Kegagalan VPN situs-ke-situs Cisco ASA

21

Kami baru-baru ini mengganti MPLS internasional dengan ASA 5510s baru dan VPN situs ke situs. Namun, ketika kami menggunakan ini, kami mengalami masalah di mana setiap lokasi terpencil memiliki 2 ISP untuk redundansi, tetapi ketika mengaktifkan VPN pada kedua antarmuka, ia berganti antara keduanya dan terowongan naik dan turun saat terowongan dihancurkan dan dipindahkan antara ISP. Cisco telah mengerjakan ini selama 8 bulan sekarang dan kami masih belum memiliki terowongan yang stabil dengan banyak ISP.

Remote Office: 

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

Kantor pusat: 

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

Jadi apa yang saya temukan adalah bahwa ketika ISAKMP diaktifkan di kedua antarmuka luar (kantor jarak jauh) dan kedua IP dikonfigurasi sebagai rekan (kantor pusat) VPN berhasil muncul pada kedua antarmuka, tetapi pada titik tertentu akan mulai mengepakkan antara IP. Ini benar dengan atau tanpa Monitoring SLA, jadi bahkan jika semua rute statis, perilaku tetap terjadi.

Setiap wawasan dihargai.

cisco  cisco-asa  vpn  failover  redundancy 
Scott Boultinghouse
sumber
Untuk membantu mendiagnosis masalah, coba aktifkan fungsi "crypto isakmp disconnect-notify" dan beri tahu kami apa yang Anda temukan. Saya sangat ingin tahu mengapa terowongan-terowongan itu akhirnya mulai mengepak.
skrumcd

Jawaban:

14

Saya telah memigrasi situs yang jauh dari VPN berbasis kebijakan hanya untuk alasan ini. VPN berbasis kebijakan terlalu tidak dapat diprediksi dalam hal perilaku failover. Saya lebih suka terowongan IPsec berbasis rute, baik point-to-point atau DMVPN. Sayangnya, setahu saya platform ASA masih tidak mendukung terowongan berbasis rute.

Jeremy Stretch
sumber
9

Saya akan merekomendasikan menggunakan solusi DMVPN untuk menghubungkan situs jarak jauh melalui terowongan IPSec L2L (Lan-to-Lan) antara ASA. Solusi DMVPN jauh lebih mudah, lebih bersih, dan akan memungkinkan komunikasi bicara dengan bicara juga.

twidfeki
sumber
Bisakah Anda menguraikan pemikiran mendasar di balik ini dan bagaimana ini akan diterapkan?
SimonJGreen
Dengan solusi DMVPN, semua konfigurasi dilakukan di sisi klien (jari-jari), Anda tidak perlu melakukan perubahan apa pun ke hub setelah pengaturan awal. Untuk klien, Anda bisa membuat templat untuk digunakan berulang-ulang. Anda dapat memiliki beberapa terowongan dari ruji ke beberapa hub dan menggunakan protokol perutean untuk menentukan terowongan mana yang akan mengarahkan lalu lintas. Selain itu, Anda dapat mengkonfigurasi DMVPN untuk menggunakan multipoint GRE dan jari-jari dapat berbicara satu sama lain secara langsung tanpa melewati lalu lintas melalui hub.
twidfeki
4

Bisa jadi:

CSCub92666

ASA: Koneksi lama merobohkan terowongan IPSEC vpn saat peralihan

Gejala: Dalam terowongan IPsec vpn gagal karena konfigurasi pada ASA, gagal dari primer ke cadangan bekerja. Tetapi setelah gagal kedua dari cadangan ke tautan primer, vpn tunnel mulai mengepak dalam beberapa menit dan tetap tidak stabil. Perilaku ini diamati karena koneksi sisa lama masih menunjuk ke ISP cadangan.

t0i
sumber
2

Saya setuju dengan pernyataan di atas. Pergi IPSEC berbasis VTI sederhana atau DMVPN alternatif. Hanya ingat untuk menjalankan instance procotol routing yang berbeda di dalam dan tanpa terowongan. Ya, Anda harus mengganti ASA dengan ISR.

Apakah kedua ISP akan kembali ke satu atau dua kantor pusat ASA? Jika dua saya merasa sulit untuk melihat (dengan konfigurasi yang tersedia setidaknya) bagaimana perilaku ini bisa terjadi, tetapi jika itu ASA yang sama (atau pasangan yang sama) itu bisa terkait.

musim dingin000
sumber
Ya, kami memiliki pasangan HA di lokasi pusat. Perutean BGP menyembunyikan beberapa ISP di sana, tetapi untuk kantor jarak jauh ISP berakhir langsung ke ASA.
Scott Boultinghouse
Saya akan membagi headend sehingga koneksi ISP lain diakhiri pada perangkat yang berbeda atau setidaknya masuk pada antarmuka fisik / IP yang berbeda pada ASA. Itu seharusnya membantu / mencoba perangkat terminasi yang berbeda harus bebas / tidak mengganggu, cukup gunakan ISR cadangan untuk sekarang
wintermute000
2

Sebagai tindak lanjut dari pertanyaan ini, saya telah bekerja dengan Cisco TAC dalam hal ini selama lebih dari setahun. Mereka akhirnya mengidentifikasi bahwa ini adalah bug dengan cara platform ASA menangani koneksi. pada dasarnya itu tidak membersihkan koneksi dari satu antarmuka ketika memindahkan terowongan ke antarmuka lain dan itu akan lepas kendali ketika mulai melihat entri dalam tabel koneksi dari kedua antarmuka.

Saya telah menggunakan iOS versi 8.4.7 di firewall dengan dua ISP dan tampaknya bekerja dengan baik. Failover terjadi ketika antarmuka utama turun, dan kemudian bergerak kembali ketika antarmuka itu kembali DAN tersisa di antarmuka itu. Kita lihat saja nanti.

Scott Boultinghouse
sumber
1
Apakah Anda memiliki ID bugtack untuk bug yang TAC kerjakan?
Apakah terowongan mendahului dari Cadangan ke primer saat primer dipulihkan?
Federi
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.