Pytanie : Problem L2L IPSec VPN od Cisco PIX Cisco ASA 5520, od Cisco 877

Kochany Ekspert,

We miewać różnorodny daleki miejsce (Cisco 800s) nasz HQ PIX zapora przez IPSec VPN, i być teraz w trakcie the HQ nowy Internet obwód i Cisco ASA 5520 v8.3 (1).  

I kierować trzy z the cztery tunel the ASA, ale am wtykać na the ostatni jeden, pomimo the konfiguracja dopuszczalny.  Ono można znaczący, ale the 877 omawiany właściwie dać niektóre kłopot gdy ono początkowo łączyć the PIX niektóre czas plecy.  The błąd patrzeć jednakowy the aktualny jeden klajstrować klajstrować, i ostatecznie rozwiązywać robienie the PIX teraźniejszość swój Adres IP the daleki rówieśnik, raczej the hostname.  , Ten sztuczka pojawiać się z the ASA.

It spojrzenie jakby ISAKMP faza (1) uzupełniać, chociaż the parametr dla the propozycja robić match.

Cisco 877 debug sample
Log Odbojnica (100000 bajt):

Jul 21 20:10: 32: ISAKMP: ((0)): Wkład = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 21 20:10: 32: ISAKMP: ((0)): Stary Stan = IKE_R_MM1 Nowy Stan = IKE_R_MM1

Jul 21 20:10: 32: ISAKMP: ((0)): dosłanie IKE_FRAG sprzedawca ID
Jul 21 20:10: 32: ISAKMP: ((0)): budować NAT-T vendor-rfc3947 ID
Jul 21 20:10: 32: ISAKMP: ((0)): dosłanie paczka 2.2.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jul 21 20:10: 32: ISAKMP: ((0)): IKE IPv4 Packet.
Jul 21 20:10: 32: ISAKMP: ((0)): Wkład = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 21 20:10: 32: ISAKMP: ((0)): Stary Stan = IKE_R_MM1 Nowy Stan = IKE_R_MM2

Jul 21 20:10: 34: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP…
Jul 21 20:10: 34: ISAKMP ((0)): zyskiwanie błąd kontuar na suma, próbować 4 5: retransmit faza 1
Jul 21 20:10: 34: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP
Jul 21 20:10: 34: ISAKMP: ((0)): dosłanie paczka 2.2.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jul 21 20:10: 34: ISAKMP: ((0)): IKE IPv4 Packet.
Jul 21 20:10: 40: ISAKMP ((0)): otrzymywać paczka od 2.2.2.2 dport 500 sport 500 Globalny (R) MM_SA_SETUP
Jul 21 20:10: 40: ISAKMP: ((0)): faza (1) paczka być duplikat poprzedzający packet.
Jul 21 20:10: 40: ISAKMP: ((0)): retransmitting opłata retransmit faza 1
Jul 21 20:10: 41: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP…
Jul 21 20:10: 41: ISAKMP ((0)): zyskiwanie błąd kontuar na suma, próbować (1) 5: retransmit faza 1
Jul 21 20:10: 41: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP
Jul 21 20:10: 41: ISAKMP: ((0)): dosłanie paczka 2.2.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jul 21 20:10: 41: ISAKMP: ((0)): IKE IPv4 Packet.
Jul 21 20:10: 44: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP…
Jul 21 20:10: 44: ISAKMP ((0)): zyskiwanie błąd kontuar na suma, próbować 5 5: retransmit faza 1
Jul 21 20:10: 44: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP
Jul 21 20:10: 44: ISAKMP: ((0)): dosłanie paczka 2.2.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jul 21 20:10: 44: ISAKMP: ((0)): IKE IPv4 Packet.
Jul 21 20:10: 45: ISAKMP: ((0)): SUMA., sa=84F7B828, delme=84F7B828
Jul 21 20:10: 45: ISAKMP: ((0)): SUMA., sa=834553BC, delme=834553BC
Jul 21 20:10: 45: ISAKMP: ((0)): SUMA., sa=84CC8650, delme=84CC8650
Jul 21 20:10: 48: ISAKMP ((0)): otrzymywać paczka od 2.2.2.2 dport 500 sport 500 Globalny (R) MM_SA_SETUP
Jul 21 20:10: 48: ISAKMP: ((0)): faza (1) paczka być duplikat poprzedzający packet.
Jul 21 20:10: 48: ISAKMP: ((0)): retransmitting opłata retransmit faza 1
Jul 21 20:10: 49: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP…
Jul 21 20:10: 49: ISAKMP ((0)): zyskiwanie błąd kontuar na suma, próbować 2 5: retransmit faza 1
Jul 21 20:10: 49: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP
Jul 21 20:10: 49: ISAKMP: ((0)): dosłanie paczka 2.2.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jul 21 20:10: 49: ISAKMP: ((0)): IKE IPv4 Packet.
Jul 21 20:10: 54: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP…
Jul 21 20:10: 54: ISAKMP: ((0)): rówieśnik robić paranoid keepalives.

