05-02-2013 02:56 PM - editado 03-21-2019 06:13 PM
Saludos
Tengo configurada una vpn site to site (L2L) ambos dispositivos son Cisco ASA 5520, la conexion funcionaba correctamente. pero de pronto esta tando este error:
ASA1 ----- internet ----- ASA2
IP 186.32.189.178 IP 186.179.167.2
es una vpn site to site
En el ASA 2 me da este error y la detecta como vpn remote accces.
26 IKE Peer: 186.32.189.178
Type : user Role : responder
Rekey : no State : MM_WAIT_MSG3
alguno sabe que puede ser este error.
pura vida
¡Resuelto! Ir a solución.
el 05-02-2013 03:35 PM
Hola,
Cuando el tunel esta siendo negociado siempre va a aparecer como remote access, incluso tratandose de un L2L.
En este caso, el ASA 2 como lo llamas esta actuando como responder, recibió el primer paquete de Main Mode y envió el 2do pero no ha recibido respuesta a este paquete por eso el output muestra MM_WAIT_MSG3; si revisas el IKE sa en ASA 1 lo que vas a ver es MM_WAIT_MSG2. Estos paquetes van en UDP 500 asi que una posibilidad sería que este trafico esta siendo bloqueado en la direccion ASA2 >>> ASA 1 de manera que si el ASA2 actuara como initiator la salida sería MM_WAIT_MSG2 y en ASA1 ni siquiera verias la negociacion. Para confirmar esto puedes correr los debugs de isakmp en ambos lados o incluso capturar el trafico de IP publica a IP Publica en las interfaces outside de ambos lados simultaneamente.
Pura Vida...
el 05-02-2013 03:35 PM
Hola,
Cuando el tunel esta siendo negociado siempre va a aparecer como remote access, incluso tratandose de un L2L.
En este caso, el ASA 2 como lo llamas esta actuando como responder, recibió el primer paquete de Main Mode y envió el 2do pero no ha recibido respuesta a este paquete por eso el output muestra MM_WAIT_MSG3; si revisas el IKE sa en ASA 1 lo que vas a ver es MM_WAIT_MSG2. Estos paquetes van en UDP 500 asi que una posibilidad sería que este trafico esta siendo bloqueado en la direccion ASA2 >>> ASA 1 de manera que si el ASA2 actuara como initiator la salida sería MM_WAIT_MSG2 y en ASA1 ni siquiera verias la negociacion. Para confirmar esto puedes correr los debugs de isakmp en ambos lados o incluso capturar el trafico de IP publica a IP Publica en las interfaces outside de ambos lados simultaneamente.
Pura Vida...
el 05-06-2013 04:49 PM
perfecto muchas gracias ya le di que era el problema
Gracias por la ayuda
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad