Cisco ASA 5505 на удаленном сайте, подключение в качестве клиента Easy VPN к ASA 5510 в штаб-квартире. Индикатор VPN горит зеленым, а sh crypto isakmp sa показывает активную ассоциацию безопасности.
Однако подключение к некоторым из наших подсетей не работает. Бег show crypto ipsec sa показывает, что IPSEC SA существуют для большинства наших подсетей, но не для всех. Неудивительно, что для подсетей, где нет SA, подключение невозможно.
Когда это произойдет, бег clear crypto isakmp sa или включение и выключение питания удаленного ASA восстанавливает туннели IPSEC, и доступ ко всем подсетям снова становится возможным.
Когда это происходит, это периодически. Никаких изменений конфигурации затронутых устройств не произошло.
Вот мои вопросы:
Недавно у меня была эта проблема с активацией только 1 из 2 SA. Я решил это двойной проверкой
sh run crypto map
Мои команды ikev1 и ikev2 совпали, но одна сторона была неверной
crypto map WAN_map 1 set pfs
После добавления этой команды (подстановки вашего фактического имени криптокарты) и генерации трафика со стороны инициатора обе SA успешно сработали.