Solucionado: Re: IPSec VPN Remover SA "P1 Relay Death"

Translator · ‎09-12-2021

Estou enfrentando alguns problemas com o túnel VPN IPsec. VPN criada entre o roteador Cisco ISR4331 e o Cisco ASR1001-X.

Estou recebendo Ph-1 chegando e ser excluído. erro "MM_NO_STATE - ATIVO (Excluído)"

Quando eu executar depuração no roteador ASR1001-X encontrou o erro abaixo e encontrar anexado todos os logs de depuração

25 de março 21:19:42: ISAKMP: (0):retransmitir fase 1 MM_SA_SETUP...

25 de março 21:19:42: ISAKMP: (0):p eer não faz keepalives paranoicos.

25 de março 21:19:42: ISAKMP-ERROR: (0):d eleting SA razão "Morte por retransmissão P1" estado (R) MM_SA_SETUP (peer 10.126.253.69)

25 de março 21:19:42: ISAKMP: (0):D eleting o sa não autenticado

25 de março 21:19:42: ISAKMP: (0):Desbloqueando 0x7FC1B38B8498 de estrutura de pares para isadb_mark_sa_deleted(), contagem 0

25 de março 21:19:42: ISAKMP: (0):D eleting a estrutura de pares para sa não autenticado

25 de março 21:19:42: ISAKMP: (0):D eleting nó por peer_reap por 10.126.253.69: 7FC1B38B8498

25 de março 21:19:42: ISAKMP: (0):Entrada = IKE_MESG_INTERNAL, IKE_PHASE1_DEL

25 de março 21:19:42: ISAKMP: (0):Estado Antigo = IKE_R_MM2 Novo Estado = IKE_DEST_SA

25 de março 21:19:49: ISAKMP: (0):retransmitir fase 1 MM_NO_STATE...

25 de março 21:19:49: ISAKMP: (0):: contador de erros de incremento em sa, tentativa 1 de 5: retransmitir fase 1

25 de março 21:19:49: ISAKMP: (0):retransmitir fase 1 MM_NO_STATE

25 de março 21:19:49: ISAKMP-PAK: (0):envio de pacote para 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

25 de março 21:19:49: ISAKMP: (0):Envio de um pacote IKE IPv4.

25 de março 21:19:51: ISAKMP-PAK: (0):recebeu pacote de 10.126.253.69 dport 500 sport 500 ewan-vpn (R) MM_SA_SETUP

25 de março 21:19:51: ISAKMP: (0):p hase 1 pacote é uma duplicata de um pacote anterior.

25 de março 21:19:51: ISAKMP: (0):retransmitir devido ao retransmissão fase 1

25 de março 21:19:52: ISAKMP: (0):retransmitir fase 1 MM_SA_SETUP...

25 de março 21:19:52: ISAKMP: (0):: contador de erros de incremento em sa, tentativa 1 de 5: retransmitir fase 1

25 de março 21:19:52: ISAKMP: (0):retransmitir fase 1 MM_SA_SETUP

25 de março 21:19:52: ISAKMP-PAK: (0):envio de pacote para 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

25 de março 21:19:52: ISAKMP: (0):Envio de um pacote IKE IPv4.

25 de março 21:19:59: ISAKMP: (0):retransmitir fase 1 MM_NO_STATE...

25 de março 21:19:59: ISAKMP: (0):: contador de erros de incremento em sa, tentativa 2 de 5: retransmitir fase 1

25 de março 21:19:59: ISAKMP: (0):retransmitir fase 1 MM_NO_STATE

25 de março 21:19:59: ISAKMP-PAK: (0):envio de pacote para 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

25 de março 21:19:59: ISAKMP: (0):Envio de um pacote IKE IPv4.

25 de março 21:20:01: ISAKMP-PAK: (0):recebeu pacote de 10.126.253.69 dport 500 sport 500 ewan-vpn (R) MM_SA_SETUP

25 de março 21:20:01: ISAKMP: (0):p hase 1 pacote é uma duplicata de um pacote anterior.

