Solucionado: Re: IPSec VPN borrando SA motivo "Muerte por retransmisión P1"

Translator · ‎09-12-2021

Me enfrento a algunos problemas con el túnel VPN IPsec. VPN creada entre el router Cisco ISR4331 y Cisco ASR1001-X.

Estoy recibiendo Ph-1 y me eliminan. error "MM_NO_STATE - ACTIVO (Eliminado)"

Cuando ejecuto la depuración en el enrutador ASR1001-X encontré el siguiente error y encontré adjuntos todos los registros de depuración

Mar 25 21:19:42: ISAKMP: (0):retransmitiendo la fase 1 MM_SA_SETUP...

Mar 25 21:19:42: ISAKMP: (0):p eer no hace keepalives paranoicos.

Mar 25 21:19:42: ISAKMP-ERROR: (0):d eleting SA reason "Death by retransmission P1" state (R) MM_SA_SETUP (peer 10.126.253.69)

Mar 25 21:19:42: ISAKMP: (0):D eleting the unauthenticated sa

Mar 25 21:19:42: ISAKMP: (0):Desbloqueando la estructura de pares 0x7FC1B38B8498 para isadb_mark_sa_deleted(), cuenta 0

Mar 25 21:19:42: ISAKMP: (0):D eliminar la estructura del par para sa no autenticado

Mar 25 21:19:42: ISAKMP: (0):D el eliminar nodo del mismo nivel por peer_reap para 10.126.253.69: 7FC1B38B8498

Mar 25 21:19:42: ISAKMP: (0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL

Mar 25 21:19:42: ISAKMP: (0):Estado Antiguo = IKE_R_MM2 Nuevo Estado = IKE_DEST_SA

Mar 25 21:19:49: ISAKMP: (0):retransmitiendo la fase 1 MM_NO_STATE...

Mar 25 21:19:49: ISAKMP: (0):: incrementando el contador de errores en sa, intento 1 de 5: retransmisión fase 1

Mar 25 21:19:49: ISAKMP: (0):retransmisión fase 1 MM_NO_STATE

Mar 25 21:19:49: ISAKMP-PAK: (0):enviar paquete a 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

Mar 25 21:19:49: ISAKMP: (0):Envío de un paquete IPv4 IKE.

Mar 25 21:19:51: ISAKMP-PAK: (0):paquete recibido de 10.126.253.69 dport 500 sport 500 ewan-vpn (R) MM_SA_SETUP

Mar 25 21:19:51: ISAKMP: (0):p hase 1 paquete es un duplicado de un paquete anterior.

Mar 25 21:19:51: ISAKMP: (0):retransmisión debido a la fase de retransmisión 1

Mar 25 21:19:52: ISAKMP: (0):retransmitiendo la fase 1 MM_SA_SETUP...

Mar 25 21:19:52: ISAKMP: (0):: incrementando el contador de errores en sa, intento 1 de 5: retransmisión fase 1

Mar 25 21:19:52: ISAKMP: (0):retransmisión fase 1 MM_SA_SETUP

Mar 25 21:19:52: ISAKMP-PAK: (0):enviar paquete a 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

Mar 25 21:19:52: ISAKMP: (0):Envío de un paquete IPv4 IKE.

Mar 25 21:19:59: ISAKMP: (0):retransmisión fase 1 MM_NO_STATE...

Mar 25 21:19:59: ISAKMP: (0):: incrementando el contador de errores en sa, intento 2 de 5: retransmisión fase 1

Mar 25 21:19:59: ISAKMP: (0):retransmisión fase 1 MM_NO_STATE

Mar 25 21:19:59: ISAKMP-PAK: (0):enviar paquete a 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

Mar 25 21:19:59: ISAKMP: (0):Envío de un paquete IPv4 IKE.

Mar 25 21:20:01: ISAKMP-PAK: (0):paquete recibido de 10.126.253.69 dport 500 sport 500 ewan-vpn (R) MM_SA_SETUP

Mar 25 21:20:01: ISAKMP: (0):p hase 1 paquete es un duplicado de un paquete anterior.

Mar 25 21:20:01: ISAKMP: (0):retransmisión debido a la fase de retransmisión 1

Mar 25 21:20:02: ISAKMP: (0):retransmisión fase 1 MM_SA_SETUP...

