Recentemente, substituímos o MPLS internacional por novos ASA 5510s e VPNs site a site. No entanto, quando implantamos isso, encontramos um problema em que cada local remoto possui 2 ISPs para redundância, mas ao ativar a VPN nas duas interfaces, ele alterna entre os dois e o túnel fica para cima e para baixo quando o túnel é destruído e movido entre ISPs. A Cisco trabalha nisso há 8 meses e ainda não temos túneis estáveis com vários ISPs.
Escritório remoto:
access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
pre-shared-key *****
route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
type echo protocol ipIcmpEcho 63.251.61.142 interface outside
num-packets 5
timeout 1000
frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability
Escritório Central:
access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS
route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L
tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
pre-shared-key *****
Então, o que descobri é que, quando o ISAKMP é ativado nas interfaces externas (escritório remoto) e nos dois IPs configurados como pares (escritório central), a VPN aparece com êxito nas duas interfaces, mas em algum momento começará a mudar entre os IPs. Isso ocorre com ou sem o SLA Monitoring, portanto, mesmo se as rotas estiverem todas estáticas, o comportamento ainda ocorrerá.
Qualquer insight é apreciado.
Respostas:
Eu tenho migrado sites para longe de VPNs baseadas em políticas por esse motivo. As VPNs baseadas em políticas são imprevisíveis quando se trata de comportamento de failover. Eu prefiro túneis IPsec baseados em rota, ponto a ponto ou DMVPN. Infelizmente, até onde sei, a plataforma ASA ainda não suporta túneis baseados em rotas.
fonte
Eu recomendaria o uso de uma solução DMVPN para conectar sites remotos através de túneis IPSec L2L (Lan para Lan) entre ASAs. A solução DMVPN é muito mais fácil, limpa e também permitirá a comunicação spoke-spoke.
fonte
Poderia ser:
CSCub92666
ASA: Conexões antigas derrubam o túnel IPSEC vpn na transição
Sintoma: Na configuração de failover do túnel IPsec vpn no ASA, o failover do link primário para o backup funciona. Porém, após o segundo failover do backup para o túnel VPN do link primário, comece a bater em alguns minutos e permanece instável. O comportamento é observado devido à antiga conexão restante que ainda aponta para o ISP de backup.
fonte
Eu concordo com as afirmações acima. Vá para IPSEC baseado em VTI simples ou, em alternativa, DMVPN. Lembre-se de executar diferentes instâncias de procotol de roteamento dentro e fora dos túneis. Sim, você terá que substituir os ASAs por ISRs.
Os dois ISPs estão voltando para um único escritório central ASA ou dois? Se dois, acho difícil ver (com a configuração disponível pelo menos) como esse comportamento pode ocorrer, mas se for o mesmo ASA (ou o mesmo par), ele pode estar relacionado.
fonte
Como acompanhamento desta questão, trabalho com o Cisco TAC há mais de um ano. Eles finalmente identificaram que isso é um bug na maneira como a plataforma ASA lida com as conexões. essencialmente, ele não estava limpando conexões de uma interface quando mudou o túnel para a outra interface e ficaria fora de controle quando começou a ver entradas na tabela de conexões nas duas interfaces.
Implantei a versão 8.4.7 do IOS no firewall com dois ISPs e ele parece estar se comportando corretamente. O failover está acontecendo quando a interface principal é desativada e, em seguida, retorna quando essa interface retorna E permanecendo nessa interface. Veremos.
fonte