https://opennet.dev/openforum/vsluhforumID6/12436.html Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки:<br>Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and is not an initialization offer<br>Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer<br><br>проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный трафик - результата никакого. Может кто сталкивался с чем-то подобным?<br> https://opennet.dev/openforum/vsluhforumID6/12436.html#20 Sat, 23 Jul 2011 16:27:25 GMT Мне помогло: no set security-association lifetime seconds 3600 в crypto ipsec profile Profile1.<br> https://opennet.dev/openforum/vsluhforumID6/12436.html#19 Fri, 20 Nov 2009 11:30:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt;http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a00800949c5.shtml <br>&gt;&gt;<br>&gt;&gt;..сам вот сижу разбираю похожий случай <br>&gt;<br>&gt;таже беда, но после clear crypto sa, все стало подниматься. <br>&gt;софт везте 12.4 стоит <br>&gt;cisco 2811 CA server + dmvpn + cisco 1841 <br>&gt;<br>&gt;как только очистил, так стало подниматься само по себе, еще попробую лайфтамом <br>&gt;поиграться. <br><br>таже проблема с Cisco-Microsoft.....повторно тунель поднимается только после clear crypto sa<br>что можно сделать?<br><br><br> https://opennet.dev/openforum/vsluhforumID6/12436.html#18 Sat, 01 Nov 2008 05:43:17 GMT &gt;можно здесь чего поглядеть: http://book.soundonair.ru/cisco/ch24lev1sec4.html <br>&gt;http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a00800949c5.shtml <br>&gt;<br>&gt;..сам вот сижу разбираю похожий случай <br><br>таже беда, но после clear crypto sa, все стало подниматься.<br>софт везте 12.4 стоит<br>cisco 2811 CA server + dmvpn + cisco 1841<br><br>как только очистил, так стало подниматься само по себе, еще попробую лайфтамом поиграться.<br> https://opennet.dev/openforum/vsluhforumID6/12436.html#17 Thu, 11 Sep 2008 15:34:52 GMT можно здесь чего поглядеть: http://book.soundonair.ru/cisco/ch24lev1sec4.html<br>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a00800949c5.shtml<br><br>..сам вот сижу разбираю похожий случай<br> https://opennet.dev/openforum/vsluhforumID6/12436.html#16 Wed, 10 Oct 2007 15:17:11 GMT &gt;Настроил ipsec между 7206 (12.4.T9) и двумя организациями, которые в качестве устройства <br>&gt;для терминации тоннеля используют windows 2000/2003. В логах вижу постоянные ошибки: <br>&gt;<br>&gt;Jan 10 09:06:20: %CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and <br>&gt;is not an initialization offer <br>&gt;Jan 10 16:36:50: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for <br>&gt;destaddr=my_peer, prot=50, spi=0xFA04146C(4194571372), srcaddr=rem_peer <br>&gt;<br>&gt;проверили все: тайм-ауты (по времени и трафику) с обоих сторон, согласовали интересный <br>&gt;трафик - результата никакого. Может кто сталкивался с чем-то подобным? <br><br>crypto isakmp keepalive<br> https://opennet.dev/openforum/vsluhforumID6/12436.html#15 Wed, 06 Jun 2007 11:36:08 GMT &gt;Та же хрень..... и уменя <br>&gt;в конце дня приходится бутать Pix<br><br>Ну это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.<br>А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?<br> Я работаю с CISCO не так давно и поэтому прошу помощи.<br>Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам. <br> Должно же быть решение.<br>Кстати очень важный вопрос icq 12703147<br><br><br>&gt;&gt;Пока железно помогает перезагрузка Pix515 но это недело. <br>&gt;&gt;<br>&gt;&gt;Какой и на чем нужно софт менять? <br><br><br> https://opennet.dev/openforum/vsluhforumID6/12436.html#14 Wed, 06 Jun 2007 11:35:02 GMT &gt;Та же хрень..... и уменя <br>&gt;в конце дня приходится бутать Pix<br><br>Ну это же УЖАСНО.... оборудование CISCO просто дискредитирует себя.<br>А если сеть не между 2 точками, а допустим 30 и через Pix в интернет выходит много важных сервисов и народу. Да и до вечера ждать. Один или несколькоофис встает до вечера ЭТО же НЕДОПУСТИМО.... ЧТО ДЕЛАТЬ?<br> Я работаю с CISCO не так давно и поэтому прошу помощи.<br>Есть ли у cisco и ли у партнера у которого мы покупаем оборудование (а цисок у него мы покупаем не мало) программы поддержки пользователей. Куда можно обратится к официальным источникам. <br> Должно же быть решение.<br><br><br><br>&gt;&gt;Пока железно помогает перезагрузка Pix515 но это недело. <br>&gt;&gt;<br>&gt;&gt;Какой и на чем нужно софт менять? <br><br><br> https://opennet.dev/openforum/vsluhforumID6/12436.html#13 Fri, 01 Jun 2007 20:54:11 GMT Та же хрень..... и уменя<br>в конце дня приходится бутать PIX<br><br>&gt;&gt;&gt;Чем все закончилось у меня такая-же ошибка с Pix515 в CO и <br>&gt;&gt;&gt;Cisco 18xx series в регионах. <br>&gt;&gt;&gt;постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не <br>&gt;&gt;&gt;помогает... <br>&gt;&gt;&gt;А вот отвязка crypto Map от интерфейса мин на 5 и привязка <br>&gt;&gt;&gt;заново помогла. В чем модет быть дело, как решить проблему? <br>&gt;&gt;<br>&gt;&gt;1. Согласовать lifetime'ы с обеих сторон (второй фазы) <br>&gt;&gt;2. Если не помогло: поменять софт. <br>&gt;<br>&gt;<br>&gt;Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco <br>&gt;18XX (3600) <br>&gt;Я заменил lifetime на cisco 18XX <br>&gt;crypto ipsec security-association lifetime seconds 28000 <br>&gt;затем clear crypro SA <br>&gt;все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi <br>&gt;for destaddr и связи нет. <br>&gt;<br>&gt;Пока железно помогает перезагрузка Pix515 но это недело. <br>&gt;<br>&gt;Какой и на чем нужно софт менять? <br><br><br> https://opennet.dev/openforum/vsluhforumID6/12436.html#12 Fri, 01 Jun 2007 09:01:19 GMT &gt;&gt;Чем все закончилось у меня такая-же ошибка с Pix515 в CO и <br>&gt;&gt;Cisco 18xx series в регионах. <br>&gt;&gt;постоянно глючат VPNы то один то другой.... Перезагрузка Cisco 18xx даже не <br>&gt;&gt;помогает... <br>&gt;&gt;А вот отвязка crypto Map от интерфейса мин на 5 и привязка <br>&gt;&gt;заново помогла. В чем модет быть дело, как решить проблему? <br>&gt;<br>&gt;1. Согласовать lifetime'ы с обеих сторон (второй фазы) <br>&gt;2. Если не помогло: поменять софт. <br><br><br>Да действительно lifetime 2 фазы разные были на PIX 515(28000) и cisco 18XX (3600)<br>Я заменил lifetime на cisco 18XX <br>crypto ipsec security-association lifetime seconds 28000<br>затем clear crypro SA<br>все разно поступают сообщения %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr и связи нет.<br><br>Пока железно помогает перезагрузка Pix515 но это недело.<br><br>Какой и на чем нужно софт менять?