Mar 25 21:20:02: ISAKMP: (0):: incrementando el contador de errores en sa, intento 2 de 5: retransmisión fase 1

Mar 25 21:20:02: ISAKMP: (0):retransmisión fase 1 MM_SA_SETUP

Mar 25 21:20:02: ISAKMP-PAK: (0):enviar paquete a 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

Mar 25 21:20:02: ISAKMP: (0):Envío de un paquete IPv4 IKE.

Mar 25 21:20:09: ISAKMP: (0):establecer nuevo nodo 0 en QM_IDLE

Mar 25 21:20:09: ISAKMP-ERROR: (0):SA todavía está en ciernes. Se le adjuntó una nueva solicitud ipsec. (local 203.13.114.4, remoto 10.126.253.69)

Mar 25 21:20:09: ISAKMP-ERROR: (0):Error al procesar la solicitud SA: Error al inicializar SA

Mar 25 21:20:09: ISAKMP: (0):retransmitiendo la fase 1 MM_NO_STATE...

Mar 25 21:20:09: ISAKMP: (0):: incrementando el contador de errores en sa, intento 3 de 5: retransmisión fase 1

Mar 25 21:20:09: ISAKMP: (0):retransmisión fase 1 MM_NO_STATE

Mar 25 21:20:09: ISAKMP-PAK: (0):enviar paquete a 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

Mar 25 21:20:09: ISAKMP: (0):Envío de un paquete IPv4 IKE.

Mar 25 21:20:11: ISAKMP-PAK: (0):paquete recibido de 10.126.253.69 dport 500 sport 500 ewan-vpn (R) MM_SA_SETUP

Mar 25 21:20:11: ISAKMP: (0):p hase 1 paquete es un duplicado de un paquete anterior.

Mar 25 21:20:11: ISAKMP: (0):retransmisión debido a la fase de retransmisión 1

Mar 25 21:20:12: ISAKMP: (0):retransmisión fase 1 MM_SA_SETUP...

Mar 25 21:20:12: ISAKMP: (0):: incrementando el contador de errores en sa, intento 3 de 5: retransmisión fase 1

Mar 25 21:20:12: ISAKMP: (0):retransmisión fase 1 MM_SA_SETUP

Mar 25 21:20:12: ISAKMP-PAK: (0):enviar paquete a 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

Mar 25 21:20:12: ISAKMP: (0):Envío de un paquete IPv4 IKE.

Mar 25 21:20:19: ISAKMP: (0):retransmitiendo la fase 1 MM_NO_STATE...

Mar 25 21:20:19: ISAKMP: (0):: incrementando el contador de errores en sa, intento 4 de 5: retransmisión fase 1

Mar 25 21:20:19: ISAKMP: (0):retransmisión fase 1 MM_NO_STATE

Mar 25 21:20:19: ISAKMP-PAK: (0):enviar paquete a 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

Mar 25 21:20:19: ISAKMP: (0):Envío de un paquete IPv4 IKE.

Mar 25 21:20:21: ISAKMP-PAK: (0):paquete recibido de 10.126.253.69 dport 500 sport 500 ewan-vpn (R) MM_SA_SETUP

Mar 25 21:20:21: ISAKMP: (0):p hase 1 paquete es un duplicado de un paquete anterior.

Mar 25 21:20:21: ISAKMP: (0):retransmisión debido a la fase de retransmisión 1

Mar 25 21:20:22: ISAKMP: (0):retransmisión fase 1 MM_SA_SETUP...

Mar 25 21:20:22: ISAKMP: (0):: incrementando el contador de errores en sa, intento 4 de 5: retransmisión fase 1

Mar 25 21:20:22: ISAKMP: (0):retransmisión fase 1 MM_SA_SETUP

Mar 25 21:20:22: ISAKMP-PAK: (0):enviar paquete a 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

Mar 25 21:20:22: ISAKMP: (0):Envío de un paquete IPv4 IKE.

Mar 25 21:20:28: ISAKMP: (0):p 3684507416 de nodo quirúrgico

Mar 25 21:20:28: ISAKMP: (0):p nódulo quirúrgico 2547109587

Mar 25 21:20:29: ISAKMP: (0):retransmitiendo la fase 1 MM_NO_STATE...

