジニアとして約4年に渡って
セキュリティ製品をサポートしており、現在は主に FW、VPN、AAAなどを担当しています。
また、CCIEは Routing & Switching の資格を取得しています。

[質問の回答方法]

サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。

もし１つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。
この「エキスパートに質問」のディスカッションスレッドに届いた質問は担当のTACエキスパートが回答しますがすべての質問に返信できないかもしれません。
返信が得られずに開催期間が終了して残ってしまった質問については、サポートコミュニティ事務局が今回の技術カテゴリの通常のディスカッションフォーラムへ再掲載し、有用な情報の展開へとつなげていきます。

エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。

あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問がどう発展したかをのぞきに、ぜひこのフォーラムへ再度訪問されることをお待ちしております！

juha196707 · ‎2012-02-28

AnyConnectVPNは、マイクロソフト社が、2012 年 1 月にリリースしたSSL/TLS の脆弱性 (CVE-2011-3389) を

解決するセキュリティ更新プログラム MS12-006の影響を受けるでしょうか？

miarai · ‎2012-02-29

こんにちは。

今のところ、AnyconnectVPN が MS12-006 に影響を受けて問題が発生するという報告は

聞いたことがありませんが、事例が挙がっていないだけの可能性があります。

もし MS12-006 が原因で何か問題が発生しているような状況や事実をご確認いただいている

場合には、TAC にお問い合わせいただけますでしょうか。

宜しくお願いします。

荒井

juha196707 · ‎2012-02-29

回答ありがとうございます。

具体的に問題が発生しているわけではありません。

必要な場合はTAC殿へ問い合わせさせていただきます。

以上です。

MASAYUKI KATO · ‎2012-03-09

こんにちは。加藤と申します。

IPsec VPN(L2L接続)関連で質問させていただきたく存じます。

ここでの質問内容としてふさわしくないようでしたらお知らせください。

ASA5505を用いたIPsecトンネル経由FTPでかなり大きなファイル(Gigaバイト単位)をやりとりしている事例があります。

その環境で短時間で IPsec SA が何度も切断・確立を繰り返すという現象が発生しております。

簡易的な検証環境を構築したところ現象が再現いたしました。

検証環境は下記の通りです。

（B) (A)

[PC] -- [ASA5505] ---------- (Cisco Router) ---------- [ASA5505] -- [Server]

B.B.B.B YY.YY.YY.YY XX.XX.XX.XX A.A.A.A

IPsec SA Lifetime に関する設定は下記の通りです。(両ASAとも同じ)

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

ASA5505 (B) のログ(抜粋)は下記の通りです。(IPアドレスなどはマスクしてあります)

設定した Lifetime には到達していないと思われますが、Rekey および IPsec SA 確立しなおしが頻発しております。

本原因を調査する方法としてどのようなことが考えられるかアドバイスいただけますでしょうか。

よろしくお願いいたします。

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ASA5500 (B) ログ

■Phase1,2確立

Feb 16 2012 12:49:45: %ASA-5-713041: IP = XX.XX.XX.XX, IKE Initiator: New Phase 1, Intf inside, IKE Peer XX.XX.XX.XX local Proxy Address B.B.B.0, remote Proxy Address A.A.A.0, Crypto map (outside_map)

Feb 16 2012 12:49:45: %ASA-6-302015: Built outbound UDP connection 21 for outside:XX.XX.XX.XX/500 (XX.XX.XX.XX/500) to identity:YY.YY.YY.YY/500 (YY.YY.YY.YY/500)

Feb 16 2012 12:49:45: %ASA-6-713172: IP = XX.XX.XX.XX, Automatic NAT Detection Status: Remote end is NOT behind a NAT device This end is NOT behind a NAT device

Feb 16 2012 12:49:45: %ASA-6-717022: Certificate was successfully validated. serial number: 3348, subject name: cn=HOSTNAME,ou=GROUP,o=COMPANY,c=JP.

Feb 16 2012 12:49:45: %ASA-6-717028: Certificate chain was successfully validated with warning, revocation status was not checked.

Feb 16 2012 12:49:45: %ASA-6-113009: AAA retrieved default group policy (Backup3-GP) for user = Backup3-TG

Feb 16 2012 12:49:45: %ASA-5-713119: Group = Backup3-TG, IP = XX.XX.XX.XX, PHASE 1 COMPLETED

Feb 16 2012 12:49:45: %ASA-5-713049: Group = Backup3-TG, IP = XX.XX.XX.XX, Security negotiation complete for LAN-to-LAN Group (Backup3-TG) Initiator, Inbound SPI = 0x5031be08, Outbound SPI = 0xd82f4902

Feb 16 2012 12:49:45: %ASA-6-602303: IPSEC: An outbound LAN-to-LAN SA (SPI= 0xD82F4902) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been created.