25 de março 21:20:01: ISAKMP: (0):retransmitir devido ao retransmissão fase 1

25 de março 21:20:02: ISAKMP: (0):retransmissão fase 1 MM_SA_SETUP...

25 de março 21:20:02: ISAKMP: (0):: contador de erros de incremento em sa, tentativa 2 de 5: retransmitir fase 1

25 de março 21:20:02: ISAKMP: (0):retransmitir fase 1 MM_SA_SETUP

25 de março 21:20:02: ISAKMP-PAK: (0):envio de pacote para 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

25 de março 21:20:02: ISAKMP: (0):Envio de um pacote IKE IPv4.

25 de março 21:20:09: ISAKMP: (0):definir novo nó 0 a QM_IDLE

25 de março 21:20:09: ISAKMP-ERROR: (0):SA ainda está brotando. Anexado novo pedido ipsec a ele. (local 203.13.114.4, remoto 10.126.253.69)

25 de março 21:20:09: ISAKMP-ERROR: (0):Erro durante o processamento da solicitação SA: Não inicialmente SA

25 de março 21:20:09: ISAKMP: (0):retransmitir fase 1 MM_NO_STATE...

25 de março 21:20:09: ISAKMP: (0):: contador de erros de incremento em sa, tentativa 3 de 5: retransmitir fase 1

25 de março 21:20:09: ISAKMP: (0):retransmitir fase 1 MM_NO_STATE

25 de março 21:20:09: ISAKMP-PAK: (0):envio de pacote para 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

25 de março 21:20:09: ISAKMP: (0):Envio de um pacote IKE IPv4.

25 de março 21:20:11: ISAKMP-PAK: (0):recebeu pacote de 10.126.253.69 dport 500 sport 500 ewan-vpn (R) MM_SA_SETUP

25 de março 21:20:11: ISAKMP: (0):p hase 1 pacote é uma duplicata de um pacote anterior.

25 de março 21:20:11: ISAKMP: (0):retransmitir devido ao retransmissão fase 1

25 de março 21:20:12: ISAKMP: (0):retransmitir fase 1 MM_SA_SETUP...

25 de março 21:20:12: ISAKMP: (0):: contador de erros de incremento em sa, tentativa 3 de 5: retransmitir fase 1

25 de março 21:20:12: ISAKMP: (0):retransmitir fase 1 MM_SA_SETUP

25 de março 21:20:12: ISAKMP-PAK: (0):envio de pacote para 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

25 de março 21:20:12: ISAKMP: (0):Envio de um pacote IKE IPv4.

25 de março 21:20:19: ISAKMP: (0):retransmissão fase 1 MM_NO_STATE...

25 de março 21:20:19: ISAKMP: (0):: contador de erros de incremento em sa, tentativa 4 de 5: retransmitir fase 1

25 de março 21:20:19: ISAKMP: (0):retransmitir fase 1 MM_NO_STATE

25 de março 21:20:19: ISAKMP-PAK: (0):envio de pacote para 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

25 de março 21:20:19: ISAKMP: (0):Envio de um pacote IKE IPv4.

25 de março 21:20:21: ISAKMP-PAK: (0):recebeu pacote de 10.126.253.69 dport 500 sport 500 ewan-vpn (R) MM_SA_SETUP

25 de março 21:20:21: ISAKMP: (0):p hase 1 pacote é uma duplicata de um pacote anterior.

25 de março 21:20:21: ISAKMP: (0):retransmitir devido ao retransmissão fase 1

25 de março 21:20:22: ISAKMP: (0):retransmitir fase 1 MM_SA_SETUP...

25 de março 21:20:22: ISAKMP: (0):: contador de erros de incremento em sa, tentativa 4 de 5: retransmitir fase 1

25 de março 21:20:22: ISAKMP: (0):retransmitir fase 1 MM_SA_SETUP

25 de março 21:20:22: ISAKMP-PAK: (0):envio de pacote para 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

25 de março 21:20:22: ISAKMP: (0):Envio de um pacote IKE IPv4.

25 de março 21:20:28: ISAKMP: (0):p sendo 3684507416

25 de março 21:20:28: ISAKMP: (0):p sendo 2547109587

25 de março 21:20:29: ISAKMP: (0):retransmissão fase 1 MM_NO_STATE...

25 de março 21:20:29: ISAKMP: (0):: contador de erros de incremento em sa, tentativa 5 de 5: retransmitir fase 1

25 de março 21:20:29: ISAKMP: (0):retransmitir fase 1 MM_NO_STATE

25 de março 21:20:29: ISAKMP-PAK: (0):envio de pacote para 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

25 de março 21:20:29: ISAKMP: (0):Envio de um pacote IKE IPv4.

25 de março 21:20:31: ISAKMP-PAK: (0):recebeu pacote de 10.126.253.69 dport 500 sport 500 ewan-vpn (R) MM_SA_SETUP

25 de março 21:20:31: ISAKMP: (0):p hase 1 pacote é uma duplicata de um pacote anterior.

25 de março 21:20:31: ISAKMP: (0):retransmitir devido ao retransmissão fase 1

25 de março 21:20:32: ISAKMP: (0):retransmissão fase 1 MM_SA_SETUP...

25 de março 21:20:32: ISAKMP: (0):: contador de erros de incremento em sa, tentativa 5 de 5: retransmitir fase 1

25 de março 21:20:32: ISAKMP: (0):retransmitir fase 1 MM_SA_SETUP

25 de março 21:20:32: ISAKMP-PAK: (0):envio de pacote para 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

25 de março 21:20:32: ISAKMP: (0):Envio de um pacote IKE IPv4.

25 de março 21:20:38: ISAKMP: (0):p urging SA., sa=7FC1A6B21CD0, delme=7FC1A6B21CD0

25 de março 21:20:39: ISAKMP: (0):retransmitir fase 1 MM_NO_STATE...

25 de março 21:20:39: ISAKMP: (0):p eer não faz keepalives paranoicos.

25 de março 21:20:39: ISAKMP-ERROR: (0):d eleting SA razão "Morte por retransmissão P1" estado (I) MM_NO_STATE (peer 10.126.253.69)

25 de março 21:20:39: ISAKMP: (0):Desbloqueando 0x7FC1B32B68B0 de estrutura de pares para isadb_mark_sa_deleted(), contagem 0

25 de março 21:20:39: ISAKMP: (0):D eleting nó por peer_reap por 10.126.253.69: 7FC1B32B68B0

25 de março 21:20:39: ISAKMP: (0):d eleting nó 1024521642 erro FALSA razão "IKE excluído"

25 de março 21:20:39: ISAKMP: (0):d eleting nó 2934222722 erro falsa razão "IKE excluído"

25 de março 21:20:39: ISAKMP: (0):Entrada = IKE_MESG_INTERNAL, IKE_PHASE1_DEL

25 de março 21:20:39: ISAKMP: (0):Estado Antigo = IKE_I_MM1 Novo Estado = IKE_DEST_SA

Translator · ‎09-12-2021

Oi Sachin,

Do lado do roteador ###ISP você tem incompatibilidade de configuração:
você tem
interface Loopback52
contudo
interface Túnel2045011
fonte do túnel Loop52
Você deve mudar para
fonte do túnel Loopback52

Ver solução na publicação original

Translator · ‎10-06-2021

O que eu mudei para chegar é que a interface de gerenciamento do ASA não é comumente usada simplesmente porque você poderia manipular o ASA usando ir para a interface interna para novo artigode revisão . O propósito que você provavelmente não pode alcançar a interface de gerenciamento é devido à falta de uma rota:

Ver solução na publicação original

Translator · ‎09-12-2021

verifique novamente o seu lado e a extremidade remota se você corresponder aos valores do grupo PFS.

Translator · ‎09-12-2021

Olá Sheraz, obrigado pela resposta ao meu post.