Jul 21 20:10: 54: ISAKMP: ((0)): SUMA powód "Śmierć retransmission P1" stan (R) MM_SA_SETUP (rówieśnik 2.2.2.2)
Jul 21 20:10: 54: ISAKMP: ((0)): SUMA powód "Śmierć retransmission P1" stan (R) MM_SA_SETUP (rówieśnik 2.2.2.2)
Jul 21 20:10: 54: ISAKMP: Otwierać rówieśnik struct 0x84CD087C dla isadb_mark_sa_deleted (), liczyć 0
Jul 21 20:10: 54: ISAKMP: Rówieśnik guzek peer_reap dla 2.2.2.2: 84CD087C
Jul 21 20:10: 54: ISAKMP: ((0)): Wkład = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Jul 21 20:10: 54: ISAKMP: ((0)): Stary Stan = IKE_R_MM2 Nowy Stan = IKE_DEST_SA

Jul 21 20:10: 56: ISAKMP ((0)): otrzymywać paczka od 2.2.2.2 dport 500 sport 500 Globalny (R) MM_SA_SETUP
Jul 21 20:10: 56: ISAKMP: ((0)): faza (1) paczka być duplikat poprzedzający packet.
Jul 21 20:10: 56: ISAKMP: ((0)): retransmitting opłata retransmit faza 1
Jul 21 20:10: 57: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP…
Jul 21 20:10: 57: ISAKMP ((0)): zyskiwanie błąd kontuar na suma, próbować 3 5: retransmit faza 1
Jul 21 20:10: 57: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP
Jul 21 20:10: 57: ISAKMP: ((0)): dosłanie paczka 2.2.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jul 21 20:10: 57: ISAKMP: ((0)): IKE IPv4 Packet.
Jul 21 20:11: 05: ISAKMP ((0)): otrzymywać paczka od 2.2.2.2 dport 500 sport 500 Globalny (N) NOWY SA
Jul 21 20:11: 05: ISAKMP: Tworzyć rówieśnik struct dla 2.2.2.2, rówieśnik portowy 500
Jul 21 20:11: 05: ISAKMP: Nowy rówieśnik tworzyć rówieśnik = 0x84CD087C peer_handle = 0x80000126
Jul 21 20:11: 05: ISAKMP: Rówieśnik struct 0x84CD087C, refcount (1) dla crypto_isakmp_process_block
Jul 21 20:11: 05: ISAKMP: lokalny port 500, pilot portowy 500
Jul 21 20:11: 05: ISAKMP: Znajdować dup suma w the avl drzewo podczas isadb_insert suma = 834553BC
Jul 21 20:11: 05: ISAKMP: ((0)): Wkład = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 21 20:11: 05: ISAKMP: ((0)): Stary Stan = IKE_READY Nowy Stan = IKE_R_MM1

