¿Cómo puedo restablecer un túnel VPN en un Cisco ASA?

16

En una VPN de sitio a sitio que usa un ASA 5520 y 5540, respectivamente, noté que de vez en cuando el tráfico ya no pasa, a veces incluso falta tráfico solo para una selección de tráfico / ACL específica, mientras que otro tráfico sobre Se está ejecutando la misma VPN. Sucede a pesar de que hay un ping constante en ejecución. La razón podría ser que se ejecuta a través de un enlace satelital que no es perfectamente estable.

¿Cómo puedo restablecer la VPN al estado de funcionamiento, en lugar de volver a cargar uno de los ASA?

Stefan
fuente

Respuestas:

28

La VPN se puede restablecer ingresando

clear crypto ipsec sa peer <remote-peer-IP>

en un lado. El siguiente tráfico hará que el túnel IPSEC se restablezca.

Puede hacerlo de su lado, ingresando la IP remota. O inicie sesión en el sitio remoto, pero posiblemente tenga que hacerlo fuera de la VPN, de modo que use una interfaz diferente, por ejemplo, usando la IP pública en lugar de la IP a la que se conecta a través del túnel.

Habrá una corta interrupción de VPN mientras se restablece el túnel. Después de ingresar ese comando, asegúrese de que el túnel vuelva a funcionar, como hacer un ping a través de él.

Stefan
fuente
14

Puede restablecer el túnel a través del software ASDM, así como en la línea de comando.

En el ASDM (Versión 6.3):

  1. Vaya a Monitoreo, luego seleccione VPN de la lista de Interfaces
  2. Luego expanda las estadísticas de VPN y haga clic en Sesiones.
  3. Elija el tipo de túnel que está buscando en el menú desplegable a la derecha (IPSEC Site-to-Site, por ejemplo).
  4. Haga clic en el túnel que desea restablecer y luego haga clic en Cerrar sesión para restablecer el túnel.

Esto provocará una interrupción temporal de la conexión VPN, pero en la mayoría de los casos que he visto, solo está haciendo esto porque el túnel ya está inactivo.

Sin embargo, a fin de cuentas, es más fácil iniciar sesión en la CLI y restablecer el túnel, pero conozco a algunas personas que son adictas al ASDM.

Fuente

Brett Lykins
fuente
9

Acabo de encontrar una nueva forma que nunca antes conocía y ofrece la misma información que encuentra en la interfaz ASDM, incluida la función para cerrar una sesión vpn.

Emita esto, por ejemplo, para obtener una lista de túneles vpn de sitio a sitio que estén activos.

show vpn-sessiondb l2l

ejemplo de salida:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

Luego, para cerrar sesión en ese túnel VPN, puede ejecutar lo siguiente para cerrar sesión en función del índice que se muestra arriba.

vpn-sessiondb logoff index 330
Jim Scott
fuente
8

Al hacerlo clear ipsec sa peer <peer IP>, solo se restablecerá la parte IPSec.

No hay una manera de despejar solo un túnel isakmp.

Por lo tanto, la mejor manera que conozco es eliminar el par del mapa criptográfico y volver a aplicarlo.

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

De esta manera, puede sacar al par, esperar a que el túnel baje y agotar el tiempo de espera, luego volver a aplicarlo. Este método le da más control sobre el comportamiento de los túneles.

túnel
fuente
7

En 8.4 puede restablecer una sola conexión ISAKMP a través de:

clear cry ikev1 sa <ip>

O si usa ikev2, entonces:

clear cry ikev2 sa <ip>

En versiones anteriores, creo que el comando es simplemente:

clear cry isa sa <ip>

También en lo que respecta a la respuesta de Stefan, si realiza un borrado en un dispositivo remoto a través de la VPN que está restableciendo, normalmente restablecerá la VPN y su sesión SSH continuará de manera instantánea instantánea o como máximo en segundos. Lo hago con bastante frecuencia en los enrutadores ISR G1 y G2 todo el tiempo al modificar sus túneles.

some_guy_long_gone
fuente
44
En el ASA, el clear crypto isakmp sacomando anterior no acepta un argumento para que el igual se restablezca. Restablece todas las sesiones ISAKMP.
James Sneeringer