Verifiquei ambas as configurações finais. não vi qualquer problema. Por favor, encontre abaixo isp e remote end config

Roteador ###ISP

!
!
política cripto isakmp 10
encr aes 256
pré-compartilhamento de autenticação
grupo 5
vida 3600
chaveiro cripto ewan-vpn vrf ewan-vpn
endereço de tecla pré-compartilhada 10.126.253.69 chave XXXXXXXXXX
!
cripto ipsec transform-set ts-extranet-vti esp-aes 256 esp-sha-hmac
túnel de modo
!
!
perfil ipsec cripto ipsec-extranet
conjunto conjunto conjunto ts-extranet-vti
definir distância de rota reversa 255
!
interface Loopback52
Loopback de descrição para ewan-vpn VRF
ip vrf encaminhamento ewan-vpn
endereço ip 203.13.114.4 255.255.255.255
!
interface Túnel2045011
descrição Túnel IPSEC para Mobileum Bangalore Tu2071
ip loop56 nãonumerado
ip remontagem virtual
ip tcp adjust-mss 1387
fonte do túnel Loop52
modo túnel ipsec ipv4
destino do túnel 10.126.253.69
túnel vrf ewan-vpn
ip vrf encaminhamento vti-semitrusted
túnel de proteção ipsec perfil ipsec-extranet
forma de saída de política de serviço-5mbps-mobileum
!

------------------------------------------------------------------------------------------

###Remote roteador final

política cripto isakmp 10
criptografia aes 256
pré-compartilhamento de autenticação
grupo 5
vida 3600
endereço xxxXXXXXXX 203.13.114.4
cripto isakmp keepalive 10
!
!
cripto ipsec transform-set optus-ts esp-aes 256 esp-sha-hmac
túnel de modo
!
!
perfil ipsec cripto optus-ipsec
conjunto opções de conjunto de transformação optus-ts

interface Loopback0
Loopback de descrição para dados e bgp peer
endereço ip 10.240.176.238 255.255.255.255.255
!
interface Loopback65100
loopback de terminação do túnel Optus VTI
endereço ip 10.126.253.69 255.255.255.255.255
!
interface Túnel2031
descrição Túnel IPSEC para CHOC EO2KYGZAT01 Tu3010011
ip gigabitEthernet0/0/1 não numerado
ip tcp adjust-mss 1387
fonte do túnel Loopback65100
modo túnel ipsec ipv4
destino do túnel 203.13.114.4
túnel de proteção ipsec perfil optus-ipsec
ip remontagem virtual
!
interface GigabitEthernet0/0/0
endereço ip 115.31.251.254 255.255.255.252
negociação auto
!
interface GigabitEthernet0/0/1
endereço ip 10.10.16.2 255.255.248.0
negociação auto
!

ip tftp interface de origem GigabitEthernet0
rota ip 0.0.0.0 0.0.0 115.31.251.253
rota ip 0.0.0.0 0.0.0 Tunnel2031 nome padrão para optus_via_tunnel2031
rota ip 10.10.16.0 255.255.248.0 10.10.16.13
rota ip 10.10.24.0 255.255.248.0 10.10.16.13
rota ip 203.13.114.4 255.255.255.255 115.31.251.253 nome EO2KYGZAT01-loop52
!

Translator · ‎09-12-2021

Oi SachinAhire9605 6

desculpe pela resposta tardia. olhando para a sua configuração e sua depuração eu notei que só vemos o "MM_SA_SETUP" que significa "Os pares concordaram com parâmetros para o ISAKMP SA." no entanto, não vemos nenhum outro parâmetro ISAKMP.

Você poderia, por favor, mostrar o out put de ambos os lados "mostrar detalhe sa de isakmp cripto" e também poderia habilitar/caputer o pacote nos roteadores em um ou ambos os lados.

cap-ACL da lista de acesso

permitir que o host ip x.x.x.x ip y.y.y.y.y

monitorar captura mycap lista de acesso CAP-ACL

monitor capturar duração do limite mycap 1000

monitor capturar interface mycap loopback52 ambos

monitor capturar mycap buffer tamanho circular 100
monitorar início mycap captura
monitorar capturar tftp://192.168.x.x/mycap.pcap de exportação mycap
monitorar captura mycap parar

Translator · ‎09-12-2021

Oi Sachin,

Do lado do roteador ###ISP você tem incompatibilidade de configuração:
você tem
interface Loopback52
contudo
interface Túnel2045011
fonte do túnel Loop52
Você deve mudar para
fonte do túnel Loopback52