Jul 21 20:11: 05: ISAKMP: ((0)): przerobowy SUMA ładunek użyteczny. wiadomość ID = 0
Jul 21 20:11: 05: ISAKMP: ((0)): przerobowy sprzedawca id payload
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID wydawać się Unity/DPD ale specjalizować się 123 mismatch
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID być NAT-T v2
Jul 21 20:11: 05: ISAKMP: ((0)): przerobowy sprzedawca id payload
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID wydawać się Unity/DPD ale specjalizować się 157 mismatch
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID być NAT-T v3
Jul 21 20:11: 05: ISAKMP: ((0)): przerobowy sprzedawca id payload
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID wydawać się Unity/DPD ale specjalizować się 69 mismatch
Jul 21 20:11: 05: ISAKMP ((0)): sprzedawca ID być NAT-T RFC 3947
Jul 21 20:11: 05: ISAKMP: ((0)): przerobowy sprzedawca id payload
Jul 21 20:11: 05: ISAKMP: ((0)): IKE frag sprzedawca id payload
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID być IKE Fragmentation
Jul 21 20:11: 05: ISAKMP: ((0)): AM Odłamkowy supported
Jul 21 20:11: 05: ISAKMP: ((0)): znajdować rówieśnik znajdować kluczowy 2.2.2.2
Jul 21 20:11: 05: ISAKMP: ((0)): lokalny lokalny kluczowy found
Jul 21 20:11: 05: ISAKMP: Skanerowanie profil dla xauth… isakmp isakmp_2
Jul 21 20:11: 05: ISAKMP: ((0)): Sprawdzać ISAKMP przekształcać (1) przeciw priorytet 8 policy
Jul 21 20:11: 05: ISAKMP:      brak grupa 5
Jul 21 20:11: 05: ISAKMP:      utajnianie AES-CBC
Jul 21 20:11: 05: ISAKMP:      keylength 256
Jul 21 20:11: 05: ISAKMP:      hash SHA
Jul 21 20:11: 05: ISAKMP:      auth pre-share
Jul 21 20:11: 05: ISAKMP:      życie pisać na maszynie wewnątrz seconds
Jul 21 20:11: 05: ISAKMP:      życie trwanie (VPI) 0x0 0x1 0x51 0x80
Jul 21 20:11: 05: ISAKMP: ((0)): Utajnianie algorytm oferować dopasowywać polisa!
Jul 21 20:11: 05: ISAKMP: ((0)): atts być dopuszczalny. Następny ładunek użyteczny być 3
Jul 21 20:11: 05: ISAKMP: ((0)): Sprawdzać ISAKMP przekształcać 2 przeciw priorytet 8 policy
Jul 21 20:11: 05: ISAKMP:      brak grupa 2
Jul 21 20:11: 05: ISAKMP:      utajnianie 3DES-CBC
Jul 21 20:11: 05: ISAKMP:      hash MD5
Jul 21 20:11: 05: ISAKMP:      auth pre-share
Jul 21 20:11: 05: ISAKMP:      życie pisać na maszynie wewnątrz seconds
Jul 21 20:11: 05: ISAKMP:      życie trwanie (VPI) 0x0 0x1 0x51 0x80
Jul 21 20:11: 05: ISAKMP: ((0)): atts być dopuszczalny. Następny ładunek użyteczny być 0
Jul 21 20:11: 05: ISAKMP: ((0)): Dopuszczalny atts: faktyczny życie: 0
Jul 21 20:11: 05: ISAKMP: ((0)): Dopuszczalny atts: życie: 0
Jul 21 20:11: 05: ISAKMP: ((0)): Pełnia atts w suma vpi_length: 4
Jul 21 20:11: 05: ISAKMP: ((0)): Pełnia atts w suma life_in_seconds: 86400
Jul 21 20:11: 05: ISAKMP: ((0)): Faktyczny życie: 86400
Jul 21 20:11: 05: ISAKMP: ((0)):: Zaczynać życie zegar: 86400.

