Problema VPN IPSec - site to site - verso cyberoam

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
liscio
Cisco fan
Messaggi: 73
Iscritto il: mer 29 mar , 2006 5:43 pm
Località: ancona

Ciao a tutti,
sto tentando di mettere in piedi un tunnel vpn tra il nostro router (cisco 2801) e un apparato cyberoam.
Sul nostro router abbiamo già diversi tunnel VPN site-to-site con altre reti, e anche le dynamic map per i vari vpn-client, senza particolari problemi.
Ho provato anche a fare una configurazione "pulita" ovvero, senza altri tunnel, senza nat, senza niente... ma ho sempre lo stesso problema: il tunnel non mi va su.
Il debug isakmp mi scrive questo... da che parte dovrei guardare, secondo voi?

Grazie mille

Andrea.



Apr 1 14:48:12.542: ISAKMP:(0): SA request profile is (NULL)
Apr 1 14:48:12.542: ISAKMP: Created a peer struct for xxx.xxx.xxx.xxx, peer port 500
Apr 1 14:48:12.542: ISAKMP: New peer created peer = 0x661C2D4C peer_handle = 0x80000003
Apr 1 14:48:12.542: ISAKMP: Locking peer struct 0x661C2D4C, refcount 1 for isakmp_initiator
Apr 1 14:48:12.542: ISAKMP: local port 500, remote port 500
Apr 1 14:48:12.542: ISAKMP: set new node 0 to QM_IDLE
Apr 1 14:48:12.542: insert sa successfully sa = 66DF4F5C
Apr 1 14:48:12.542: ISAKMP:(0):Can not start Aggressive mode, trying Main mode.
Apr 1 14:48:12.542: ISAKMP:(0):found peer pre-shared key matching xxx.xxx.xxx.xxx
Apr 1 14:48:12.542: ISAKMP:(0): constructed NAT-T vendor-07 ID
Apr 1 14:48:12.542: ISAKMP:(0): constructed NAT-T vendor-03 ID
Apr 1 14:48:12.546: ISAKMP:(0): constructed NAT-T vendor-02 ID
Apr 1 14:48:12.546: ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
Apr 1 14:48:12.546: ISAKMP:(0):Old State = IKE_READY New State = IKE_I_MM1
Apr 1 14:48:12.546: ISAKMP:(0): beginning Main Mode exchange
Apr 1 14:48:12.546: ISAKMP:(0): sending packet to xxx.xxx.xxx.xxx my_port 500 peer_port 500 (I) MM_NO_STATE
Apr 1 14:48:22.546: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
Apr 1 14:48:22.546: ISAKMP (0:0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
Apr 1 14:48:22.546: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
Apr 1 14:48:22.546: ISAKMP:(0): sending packet to xxx.xxx.xxx.xxx my_port 500 peer_port 500 (I) MM_NO_STATE
Apr 1 14:48:32.546: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
Apr 1 14:48:32.546: ISAKMP (0:0): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
Apr 1 14:48:32.546: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
Apr 1 14:48:32.546: ISAKMP:(0): sending packet to xxx.xxx.xxx.xxx my_port 500 peer_port 500 (I) MM_NO_STATE
Apr 1 14:48:42.542: ISAKMP: set new node 0 to QM_IDLE
Apr 1 14:48:42.542: ISAKMP:(0):SA is still budding. Attached new ipsec request to it. (local yyy.yyy.yyy.yyy, remote xxx.xxx.xxx.xxx)
Apr 1 14:48:42.542: ISAKMP: Error while processing SA request: Failed to initialize SA
Apr 1 14:48:42.542: ISAKMP: Error while processing KMI message 0, error 2.
Apr 1 14:48:42.546: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
Apr 1 14:48:42.546: ISAKMP (0:0): incrementing error counter on sa, attempt 3 of 5: retransmit phase 1
Apr 1 14:48:42.546: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
Apr 1 14:48:42.546: ISAKMP:(0): sending packet to xxx.xxx.xxx.xxx my_port 500 peer_port 500 (I) MM_NO_STATE
Apr 1 14:48:52.543: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
Apr 1 14:48:52.543: ISAKMP (0:0): incrementing error counter on sa, attempt 4 of 5: retransmit phase 1
Apr 1 14:48:52.543: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
Apr 1 14:48:52.543: ISAKMP:(0): sending packet to xxx.xxx.xxx.xxx my_port 500 peer_port 500 (I) MM_NO_STATE
Apr 1 14:49:02.539: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
Apr 1 14:49:02.539: ISAKMP (0:0): incrementing error counter on sa, attempt 5 of 5: retransmit phase 1
Apr 1 14:49:02.539: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
Apr 1 14:49:02.539: ISAKMP:(0): sending packet to xxx.xxx.xxx.xxx my_port 500 peer_port 500 (I) MM_NO_STATE
Apr 1 14:49:02.539: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
Apr 1 14:49:02.539: ISAKMP:(0): sending packet to xxx.xxx.xxx.xxx my_port 500 peer_port 500 (I) MM_NO_STATE
Apr 1 14:49:12.539: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
Apr 1 14:49:12.539: ISAKMP:(0):peer does not do paranoid keepalives.
Apr 1 14:49:12.539: ISAKMP:(0):deleting SA reason "Death by retransmission P1" state (I) MM_NO_STATE (peer xxx.xxx.xxx.xxx)
Apr 1 14:49:12.539: ISAKMP:(0):deleting SA reason "Death by retransmission P1" state (I) MM_NO_STATE (peer xxx.xxx.xxx.xxx)
Apr 1 14:49:12.539: ISAKMP: Unlocking peer struct 0x661C2D4C for isadb_mark_sa_deleted(), count 0
Apr 1 14:49:12.539: ISAKMP: Deleting peer node by peer_reap for xxx.xxx.xxx.xxx: 661C2D4C
Apr 1 14:49:12.539: ISAKMP:(0):deleting node 1488023546 error FALSE reason "IKE deleted"
Apr 1 14:49:12.539: ISAKMP:(0):deleting node -227835848 error FALSE reason "IKE deleted"
Apr 1 14:49:12.539: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Apr 1 14:49:12.539: ISAKMP:(0):Old State = IKE_I_MM1 New State = IKE_DEST_SA
Apr 1 14:50:02.533: ISAKMP:(0):purging node 1488023546
Apr 1 14:50:02.533: ISAKMP:(0):purging node -227835848
Apr 1 14:50:12.532: ISAKMP:(0):purging SA., sa=66DF4F5C, delme=66DF4F5C
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Io cercherei di capire le ragioni di questo:

