Come posso ripristinare un tunnel VPN su un Cisco ASA?

Su una VPN da sito a sito che utilizza ASA 5520 e 5540, rispettivamente, ho notato che di tanto in tanto il traffico non passa più, a volte manca persino il traffico solo per una specifica selezione di traffico / ACL mentre altro traffico sopra la stessa VPN è in esecuzione. Succede anche se c'è un ping costante in esecuzione. Il motivo potrebbe essere che passa sopra un collegamento satellitare che non è perfettamente stabile.

Come posso ripristinare la VPN allo stato di funzionamento, invece di ricaricare uno degli ASA?

La VPN può essere ripristinata inserendo

clear crypto ipsec sa peer <remote-peer-IP>

da un lato. Il seguente traffico provocherà il ripristino del tunnel IPSEC.

Puoi farlo dalla tua parte, inserendo l'IP remoto. Oppure accedi al sito remoto, ma probabilmente devi farlo al di fuori della VPN, quindi utilizzando un'interfaccia diversa, ad esempio utilizzando l'IP pubblico invece dell'IP a cui ti connetti attraverso il tunnel.

Ci sarà una breve interruzione della VPN durante il ripristino del tunnel. Dopo aver immesso quel comando, assicurarsi che il tunnel sia nuovamente attivo, ad esempio eseguendo un ping attraverso di esso.

È possibile ripristinare il tunnel tramite il software ASDM e dalla riga di comando.

Nell'ASDM (versione 6.3):

1. Vai a Monitoraggio, quindi seleziona VPN dall'elenco delle interfacce
2. Quindi espandi le statistiche VPN e fai clic su Sessioni.
3. Scegli il tipo di tunnel che stai cercando dal menu a discesa a destra (IPSEC Site-To-Site per esempio.)
4. Fare clic sul tunnel che si desidera ripristinare, quindi fare clic su Disconnetti per ripristinare il tunnel.

Ciò causerà un'interruzione temporanea della connessione VPN, ma nella maggior parte dei casi che ho visto, lo stai facendo solo perché il tunnel è già inattivo.

Tutto sommato, però, è più facile accedere alla CLI e ripristinare il tunnel, ma conosco alcune persone che sono dipendenti dall'ASDM.

fonte

Facendo clear ipsec sa peer <peer IP>ripristinerà solo la parte IPSec.

Non esiste un modo per cancellare solo un tunnel isakmp.

Pertanto, il modo migliore che conosco è rimuovere il peer dalla mappa crittografica e riapplicarlo.

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

In questo modo puoi eliminare il peer, attendere che il tunnel scenda e scada, quindi riapplicalo. Questo metodo offre un maggiore controllo sul comportamento dei tunnel.

Mi sono appena imbattuto in un nuovo modo di cui non ero mai stato a conoscenza prima e offre le stesse informazioni che trovi nell'interfaccia ASDM, inclusa la funzione per disconnettere una sessione VPN.

Emettere questo ad esempio per ottenere un elenco di tunnel vpn da sito a sito che sono attivi.

show vpn-sessiondb l2l

esempio di output:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

Quindi per disconnettersi da quel tunnel VPN è possibile eseguire quanto segue per disconnettersi in base all'indice mostrato sopra.

vpn-sessiondb logoff index 330

Su 8.4 è possibile ripristinare una singola connessione ISAKMP tramite:

clear cry ikev1 sa <ip>

O se si utilizza ikev2, quindi:

clear cry ikev2 sa <ip>

Nelle versioni precedenti, credo che il comando sia semplicemente:

clear cry isa sa <ip>

Anche per quanto riguarda la risposta di Stefan, se fai un clear su un dispositivo remoto tramite la VPN che stai reimpostando, in genere ripristinerà la VPN e la tua sessione SSH continuerà normalmente all'istante o al massimo entro pochi secondi. Lo faccio abbastanza spesso sui router ISR G1 e G2 continuamente quando modifico i loro tunnel.