Всем привет!
Люди, подскажите в чем траблы

Есть 2801 в головном офисе и есть много 851 в разных точках города, между которыми установлены VPN (VPN между точкой и ГО).
На тех которые подключаются через DSL модемы проблем нет. А одна 851-я подключается через CDMA модем, и VPN на ней судя по всему постоянно падает и поднимается. Соответственно отсюда траблы в работе сети. Хотя лампочка VPN на циске горит постоянно.

В логах вот такие сообщения:

%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=89.205.36.YY, prot=51, spi=0x1EF4C05C(519356508), srcaddr=195.46.12.XX

%CRYPTO-4-IKMP_NO_SA: IKE message from 195.46.12.XX has no SA and is not an initialization offer

Заранее благодарю!

• Траблы с VPN,Николай, 16:33 , 01-Сен-10
  • Траблы с VPN,merko, 16:37 , 01-Сен-10
    • Траблы с VPN,AlexDv, 17:54 , 01-Сен-10
      • Траблы с VPN,merko, 18:08 , 01-Сен-10
        • Траблы с VPN,merko, 04:28 , 02-Сен-10
          • Траблы с VPN,merko, 04:30 , 02-Сен-10
            • Траблы с VPN,merko, 16:34 , 02-Сен-10
              • Траблы с VPN,merko, 09:53 , 03-Сен-10
                • Траблы с VPN,Nikita, 19:19 , 17-Фев-11
                  • Траблы с VPN,Andrey, 15:37 , 29-Янв-13

>[оверквотинг удален]
>
>В логах вот такие сообщения:
>
>%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=89.205.36.YY, prot=51, spi=0x1EF4C05C(519356508),
>srcaddr=195.46.12.XX
>
>%CRYPTO-4-IKMP_NO_SA: IKE message from 195.46.12.XX has no SA and is not an
>initialization offer
>
>Заранее благодарю!

crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10

Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо быстрее

>crypto isakmp invalid-spi-recovery
>crypto isakmp keepalive 10
>
>Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо
>быстрее

реинициализация ВПН соединения проходит и так достаточно быстро.
интересно бы выяснить как раз причину падения VPN...
какие могут быть возможные причины?

>>crypto isakmp invalid-spi-recovery
>>crypto isakmp keepalive 10
>>
>>Вопрос падения канала конечно не решит но реинициализация ВПН соединения пройдет гараздо
>>быстрее
>
>реинициализация ВПН соединения проходит и так достаточно быстро.
>интересно бы выяснить как раз причину падения VPN...
>какие могут быть возможные причины?

Скайлинк что-ли? Рвется сессия (сама, по причине плохой связи или операторм, по таймауту),
модему выдается новый ИП-адрес, вот ИПСЕК и ругается.

>Скайлинк что-ли? Рвется сессия (сама, по причине плохой связи или операторм, по
>таймауту),
>модему выдается новый ИП-адрес, вот ИПСЕК и ругается.

Связь с провайдером стабильная. IP статический.
Падает и поднимается только VPN ipsec.

Еще  заметил,  что  ночью  VPN  работает более менее стабильно, но как
начинается рабочий день (после 8-ми утра) сообщения в логах появляются
на глазах. И VPN постоянно переподключается.

Liftime 1 и 2 фаз с обоих сторон одинаковые.
Пробовал добавлять:
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10 periodic
Ситуация не меняется...

#sh crypto engine connections active
Crypto Engine Connections

   ID Interface  Type  Algorithm           Encrypt  Decrypt IP-Address
  853 Di1        IPsec SHA+3DES+SHA              0        6 89.207.361.YY
  854 Di1        IPsec SHA+3DES+SHA              2        0 89.207.361.YY
  2881 Di1        IKE   SHA+3DES                 0        0 89.207.361.YY

Смотрю сессию два раза подряд:

Router#sh crypto session
Crypto session current status

Interface: Virtual-Access1
Session status: DOWN
Peer: 195.46.12.XX port 500
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 0, origin: crypto map

Interface: Dialer1
Session status: DOWN
Peer: 195.46.12.XX port 500
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 0, origin: crypto map

Router#sh crypto session
Crypto session current status

Interface: Virtual-Access1
Session status: DOWN
Peer: 195.46.12.XX port 500
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 0, origin: crypto map

Interface: Dialer1
Session status: UP-ACTIVE
Peer: 195.46.12.XX port 500
  IKE SA: local 89.207.361.YY/500 remote 195.46.12.XX/500 Active
  IPSEC FLOW: permit 47 host 89.207.361.YY host 195.46.12.XX
        Active SAs: 4, origin: crypto map

В общем вчера и сегодня мониторил. VPN постоянно переподключается с 8:10 утра и до 17:30 вечера. Ночью все спокойно.
Мистика какая-то прям.
Есть у кого-нибудь какие-нибудь мысли?

UP
Ну что? Нет идей?
Остается грешить на качество связи с провайдером. Может быть что-то включают рядом, что создает помехи...

> UP
> Ну что? Нет идей?
> Остается грешить на качество связи с провайдером. Может быть что-то включают рядом,
> что создает помехи...

Господа, прошу прощения за некропостинг, но может, кому-нибудь поможет? У меня была та же фигня, пока на обоих роутерах не выставил правильное время. До этого время различалось на 3 часа и сообщения типа
*Feb 17 16:05:13.850: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha^s invalid spi for destaddr=x.x.x.x, prot=17, spi=0x494A8E72(1229622898), srcaddr=y.y.y.y
сыпались каждую минуту.

>> UP
>> Ну что? Нет идей?
>> Остается грешить на качество связи с провайдером. Может быть что-то включают рядом,
>> что создает помехи...
> Господа, прошу прощения за некропостинг, но может, кому-нибудь поможет? У меня была
> та же фигня, пока на обоих роутерах не выставил правильное время.
> До этого время различалось на 3 часа и сообщения типа
> *Feb 17 16:05:13.850: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha^s invalid
> spi for destaddr=x.x.x.x, prot=17, spi=0x494A8E72(1229622898), srcaddr=y.y.y.y
> сыпались каждую минуту.

Некроспасибо! Помогло в решении проблемы.