Mar 25 21:20:29: ISAKMP: (0):: incrementando el contador de errores en sa, intento 5 de 5: retransmisión fase 1

Mar 25 21:20:29: ISAKMP: (0):retransmisión fase 1 MM_NO_STATE

Mar 25 21:20:29: ISAKMP-PAK: (0):enviar paquete a 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

Mar 25 21:20:29: ISAKMP: (0):Envío de un paquete IPv4 IKE.

Mar 25 21:20:31: ISAKMP-PAK: (0):paquete recibido de 10.126.253.69 dport 500 sport 500 ewan-vpn (R) MM_SA_SETUP

Mar 25 21:20:31: ISAKMP: (0):p hase 1 paquete es un duplicado de un paquete anterior.

Mar 25 21:20:31: ISAKMP: (0):retransmisión debido a la fase de retransmisión 1

Mar 25 21:20:32: ISAKMP: (0):retransmisión fase 1 MM_SA_SETUP...

Mar 25 21:20:32: ISAKMP: (0):: incrementando el contador de errores en sa, intento 5 de 5: retransmisión fase 1

Mar 25 21:20:32: ISAKMP: (0):retransmisión fase 1 MM_SA_SETUP

Mar 25 21:20:32: ISAKMP-PAK: (0):enviar paquete a 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

Mar 25 21:20:32: ISAKMP: (0):Envío de un paquete IPv4 IKE.

Mar 25 21:20:38: ISAKMP: (0):p urging SA., sa=7FC1A6B21CD0, delme=7FC1A6B21CD0

Mar 25 21:20:39: ISAKMP: (0):retransmisión fase 1 MM_NO_STATE...

Mar 25 21:20:39: ISAKMP: (0):p eer no hace keepalives paranoicos.

Mar 25 21:20:39: ISAKMP-ERROR: (0):d eleting SA reason "Death by retransmission P1" state (I) MM_NO_STATE (peer 10.126.253.69)

Mar 25 21:20:39: ISAKMP: (0):Desbloqueando la estructura del par 0x7FC1B32B68B0 para isadb_mark_sa_deleted(), cuenta 0

Mar 25 21:20:39: ISAKMP: (0):D el eliminar nodo del mismo nivel por peer_reap para 10.126.253.69: 7FC1B32B68B0

Mar 25 21:20:39: ISAKMP: (0):d deseleting node 1024521642 error FALSE reason "IKE deleted"

Mar 25 21:20:39: ISAKMP: (0):d dese eliminar nodo 2934222722 error MOTIVO FALSO "IKE eliminado"

Mar 25 21:20:39: ISAKMP: (0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL

Mar 25 21:20:39: ISAKMP: (0):Estado Antiguo = IKE_I_MM1 Nuevo Estado = IKE_DEST_SA

Translator · ‎09-12-2021

Hola Sachin,

Desde el lado del enrutador ###ISP tiene una falta de coincidencia de configuración:
tienes
interfaz Loopback52
sin embargo
interfaz Tunnel2045011
fuente del túnel Loop52
Debe cambiar a
origen del túnel Loopback52

Ver la solución en mensaje original publicado

Translator · ‎10-06-2021

Lo que cambié a ver es que la interfaz de administración del ASA no se usa comúnmente simplemente porque podría manipular el ASA yendo a la interfaz interna para el nuevo artículode revisión. El propósito con toda probabilidad de no poder llegar a la interfaz de administración se debe a la falta de una ruta:

Ver la solución en mensaje original publicado

Translator · ‎09-12-2021

Compruebe dos veces el lado y el extremo remoto si coincide con los valores del grupo PFS.

Translator · ‎09-12-2021

Hola Sheraz, gracias por la respuesta a mi post.