Codice: Seleziona tutto

Apr 1 14:48:42.542: ISAKMP: Error while processing SA request: Failed to initialize SA
Apr 1 14:48:42.542: ISAKMP: Error while processing KMI message 0, error 2.
Rizio
Si vis pacem para bellum
liscio
Cisco fan
Messaggi: 73
Iscritto il: mer 29 mar , 2006 5:43 pm
Località: ancona

mmm si, aveva attratto anche la mia attenzione, ma non ho idea di cosa significhi. ho provatto a googlare un po' ma trovo un sacco di roba, ma niente di risolutivo... mi aspettavo di trovare una tabella di decodifica errori, o comunque qualcosa di più dettagliato...
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

liscio ha scritto:mmm si, aveva attratto anche la mia attenzione, ma non ho idea di cosa significhi. ho provatto a googlare un po' ma trovo un sacco di roba, ma niente di risolutivo... mi aspettavo di trovare una tabella di decodifica errori, o comunque qualcosa di più dettagliato...
Prova a spulciare qui:
http://tools.cisco.com/search/JSP/searc ... anguage=en

Per il resto imho c'è un problema di associazione, verifica eventuali chiavi o protocolli di crittazione. Verifica che siano allineati i due dispositivi tra loro (come capability)

Rizio
Si vis pacem para bellum
stefanonatalie
n00b
Messaggi: 1
Iscritto il: mar 06 dic , 2011 3:10 pm

Ciao a tutti....ho lo stesso problema.

Come avete risolto?
liscio
Cisco fan
Messaggi: 73
Iscritto il: mer 29 mar , 2006 5:43 pm
Località: ancona

ciao,
mi dispiace, ma non ho mai risolto... ho lasciato perdere e risolto il problema "contingente", in un altro modo, senza l'uso di vpn site-to-site. Mi riservo di rimetterci le mani più avanti, prima o poi...

Andrea.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao,
se l'errore è quello sembra un problema di configurazione nella creazione dei SA, probabilmente.
Se posti la configurazione della parte VPN possiamo vedere.

Buona giornata
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Rispondi