Re: Cisco Firepower 1010 Threat Defense problema con la VPN site to si

oelagy · ‎04-05-2023

Hola,

tengo un problema con el equipo Cisco Firepower 1010 Threat Defense, cuando intento levantar la VPN par ala site to site se levanta y al cabo de 30 minutos se desconecta, por otro lado tambien cuando tengo la VPN levantada no veo comunicacion entre los dos redes, tengo el firewall deshabilitado del todo.

Por favor necesito alguna ayuda llevo una semana con este problema.Por si hay alguiein que le ha pasado lo mismo.

Flavio Miranda · ‎04-05-2023

Hi

Share the config here and will be easier to help.

This can be many thing.

Most probably some configuration mismatch like the networks for example.

The bahavior you describe sounds like some time out is taking action after 30 minutos probably after falling negotiating some parameters.

oelagy · ‎04-05-2023

Hola,

interface Ethernet1/1
nameif outside
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address dhcp setroute
!
interface Ethernet1/2
nameif inside_2
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 192.100.9.1 255.255.255.0
!
interface Ethernet1/3
bridge-group 1
nameif inside_3
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface Ethernet1/4
shutdown
bridge-group 1
nameif inside_4
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!

Interface IP-Address OK? Method Status Protocol
Internal-Data0/0 unassigned YES unset up up
Ethernet1/1 46.35.117.160 YES DHCP up up
Ethernet1/2 192.100.9.1 YES manual up up ---------- interface para mi inside
Ethernet1/3 192.100.10.1 YES unset down down
Ethernet1/4 192.100.10.1 YES unset admin down down
Ethernet1/5 192.100.10.1 YES unset admin down down
Ethernet1/6 192.100.10.1 YES unset admin down down
Ethernet1/7 192.100.10.1 YES unset admin down down
Ethernet1/8 192.100.10.1 YES unset admin down down
Internal-Control1/1 unassigned YES unset up up
Internal-Data1/1 169.254.1.1 YES unset up up
Internal-Data1/2 unassigned YES unset up up
Management1/1 unassigned YES unset up up
BVI1 192.100.10.1 YES manual up up

Configuracion VPN

object network local_net
subnet 192.100.9.0 255.255.255.0

object network remote_net
subnet 172.31.1.16 255.255.255.240

Connection Name: s2sTelrad

VPN Access Interface IP: outside (—)
Network: local_net(192.100.9.0/24)

Peer IP Address: 54.216.98.187
Peer Network: remote_net_telrad(172.31.1.16/28)

IKE Version 2
IKE Policy: aes-256-sha256-sha256-14
IPSec Proposal: aes-256-sha-256
Authentication Type: Pre-shared Manual Key

IKE Version 1: Disabled

OTHER
NAT Exempt: —

Diffie-Hellman Group: GROUP14

Acces Control tengo configurado de esta manera:

NAT anteriormente lo tenia por nar por eso estan las reglas ahi

gracias un saludo.

Flavio Miranda · ‎04-05-2023

Can you run this command on both sides ?

show crypto ikev2 sa detail

oelagy · ‎04-05-2023

Hola,

ahora esta la vpn caida, abria que esperar el otro extremo para levantarla,

> show crypto ikev2 sa detail

There are no IKEv2 SAs

esta mañana por ejemplo cuando estaba levantada,

Gracias un saludo.

Flavio Miranda · ‎04-05-2023

Not the output I'd like to see.

I'd like to share this guide with you. You may go over step by step and confirm if you did all the steps.

https://www.petenetlive.com/kb/article/0001681

This video can also be usefull

https://www.youtube.com/watch?v=FS2QiueP4uA

oelagy · ‎04-05-2023

Hola,

seguiendo el manual he montado dos Firepower 1010 Threat Defense del mismo modelo, con la misma configuracion en cada equipo. ha fucnionado correctamente.

por otro lado tengo que comprobarlo con otro Firewall de diferente vendedor con el que me esta fallando. te ire diciendo nuestro avance con otro equipo.

muchas gracias por la ayuda

Flavio Miranda · ‎04-05-2023

That's great @oelagy

VPN is fairly straightforward to build up. The only requirement is that both sides agree with all the parameters. Usually different vendor is a little bit more challenging but works.

Good luck.

oelagy · ‎04-13-2023

Hola,

Disculpa, la VPN a funcionado 24h se ha vuelto a caer y no levanta de ninguna manera. sabes de que puede ser el problema , hay alguna forma de levantar la VPN de forma manual. Gracias un saludo.

Julio E. Moisa · ‎04-13-2023

Prueba utilizando en el FTD: clear crypto ipsec sa peer (IP del equipo remoto con el que haces la VPN)

Con esto eliminas las asociaciones de seguridad, y lo que debes hacer es volver a generar trafico desde las redes que fluyen a traves del tunel.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Julio E. Moisa · ‎04-13-2023

Hola

Este comportamiento lo puedes ver porque a traves del tunel vpn no hay trafico interesante (cualquier dato), revisa los tiempos del IKE keepalive, te comparto un link que puede ser util:

https://www.cisco.com/c/en/us/td/docs/security/firepower/620/configuration/guide/fpmc-config-guide-v62/firepower_threat_defense_site_to_site_vpns.html

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Cisco Firepower 1010 Threat Defense problema con la VPN site to site