He verificado ambas configuraciones finales. no se ha visto ningún problema. A continuación, encontrará la configuración de ISP y extremo remoto

###ISP router

!
!
Directiva de Crypto ISAKMP 10
encr aes 256
autenticación previa al uso compartido
grupo 5
de por vida 3600
llavero criptográfico ewan-vpn vrf ewan-vpn
dirección de clave pre-compartida 10.126.253.69 clave XXXXXXXXXX
!
crypto ipsec transform-set ts-extranet-vti esp-aes 256 esp-sha-hmac
túnel de modo
!
!
perfil de ipsec criptográfico ipsec-extranet
set transform-set TS-extranet-vti
establecer la distancia de ruta inversa 255
!
interfaz Loopback52
Descripción Loopback para ewan-vpn VRF
reenvío de ip vrf ewan-vpn
dirección IP 203.13.114.4 255.255.255.255
!
interfaz Tunnel2045011
Descripción IPSEC Tunnel to Mobileum Bangalore Tu2071
ip sin numerar Loop56
IP Virtual-Reassembly
IP TCP Adjust-MSS 1387
fuente del túnel Loop52
modo túnel IPSec ipv4
destino del túnel 10.126.253.69
túnel vrf ewan-vpn
REENVÍO de IP VRF VTI-semitrusted
Protección de túneles IpSec perfil IPSec-extranet
forma de salida de directiva de servicio-5mbps-mobileum
!

------------------------------------------------------------------------------------------

###Remote extremo del router

Directiva de Crypto ISAKMP 10
cifrado aes 256
autenticación previa al uso compartido
grupo 5
de por vida 3600
clave isakmp criptográfica XXXXXXXXXX dirección 203.13.114.4
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set optus-ts esp-aes 256 esp-sha-hmac
túnel de modo
!
!
perfil cripto ipsec optus-ipsec
establecer optus-ts de conjunto de transformaciones

interfaz Loopback0
Descripción Bucle invertido para datos y par bgp
dirección IP 10.240.176.238 255.255.255.255
!
interfaz Loopback65100
Descripción Optus VTI tunnel termination loopback
dirección IP 10.126.253.69 255.255.255.255
!
interfaz Tunnel2031
Descripción IpSEC Tunnel to CHOC EO2KYGZAT01 Tu3010011
ip sin numerar GigabitEthernet0/0/1
IP TCP Adjust-MSS 1387
origen del túnel Loopback65100
modo túnel IPSec ipv4
destino del túnel 203.13.114.4
protección de túneles IPSec perfil optus-ipsec
IP Virtual-Reassembly
!
interfaz GigabitEthernet0/0/0
dirección IP 115.31.251.254 255.255.255.252
negociación automática
!
interfaz GigabitEthernet0/0/1
dirección IP 10.10.16.2 255.255.248.0
negociación automática
!

ip tftp fuente-interfaz GigabitEthernet0
Ruta IP 0.0.0.0 0.0.0.0 115.31.251.253
Ruta IP 0.0.0.0 0.0.0 Túnel2031 Nombre predeterminado a optus_via_tunnel2031
Ruta IP 10.10.16.0 255.255.248.0 10.10.16.13
ruta IP 10.10.24.0 255.255.248.0 10.10.16.13
ruta IP 203.13.114.4 255.255.255.255 115.31.251.253 nombre EO2KYGZAT01-loop52
!

Translator · ‎09-12-2021

Hola SachinAhire9605 6

perdón por la respuesta tardía. mirando en su configuración y su depuración, noté que solo vemos el "MM_SA_SETUP", lo que significa"Los pares han acordado los parámetros para el ISAKMP SA." sin embargo, no vemos ningún otro parámetro ISAKMP. parece que UDP 500 cayó en la ruta unidireccionalmente desde este enrutador hasta el par remoto. ¿Podría también depurar en el sitio remoto y verificar lo que ve en el otro extremo?

¿Podría mostrar la salida de ambos lados "mostrar el detalle de crypto isakmp sa" y también podría habilitar / caputer el paquete en los enrutadores en uno o ambos extremos?

lista de acceso CAP-ACL

Permitir host IP x.x.x.x IP y.y.y.y

monitor capturar mycap lista de acceso CAP-ACL

monitor capturar mycap límite duración 1000

monitor capture mycap interface loopback52 ambos

monitor capture mycap buffer tamaño circular 100
monitor capturar mycap inicio
supervisar la captura mycap exportación tftp://192.168.x.x/mycap.pcap
supervisar capturar mycap stop

Translator · ‎09-12-2021

Hola Sachin,

Desde el lado del enrutador ###ISP tiene una falta de coincidencia de configuración:
tienes
interfaz Loopback52
sin embargo
interfaz Tunnel2045011
fuente del túnel Loop52
Debe cambiar a
origen del túnel Loopback52

Translator · ‎10-06-2021

Lo que cambié a ver es que la interfaz de administración del ASA no se usa comúnmente simplemente porque podría manipular el ASA yendo a la interfaz interna para el nuevo artículode revisión. El propósito con toda probabilidad de no poder llegar a la interfaz de administración se debe a la falta de una ruta:

Translator · ‎10-22-2021



1 Router_A #Debug Encryption isakmp
2 Encryption ISAKMP ¡La depuración ISAKMP está
en 3!
¡4!
5 * 17 de febrero 10:58:20.066: ISAKMP (0:1): SA utiliza el tipo de identidad para ID_IPV4_ADDR la autenticación de cifrado RSA
6!
¡7!
8 *Feb 17 10:58:20.554: %Encryption-6-IKMP_CRYPT_FAILURE: IKE (Connection ID 1) Undote (W/RSA Private Key) Packet
9!
¡10!
11 *17 de febrero 10:58:41.706: ISAKMP (0:1): MM_SA_SETUP Retransmisión Fase 1...
12 *Feb 17 10:58:41.706: ISAKMP (0:1): Contadores de errores incrementales en Sae: ¡Vuelva a enviar los pasos 1
13!
¡14!
15 *17 de febrero 10:59:19:918: ISAMMP (0:1): SA Razón "gen_IPsec_isakmp_delete but Doi isakmp" status (I) MM_SA_SETUP (Peer 200.0.0.2) Cola de entrada
0 16 *Febrero 17 10:59:19:19 918: ISAMMP (entrada 0:1) = Entrada: IKE_MESG_INTERNAL IKE_PHASE1_DEL
17 *17 de febrero 10:59:19:918: ISAKMP (0:1): Estado antiguo = IKE_I_MM3 Nuevo estado = IKE_DEST_SA
18
depuración cifrada isakmp
20 ¡La depuración ISAKMP cifrada está
en 21!
¡22!
23 *Feb 17 10:01:10.930: ISAKMP:(0:1:SW:1):SA está realizando la autenticación de cifrado RSA usando el tipo de ID ID_IPV4_ADDR
24!
¡25!
26 *17 de febrero 10:01:21:658: ISAKMP:(0:1:SW:1): Retransmisión Fase 1 MM_KEY_EXCH
27 *Feb 17 10:01:21.658: ISAKMP:(0:1:SW:1): MM_KEY_EXCH 200.1.1.my_port paquetes 500 peer_port 500!
¡29!
30 *17 de febrero 10:01:55.466: ISAKMP: El temporizador de modo rápido ha caducado.
31 *17 de febrero 10:01:55.466: ISAKMP:(0:1:SW:1): src 200.0.0.1 dst 200.0.0.0.2, SA no está certificada
32 *17 de febrero 10:01:55.466: ISAKMP:(0:1:SW:1)  no hace keepalives paranoicos.
¡33!
¡34!
35 *February 17 10:01:55.466: ISAKMP:(0:1:SW:1) :d SA Reasons "QM_TIMER Expiry" status (R) MM_KEY_EXCH (Peer 200.0.0.1)
36 *February 1710:01:55.466: ISA KMP:(0:1:SW:1) :d SA Reason "QM_TIMER Expiry" Status (R) MM_KEY_EXCH (Pier 200.1.1.1) 
37 *February 17 10:01:55.466: ISAKMP: Unlock iKE Stroke 0x65C405A8 for isadb_mark_sa_deleted (isadb_mark_sa_deleted).  Count 0
38 *February 17 10:01:55.466: ISAKMP: Delete peer_reap peer node for 200.1.1.1: 65C405A8
39 *February 171:01:55.466: ISAKMP:(0:1:SW:1:1 IKE_MESG_INTERNAL Input) IKE_PHASE1_DEL
40 *February 17 10:01:55.466: ISAKMP:(0:1:SW:1):: Old State = IKE_R_MM4 New State = IKE_DEST_SA

IPSec VPN eliminando la razón SA "Muerte por retransmisión P1" estado (I) MM_NO_STATE (par 10.126.253.69)