Feb 16 2012 12:49:45: %ASA-6-602303: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x5031BE08) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been created.

Feb 16 2012 12:49:45: %ASA-5-713120: Group = Backup3-TG, IP = XX.XX.XX.XX, PHASE 2 COMPLETED (msgid=dcf402e2)

■FTP通信開始

Feb 16 2012 12:49:48: %ASA-6-302013: Built outbound TCP connection 22 for outside:A.A.A.A/21 (A.A.A.A/21) to inside:B.B.B.B/49208 (B.B.B.B/49208)

Feb 16 2012 12:49:54: %ASA-6-302013: Built outbound TCP connection 26 for outside:A.A.A.A/1120 (A.A.A.A/1120) to inside:B.B.B.B/49210 (B.B.B.B/49210)

Feb 16 2012 12:49:54: %ASA-6-303002: FTP connection from inside:B.B.B.B/49208 to outside:A.A.A.A/21, user anonymous Stored file /test

(1)

Feb 16 2012 12:50:11: %ASA-5-713041: Group = Backup3-TG, IP = XX.XX.XX.XX, IKE Initiator: Rekeying Phase 2, Intf inside, IKE Peer XX.XX.XX.XX local Proxy Address B.B.B.0, remote Proxy Address A.A.A.0, Crypto map (outside_map)

Feb 16 2012 12:50:11: %ASA-6-602303: IPSEC: An outbound LAN-to-LAN SA (SPI= 0xB4C0056F) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been created.

Feb 16 2012 12:50:11: %ASA-5-713049: Group = Backup3-TG, IP = XX.XX.XX.XX, Security negotiation complete for LAN-to-LAN Group (Backup3-TG) Initiator, Inbound SPI = 0x9f22c212, Outbound SPI = 0xb4c0056f

Feb 16 2012 12:50:11: %ASA-6-602303: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x9F22C212) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been created.

Feb 16 2012 12:50:11: %ASA-5-713120: Group = Backup3-TG, IP = XX.XX.XX.XX, PHASE 2 COMPLETED (msgid=de652108)

Feb 16 2012 12:50:12: %ASA-3-713194: Group = Backup3-TG, IP = XX.XX.XX.XX, Sending IPSec Delete With Reason message: No Reason Provided.

Feb 16 2012 12:50:12: %ASA-6-602304: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x5031BE08) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been deleted.

Feb 16 2012 12:50:12: %ASA-6-602304: IPSEC: An outbound LAN-to-LAN SA (SPI= 0xD82F4902) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been deleted.

(2)

Feb 16 2012 12:50:28: %ASA-5-713041: Group = Backup3-TG, IP = XX.XX.XX.XX, IKE Initiator: Rekeying Phase 2, Intf inside, IKE Peer XX.XX.XX.XX local Proxy Address B.B.B.0, remote Proxy Address A.A.A.0, Crypto map (outside_map)

Feb 16 2012 12:50:28: %ASA-6-602303: IPSEC: An outbound LAN-to-LAN SA (SPI= 0x71446D12) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been created.

Feb 16 2012 12:50:28: %ASA-5-713049: Group = Backup3-TG, IP = XX.XX.XX.XX, Security negotiation complete for LAN-to-LAN Group (Backup3-TG) Initiator, Inbound SPI = 0x9744903b, Outbound SPI = 0x71446d12

Feb 16 2012 12:50:28: %ASA-6-602303: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x9744903B) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been created.

Feb 16 2012 12:50:28: %ASA-5-713120: Group = Backup3-TG, IP = XX.XX.XX.XX, PHASE 2 COMPLETED (msgid=90d48b36)

Feb 16 2012 12:50:28: %ASA-3-713194: Group = Backup3-TG, IP = XX.XX.XX.XX, Sending IPSec Delete With Reason message: No Reason Provided.

Feb 16 2012 12:50:28: %ASA-6-602304: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x9F22C212) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been deleted.

Feb 16 2012 12:50:28: %ASA-6-602304: IPSEC: An outbound LAN-to-LAN SA (SPI= 0xB4C0056F) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been deleted.

(3)

Feb 16 2012 12:50:45: %ASA-5-713041: Group = Backup3-TG, IP = XX.XX.XX.XX, IKE Initiator: Rekeying Phase 2, Intf inside, IKE Peer XX.XX.XX.XX local Proxy Address B.B.B.0, remote Proxy Address A.A.A.0, Crypto map (outside_map)

Feb 16 2012 12:50:45: %ASA-6-602303: IPSEC: An outbound LAN-to-LAN SA (SPI= 0xDB88BB63) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been created.

