У меня проблема с IPSEC VPN, когда одна конечная точка генерирует несколько ISAKMP SA. (в своих примерах я заменил IP-адреса: 1.1.1.1 - удаленная конечная точка, 10.10.10.10 - объект в удаленной сети, а 192.192.192.192 - объект в локальной сети).
>sh crypto isakmp sa
15 IKE Peer: 1.1.1.1
Type : L2L Role : responder
Rekey : no State : MM_REKEY_DONE_H2
17 IKE Peer: 1.1.1.1
Type : L2L Role : responder
Rekey : yes State : MM_ACTIVE_REKEY
Когда это происходит, трафик не может передаваться через туннель ни в одном направлении. Первоначально это произошло без включенного PFS, и я включил и отключил его для устранения неполадок, что не имело никакого значения. Когда появляется дублирующая SA (кажется, примерно через час после установления первого туннеля), на мониторе терминала снова и снова повторяется следующее:
%ASA: Group = 1.1.1.1, IP = 1.1.1.1, IKE Initiator: New Phase 2, Intf portal, IKE Peer 1.1.1.1 local Proxy Address 192.192.192.192, remote Proxy Address 10.10.10.10, Crypto map (outside_map)
%ASA: IP = 1.1.1.1, Received encrypted packet with no matching SA, dropping
У кого-нибудь есть подсказки, где искать дальше? Похоже, что в Интернете очень мало ресурсов о проблемах с созданием дублирующихся SA.