cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
1091
Visitas
40
ÚTIL
9
Respuestas

Intermitencia SA VPN Site to Site

Makavelo07
Level 1
Level 1

Buenas Noches / días.

 

El motivo de mi tema, es leer opiniones de lo que pienso y obtener sugerencias.

 

Actualmente tengo configurada una VPN Site to Site con un cliente, de los 7 Crypto_map que se tienen configurados  unicamente uno  i cliente reporta intermitencia.

 

Existen dos permisos configurados por ftp; sin embargo uno de esos dos permisos  mi cliente reporta "Intermitencias", el pasado Viernes realizamos Pruebas en conjunto  y lo que detecte fue lo siguiente:

 

Del SA que si funciona, mi cliente tira la peticion por ftp y responde inmediatamente (lo observe por una captura)

Del SA que reportan fallas , primeramente tiro la prueba de ftp y marca timeout desde su cmd por lo cual es necesario (despues del timeout), tirar un ping y con ello ya permite la prueba por puerto 21 ; pero no es inmediato

Mi pensamiento me lleva a deducir que el SA reportado no permaneces estable ( aun con la vpn arriba), por lo cual deberia revisar los dominios de encripcion con el otro lado.

 

alguna sugerencia? 

gracias por el apoyo.

9 RESPUESTAS 9

Hola

Has revisado que la fase 1 y 2 sean idénticas en ambos extremos y talvez revisar los tiempos (lifetime). 

 

Saludos 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hoy tuvimos una sesión y lo revise, todo coincide y se volvió a presentar el mismo comportamiento. Gracias por tu respuesta

Diana Karolina Rojas
Cisco Employee
Cisco Employee

Buenas tardes estimado, 

 

¿Esta VPN la tienes en qué dispositivo? ¿un ASA? ¿has intentado monitorear el primer intento de la sesión FTP y ver que Logs te arroja el ASDM (asumiendo que es un ASA)? Si es posible para ti hacer esto sería muy bueno para que nos muestres los errores y poder analizarlos.

----No olvides calificar las respuestas útiles.----

 

Saludos cordiales,

Agradezco totalmente las respuestas, les comento que revise con el usuario el dominio de encricpion y se encuentra puntual en ambos lados, sin embargo se realizaron capturas en ambos lados y lo que notamos fue que del lado del cliente, de pronto en una captura no se ven los paquetes por puerto 21 desde su server hacia su ASA.

 entonces quedo de revisar su comunicación, ruteo y demás.

 

Saludos.

Muchas gracias por la información, dejanos por favor conocer los resultados despues de la revision del cliente.

saludos 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

David Castro F.
Spotlight
Spotlight

Hola Makavelo07,

 

Usualmente es recomendado que configures la ACL del crypto map por IP, y si que en un VPN filter crees el filtro para solo permitir FTP, te recomiendo configurar bajo el "group policy": vpn-idle-timeout none, para que no haya timeout relacionado a inactividad en el túnel, de igual manera que revises sí el NAT en el ASA esté haciendo proxy-arp y lo deshabilites, muchas veces el proxy-arp causa problemas como este con subredes que no están conectadas directamente, si nos compartes la configuración sería de gran utilidad.

 

Por favor califica todas las respuestas que han sido útiles.

 

Saludos,

 

David Castro,

Tenia entendido que este comando: vpn-idle-timeout none no funcionaba del todo , es correcto? ya que de si no pasaba trafico en el tunnel aun asi se vendria a Down.

Señores de ante mano muchas gracias por su respuestas, todas de utilidad .

 

El  problema se solvento; siendo una falla en sus equipos servers los que ocasionaban la intermitencia en este flujo de la VPN.

 

Muchas Gracias.

Hola Makavelo07,

 

Claro sí funciona, y su función es que aunque no haya tráfico activamente en el túnel, este no se va a venir abajo por inactividad.

 

Saludos,

 

Por favor califica todas las respuestas que son de ayuda,

 

David Castro,  

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: