HSRP + IPSec stateful failover + SNAT

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
Francesco87
Cisco fan
Messaggi: 59
Iscritto il: mar 10 apr , 2007 9:13 am
Località: Ethernet 0/0

Ciao, sto tentando di configurare una coppia di 1800 per realizzare una sorta di vpn gateway ridondato utilizzando le tre tecnologie in oggetto.

Tutto pare funzionare correttamente finchè dopo un po di tempo (randomico, non una periodo ben preciso) l'hsrp inizia a loggare:

Jul 19 18:41:30 192.168.1.106 2067: Jul 19 18:41:21 CEST: HSRP: Fa0/1 Grp 2 MAC addr update Re-adding 0000.0c07.ac02
Jul 19 18:41:30 192.168.1.106 2068: Jul 19 18:41:21 CEST: HSRP: Fa0/1 Grp 2 Adding 0000.0c07.ac02 to MAC address filter
Jul 19 18:41:30 192.168.1.106 2069: Jul 19 18:41:21 CEST: HSRP: Fa0/1 Grp 2 MAC addr update Re-adding 0000.0c07.ac02
Jul 19 18:41:30 192.168.1.106 2070: Jul 19 18:41:21 CEST: HSRP: Fa0/1 Grp 2 Adding 0000.0c07.ac02 to MAC address filter
Jul 19 18:41:30 192.168.1.106 2071: Jul 19 18:41:21 CEST: HSRP: Fa0/0 Grp 1 Redundancy enquiry for HA-INTERNAL succeeded
Jul 19 18:41:30 192.168.1.106 2072: Jul 19 18:41:22 CEST: HSRP: Fa0/1 Grp 2 MAC addr update Re-adding 0000.0c07.ac02
Jul 19 18:41:30 192.168.1.106 2073: Jul 19 18:41:22 CEST: HSRP: Fa0/1 Grp 2 Adding 0000.0c07.ac02 to MAC address filter
Jul 19 18:41:30 192.168.1.106 2074: Jul 19 18:41:22 CEST: HSRP: Fa0/1 Grp 2 MAC addr update Re-adding 0000.0c07.ac02

le VPN non sono più disponibili anche se il main router rimane active per tutti i gruppi hsrp e il failover rimane in standby.

La cosa sconcertante è che questo comportamento si verifica anche quando lascio acceso uno solo dei router della coppia!!

Mai visto nulla del genere? IOS bacato?

Grazie

Saluti
Francesco
The netmask in Cisco access lists are inverted. Nobody knows why, they just are.
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

le VPN sono irraggiungibili anche se usi l'IP fisico, invece del virtuale?
Avatar utente
Francesco87
Cisco fan
Messaggi: 59
Iscritto il: mar 10 apr , 2007 9:13 am
Località: Ethernet 0/0

Purtroppo l'altro capo della VPN non è gestita da me e non mi è possibile fare quel test, soprattutto perchè è tutta roba ormai in produzione.

Tra le righe di un bug noto della mia versione di IOS ho visto che la configurazione di IPSec stateful failover + SNAT non è del tutto supportata, anche se la pagina ufficiale di Cisco che illustra la tecnologia non elenca questa limitazione...
The netmask in Cisco access lists are inverted. Nobody knows why, they just are.
Rispondi