Translator · ‎10-06-2021

O que eu mudei para chegar é que a interface de gerenciamento do ASA não é comumente usada simplesmente porque você poderia manipular o ASA usando ir para a interface interna para novo artigode revisão . O propósito que você provavelmente não pode alcançar a interface de gerenciamento é devido à falta de uma rota:

Translator · ‎10-22-2021



1 Router_A a criptografia de depuração é 2
depuração ISAKMP ISAKMP criptografada está em
3!
4!
5 s Feb 17 10:58:20.066: ISAKMP (0:1): SA usa tipo de identidade ID_IPV4_ADDR autenticação de criptografia RSA
6!
7!
8 fev 17 10:58:20.554: %Encryption-6-IKMP_CRYPT_FAILURE: IKE (Connection ID 1) Undote (W/RSA Private Key) Pack
9!
10!
11 Fev 17 10:58:41.706: ISAKMP (0:1): MM_SA_SETUP Broadcast Stage 1...
12 Fev 17 10:58:41.706: ISAKMP (0:1): Contador de erros incrementais em Sae: Resubmit passo
1 13!
14!
15 Fev 17 10:59:19:918: ISAMMP (0:1): Relação SA "gen_IPsec_isakmp_delete mas Doi isakmp" status (I) MM_SA_SETUP (Peer 200) .0.0.2) Fila de entrada
0 16 s Feb 17 10:59:19:19 918: ISAMMP (Enter 0:1) - Digite: IKE_ MESG_INTERNAL IKE_PHASE1_DEL
17 fev 17 10:59:19:918: ISAKMP (0:1): O IKE_I_MM3 do estado antigo IKE_DEST_SA
18
depuração de criptografia Isakmp
20 isakmp criptografado
está em 21!
22!
23 Fev 17 10:01:10.930: ISAKMP: (0:1:SW:1): SA está usando o tipo ID ID_IPV4_ADDR 24 para autenticação de criptografia
RSA!
25!
26 de fevereiro 17 10:01:21:658: ISAKMP: (0:1:SW:1): Transmissão Fase 1
MM_KEY_EXCH 27 de fevereiro 10:01:21.658: ISAKMP: (0:1:SW:1): pacote MM_KEY_EXCH 200.1.1.my_port 500 peer_port 500!
29!
30 Fev 17 10:01:55.466: ISAKMP: O tempo de modo rápido expirou.
31 Fev 17 10:01:55.466: ISAKMP: (0:1:SW:1): src 200.0.0.1 dst 200.0.0.0.2, Sa reprovado certificação
32 s Feb 17 10:01:55.466: ISAKMP: (0:1:SW:1)  não permitem que a paranoia permaneça.
33!
34!
35 Feb 17 10:01:55.4666: ISAKMP: (0:1:SW:1) :d SA razão "QM_TIMER expira" status (R) MM_KEY_EXCH (Peer 200.01) 0.0.1)
Fev 1710:01:55.466: ISA KMP: (0:1:SW:1) :d SA status "Cause QM_TIMER Expires" status (R)MM_KEY_ EXCH (Pierre 
200.1.1.1)37/17/10:01:55.4666: ISAKMP: Desbloqueie o 0x65C405A8 de traçado iKE É isadb_mark_sa_deleted (isadb_mark_sa_deleted).  Contagem
0 38 s Feb 17 10:01:55.466: ISAKMP: Remova 200.1.1.1.1 de peer_reap nó de ponto: 65C4 5A8
39 s Fev 171:01:55.46 6: ISAKMP: (0:1:SW:1:1 IKE_MESG_INTERNAL entrada) IKE_PHASE1_DEL
40 s 17 fevereiro 10:01:55.466: ISAKMP: (0:1:SW:1): Old State s IKE_R_MM4 NSW s IKE_DEST_SA

IPSec VPN excluindo a razão SA "Morte por retransmissão P1" estado (I) MM_NO_STATE (peer 10.126.253.69)

Quick links