La moitié du site-à-site VPN Cisco ne passant pas de trafic
Resolution
Question :
Un VPN de site à site a été mis en place avec le pare-feu paloalto d'un côté et un ASA Cisco de l'autre. Le VPN a chuté momentanément et depuis qu'il est revenu en ligne, l'ASA peut accéder à l'AP, mais le PA ne peut pas accéder à l'ASA. Comment peut-on déterminer quel côté est à l'origine du problème?
Résolution :
Lorsqu'un homologue IPSec reçoit un paquet pour lequel il ne peut pas trouver de sa, il envoie un message d'erreur SPI non valide au périphérique VPN qui a initié la connexion. Dans ce cas, le périphérique PA a reçu le message SPI non valide, indiquant que le périphérique PA était l'initiateur. Les journaux du répondeur (ASA) auront plus de détails. L'ASA a envoyé le message SPI non valide, de sorte qu'il peut avoir reçu des données du périphérique PA qui ne correspondait à aucune SAS qu'il avait. Cela pourrait très bien signifier que l'ASA expiré ou ramené une sa pour une raison quelconque. Dans tous les cas, les journaux ASA doivent être analysés pour savoir pourquoi il a envoyé les messages SPI non valides.
propriétaire: swhyte