Feb 16 2012 12:50:45: %ASA-5-713049: Group = Backup3-TG, IP = XX.XX.XX.XX, Security negotiation complete for LAN-to-LAN Group (Backup3-TG) Initiator, Inbound SPI = 0x77c0821b, Outbound SPI = 0xdb88bb63

Feb 16 2012 12:50:45: %ASA-6-602303: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x77C0821B) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been created.

Feb 16 2012 12:50:45: %ASA-5-713120: Group = Backup3-TG, IP = XX.XX.XX.XX, PHASE 2 COMPLETED (msgid=90ec0cba)

Feb 16 2012 12:50:45: %ASA-3-713194: Group = Backup3-TG, IP = XX.XX.XX.XX, Sending IPSec Delete With Reason message: No Reason Provided.

Feb 16 2012 12:50:45: %ASA-6-602304: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x9744903B) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been deleted.

Feb 16 2012 12:50:45: %ASA-6-602304: IPSEC: An outbound LAN-to-LAN SA (SPI= 0x71446D12) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been deleted.

(4)

Feb 16 2012 12:51:02: %ASA-5-713041: Group = Backup3-TG, IP = XX.XX.XX.XX, IKE Initiator: Rekeying Phase 2, Intf inside, IKE Peer XX.XX.XX.XX local Proxy Address B.B.B.0, remote Proxy Address A.A.A.0, Crypto map (outside_map)

Feb 16 2012 12:51:02: %ASA-6-602303: IPSEC: An outbound LAN-to-LAN SA (SPI= 0xC756BE62) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been created.

Feb 16 2012 12:51:02: %ASA-5-713049: Group = Backup3-TG, IP = XX.XX.XX.XX, Security negotiation complete for LAN-to-LAN Group (Backup3-TG) Initiator, Inbound SPI = 0x165b272b, Outbound SPI = 0xc756be62

Feb 16 2012 12:51:02: %ASA-6-602303: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x165B272B) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been created.

Feb 16 2012 12:51:02: %ASA-5-713120: Group = Backup3-TG, IP = XX.XX.XX.XX, PHASE 2 COMPLETED (msgid=dc1cff2d)

Feb 16 2012 12:51:02: %ASA-3-713194: Group = Backup3-TG, IP = XX.XX.XX.XX, Sending IPSec Delete With Reason message: No Reason Provided.

Feb 16 2012 12:51:02: %ASA-6-602304: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x77C0821B) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been deleted.

Feb 16 2012 12:51:02: %ASA-6-602304: IPSEC: An outbound LAN-to-LAN SA (SPI= 0xDB88BB63) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been deleted.

以下FTP通信終了まで (1)～(4) と同様のログ発生

■FTP通信終了

Feb 16 2012 13:37:30: %ASA-6-302014: Teardown TCP connection 26 for outside:A.A.A.A/1120 to inside:B.B.B.B/49210 duration 0:47:36 bytes 4230196224 TCP FINs

Feb 16 2012 13:57:31: %ASA-6-302014: Teardown TCP connection 22 for outside:A.A.A.A/21 to inside:B.B.B.B/49208 duration 1:07:43 bytes 701 FIN Timeout

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

miarai · ‎2012-03-09

加藤さん

こんにちは、ログを見ると

Feb 16 2012 12:50:11: %ASA-6-602303: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x9F22C212) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been created

<省略>

Feb 16 2012 12:50:28: %ASA-6-602304: IPSEC: An inbound LAN-to-LAN SA (SPI= 0x9F22C212) between YY.YY.YY.YY and XX.XX.XX.XX (user= Backup3-TG) has been deleted.

となっていて、20秒前後で SA が削除(Re-Key)されているので、何か変に感じますね。。。

次のアクションですが、SA が削除される流れを見るといいと思いますので、

show crypto ipsec sa det

と、

debug crypto isakmp 127

debug crypto ipsec 127

を取得いただいて、どのような流れで SA の削除に向かっているのかをご確認いただくと

よいと思います。ご検討ください。

荒井

MASAYUKI KATO · ‎2012-03-09

荒井さん

加藤です。やはり debug log みないと、ですね。

都合により今すぐには再検証できないため、折をみてアドバイスいただいた方法で確認したいと思います。

ご回答ありがとうございました。

miarai · ‎2012-03-09

加藤さん

お伝えした debug は、パケットごとに出力するような内容ではありませんので、

conditional debug で対象の peer を絞り込んで頂ければそこまで負荷はかからないかな？

という感じです

debug を見て頂ければ、どのような要因で rekey にいたっているのかが確認できると

思いますので、それでおかしいようであれば、TAC にお問い合わせいただければと

思います。

それでは宜しくお願いします。また何かありましたらご連絡ください。

荒井

仮想プライベート ネットワーク (VPN) について

仮想プライベートネットワーク (VPN) について