Como posso redefinir um túnel VPN em um Cisco ASA?

15

Em uma VPN site a site usando um ASA 5520 e 5540, respectivamente, notei que, de tempos em tempos, o tráfego não passa mais, às vezes há apenas o tráfego ausente apenas para uma seleção de tráfego / ACL específica enquanto outro tráfego a mesma VPN está sendo executada. Isso acontece mesmo que haja um ping constante em execução. O motivo pode ser que ele passa por um link de satélite que não é perfeitamente estável.

Como posso redefinir a VPN para o estado de funcionamento, em vez de recarregar um dos ASAs?

Stefan
fonte

Respostas:

27

A VPN pode ser redefinida digitando

clear ipsec sa peer <remote-peer-IP>

de um lado. O tráfego a seguir fará com que o túnel IPSEC seja restabelecido.

Você pode fazer isso do seu lado, inserindo o IP remoto. Ou faça login no site remoto, mas é possível fazer isso fora da VPN, usando uma interface diferente, por exemplo, usando o IP público em vez do IP ao qual você se conecta através do túnel.

Haverá uma pequena interrupção da VPN ao restabelecer o túnel. Depois de inserir esse comando, verifique se o túnel está novamente ativo, como fazer um ping nele.

Stefan
fonte
13

Você pode redefinir o túnel através do software ASDM, bem como na linha de comando.

No ASDM (versão 6.3):

  1. Vá para Monitoramento e selecione VPN na lista de Interfaces.
  2. Expanda as estatísticas da VPN e clique em Sessões.
  3. Escolha o tipo de túnel que você está procurando no menu suspenso à direita (IPSEC Site a Site, por exemplo).
  4. Clique no túnel que você deseja redefinir e clique em Logout para redefinir o túnel.

Isso causará uma interrupção temporária da conexão VPN, mas na maioria dos casos que eu já vi, você só está fazendo isso porque o túnel já está inoperante.

Apesar de tudo, é mais fácil fazer login na CLI e redefinir o túnel, mas conheço algumas pessoas viciadas no ASDM.

Fonte

Brett Lykins
fonte
8

Ao fazer clear ipsec sa peer <peer IP>, redefinirá apenas a parte IPSec.

Não há como limpar apenas um túnel isakmp.

Portanto, a melhor maneira que eu sei é remover o par do mapa de criptografia e reaplicá-lo.

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

Dessa forma, você pode tirar o par, aguardar o túnel descer e atingir o tempo limite, e depois reaplicá-lo. Este método oferece mais controle sobre o comportamento dos túneis.

tunnelsup
fonte
7

Na 8.4, você pode redefinir uma única conexão ISAKMP via:

clear cry ikev1 sa <ip>

Ou, se estiver usando o ikev2, então:

clear cry ikev2 sa <ip>

Nas versões mais antigas, acredito que o comando seja simplesmente:

clear cry isa sa <ip>

Também em relação à resposta de Stefan, se você limpar um dispositivo remoto pela VPN que está redefinindo, normalmente ela restabelecerá a VPN e sua sessão SSH continuará normalmente normalmente instantaneamente ou no máximo em segundos. Faço isso com frequência nos roteadores ISR G1 e G2 o tempo todo ao modificar seus túneis.

some_guy_long_gone
fonte
4
No ASA, o clear crypto isakmp sacomando mais velho não aceita um argumento para que o par seja redefinido. Redefine todas as sessões ISAKMP.
James Sneeringer
7

Acabei de me deparar com uma nova maneira que eu nunca tinha conhecimento antes e oferece as mesmas informações que você encontra na interface ASDM, incluindo o recurso para fazer logoff de uma sessão vpn.

Emita isso, por exemplo, para obter uma lista dos túneis de VPN site a site que estão ativos.

show vpn-sessiondb l2l

exemplo de saída:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

Para fazer logoff do túnel da VPN, você pode executar o seguinte para efetuar logoff com base no índice mostrado acima.

vpn-sessiondb logoff index 330
Jim Scott
fonte