Jul 21 20:11: 05: ISAKMP: ((0)): przerobowy sprzedawca id payload
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID wydawać się Unity/DPD ale specjalizować się 123 mismatch
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID być NAT-T v2
Jul 21 20:11: 05: ISAKMP: ((0)): przerobowy sprzedawca id payload
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID wydawać się Unity/DPD ale specjalizować się 157 mismatch
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID być NAT-T v3
Jul 21 20:11: 05: ISAKMP: ((0)): przerobowy sprzedawca id payload
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID wydawać się Unity/DPD ale specjalizować się 69 mismatch
Jul 21 20:11: 05: ISAKMP ((0)): sprzedawca ID być NAT-T RFC 3947
Jul 21 20:11: 05: ISAKMP: ((0)): przerobowy sprzedawca id payload
Jul 21 20:11: 05: ISAKMP: ((0)): IKE frag sprzedawca id payload
Jul 21 20:11: 05: ISAKMP: ((0)): sprzedawca ID być IKE Fragmentation
Jul 21 20:11: 05: ISAKMP: ((0)): AM Odłamkowy supported
Jul 21 20:11: 05: ISAKMP: ((0)): Wkład = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 21 20:11: 05: ISAKMP: ((0)): Stary Stan = IKE_R_MM1 Nowy Stan = IKE_R_MM1

Jul 21 20:11: 05: ISAKMP: ((0)): dosłanie IKE_FRAG sprzedawca ID
Jul 21 20:11: 05: ISAKMP: ((0)): budować NAT-T vendor-rfc3947 ID
Jul 21 20:11: 05: ISAKMP: ((0)): dosłanie paczka 2.2.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jul 21 20:11: 05: ISAKMP: ((0)): IKE IPv4 Packet.
Jul 21 20:11: 05: ISAKMP: ((0)): Wkład = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 21 20:11: 05: ISAKMP: ((0)): Stary Stan = IKE_R_MM1 Nowy Stan = IKE_R_MM2

Jul 21 20:11: 07: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP…
Jul 21 20:11: 07: ISAKMP ((0)): zyskiwanie błąd kontuar na suma, próbować 4 5: retransmit faza 1
Jul 21 20:11: 07: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP
Jul 21 20:11: 07: ISAKMP: ((0)): dosłanie paczka 2.2.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jul 21 20:11: 07: ISAKMP: ((0)): IKE IPv4 Packet.
Jul 21 20:11: 13: ISAKMP ((0)): otrzymywać paczka od 2.2.2.2 dport 500 sport 500 Globalny (R) MM_SA_SETUP
Jul 21 20:11: 13: ISAKMP: ((0)): faza (1) paczka być duplikat poprzedzający packet.
Jul 21 20:11: 13: ISAKMP: ((0)): retransmitting opłata retransmit faza 1
Jul 21 20:11: 14: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP…
Jul 21 20:11: 14: ISAKMP ((0)): zyskiwanie błąd kontuar na suma, próbować (1) 5: retransmit faza 1
Jul 21 20:11: 14: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP
Jul 21 20:11: 14: ISAKMP: ((0)): dosłanie paczka 2.2.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jul 21 20:11: 14: ISAKMP: ((0)): IKE IPv4 Packet.
Jul 21 20:11: 17: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP…
Jul 21 20:11: 17: ISAKMP ((0)): zyskiwanie błąd kontuar na suma, próbować 5 5: retransmit faza 1
Jul 21 20:11: 17: ISAKMP: ((0)): retransmitting faza (1) MM_SA_SETUP
Jul 21 20:11: 17: ISAKMP: ((0)): dosłanie paczka 2.2.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jul 21 20:11: 17: ISAKMP: ((0)): Wysyłać IKE IPv4 Packet.

Cisco ASA 5520 debug sample
Jul 21 19:01: 53 [IKEv1 DEBUG]: Miotacz: otrzymywać klucz zdobywać wiadomość, spi 0x0
Jul 21 19:01: 53 [IKEv1]: IP = 1.1.1.1, KEY-ACQUIRE wiadomość gdy P1 SUMA być complete.
Jul 21 19:01: 53 [IKEv1 DEBUG]: Miotacz: otrzymywać klucz zdobywać wiadomość, spi 0x0

In fact tam  być mały w the sposób błąd na the ASA strona!

I klajstrować niektóre asenizować configs dalej tutaj jeżeli prosić.  Dziękować ty dla twój pomoc!

Odpowiedź : Problem L2L IPSec VPN od Cisco PIX Cisco ASA 5520, od Cisco 877

zadawalać dawać the ASA i 877 config