Имеется такая схема:
Local Network ----||Local IP |-Cisco Asa 5510-|Wan IP||----- Internet----remote users
Удалённый пользователь поднимая Ipsec туннель, попадает в локальную сеть. Имеется Cisco Asa 5510 (Cisco Adaptive Security Appliance Software Version 8.0(3)). На ней создано несколько групп. Ip раздаются из пула, который прописан на этой железке. Пользователи авторизуются локально. Для подключения используют Cisco Vpn Client v5.0.05.0280-k9 или vpnc Version: 0.5.3-1. Проблема заключается в том, что в один прекрасный момент, никто не может установить ipsec туннель с асой (no response from target) хотя все адреса свободны, да и на самой железке сесссий нет. В чём может быть проблема?

Для начала по простому: залейте 8.0(4)

Есть аналогичная проблема с ssh: остаются висеть "мертвые" сесии и не дают цепануться.

Но если проблема сохранится, то будем копать глубже.

ЗЫ А "особенность" момента какая-нибудь прослеживается? Периодичность?

Переодичность не прослеживается. Проблема решается перезагрузкой Asa'ы. Ставил софт 8.0(4), ничего не изменилось. Проблема не в ssh сессиях а в vpn-remote session.

Я понимаю. Привёл пришедший на ум пример с ssh

Посмотрите, что показывает команда
sh vpn-sessiondb remote
когда туннели не могут установиться. Скорее всего там останутся хвосты. А это значит, что адреса из пула - заняты и выдать нечего. Для проверки можно временно расширить пул и попробовать подключиться. Получится - в этом проблема, нет - ищем дальше

sh vpn-sessiondb remote пусто. sh ip local pool Название пула, говорит что все адреса свободны

А конфигой (без паролей и адресов) поделитесь?

Любезно . Конфиг кидать сюда или на мыло?

можно сюда - мож ещё кто подключится. А если боязно - на 4u()anticisco.ru

# sh run
: Saved
:
ASA Version 8.0(3)
!
hostname mycoolasa -)
enable password
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address Some Wan Ip Addr
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.21.254.253 255.255.255.252
!
interface Ethernet0/2
nameif dmz
security-level 70
ip address 172.21.254.249 255.255.255.252
!
interface Ethernet0/3
nameif cisco
security-level 80
ip address 172.21.254.245 255.255.255.252
!
interface Management0/0
nameif management
security-level 0
ip address 192.168.254.1 255.255.255.0
management-only
!
interface Redundant1
no nameif
no security-level
no ip address
!
banner login
boot system disk0:/asa803-k8.bin
boot config disk0:/group-3.cfg
ftp mode passive
dns domain-lookup outside
dns server-group DNS
name-server Some Dns Srv
name-server Some Dns Srv
domain-name some domain
dns-group DNS
object-group network group-1
description ip pool group-1
network-object 172.21.254.0 255.255.255.224
object-group network group-2
description ip pool group-2
network-object 172.21.254.32 255.255.255.240
object-group network group-3
description ip pool group-3
network-object 172.21.254.48 255.255.255.240
object-group network Servers
description ip pool Servers
network-object 172.21.254.64 255.255.255.224
access-list group-1 extended permit ip some-netw-1 object-group group-1
access-list group-1 extended permit ip some-netw-2 object-group group-1
access-list group-1 extended permit ip host some-host-1 object-group group-1
access-list group-1 extended permit ip host some-host-2 object-group group-1
access-list group-1 extended permit ip host some-host-3 object-group group-1
access-list split_group-1 standard permit some-netw-1
access-list split_group-1 standard permit some-netw-2
access-list split_group-1 standard permit host some-host-1
access-list split_group-1 standard permit host some-host-2
access-list split_group-1 standard permit host some-host-3
access-list group-2 extended permit ip some-netw-1 object-group group-2
access-list group-2 extended permit ip some-netw-2 object-group group-2
access-list group-2 extended permit ip host some-host-1 object-group group-2
access-list group-2 extended permit ip host some-host-2 object-group group-2
access-list group-2 extended permit ip host some-host-3 object-group group-2
access-list group-2 extended permit ip some-netw-3 object-group group-2
access-list group-2 extended permit ip some-netw-4 object-group group-2
access-list split_group-2 standard permit some-netw-1
access-list split_group-2 standard permit some-netw-2
access-list split_group-2 standard permit host some-host-1
access-list split_group-2 standard permit host some-host-2
access-list split_group-2 standard permit host some-host-3
access-list split_group-2 standard permit some-netw-3
access-list split_group-2 standard permit some-netw-4
access-list nonat_inside extended permit ip some-netw-1 object-group group-1
access-list nonat_inside extended permit ip some-netw-1 object-group group-2
access-list nonat_inside extended permit ip some-netw-1 object-group group-3
access-list nonat_cisco extended permit ip some-netw-3 object-group group-2
access-list nonat_cisco extended permit ip some-netw-3 object-group group-3
access-list nonat_cisco extended permit ip some-netw-2 object-group group-1
access-list nonat_cisco extended permit ip some-netw-2 object-group group-2
access-list nonat_cisco extended permit ip some-netw-2 object-group group-3
access-list nonat_cisco extended permit ip host some-host-1 object-group group-1
access-list nonat_cisco extended permit ip host some-host-1 object-group group-2
access-list nonat_cisco extended permit ip host some-host-1 object-group group-3
access-list nonat_cisco extended permit ip host some-host-3 object-group group-1
access-list nonat_cisco extended permit ip host some-host-3 object-group group-2
access-list nonat_cisco extended permit ip host some-host-3 object-group group-3
access-list nonat_cisco extended permit ip host some-host-2 object-group group-1
access-list nonat_cisco extended permit ip host some-host-2 object-group group-2
access-list nonat_cisco extended permit ip host some-host-2 object-group group-3
access-list nonat_dmz extended permit ip some-netw-4 object-group group-2
access-list nonat_dmz extended permit ip some-netw-4 object-group group-3
access-list group-3 extended permit ip some-netw-1 object-group group-3
access-list group-3 extended permit ip some-netw-2 object-group group-3
access-list group-3 extended permit ip host some-host-1 object-group group-3
access-list group-3 extended permit ip host some-host-2 object-group group-3
access-list group-3 extended permit ip host some-host-3 object-group group-3
access-list group-3 extended permit ip some-netw-3 object-group group-3
access-list split_group-3 standard permit some-netw-1
access-list split_group-3 standard permit some-netw-2
access-list split_group-3 standard permit host some-host-1
access-list split_group-3 standard permit host some-host-2
access-list split_group-3 standard permit host some-host-3
access-list split_group-3 standard permit some-netw-3
pager lines 64
logging enable
logging console alerts
logging monitor alerts
logging asdm critical
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu cisco 1500
mtu management 1500
ip local pool group-1 172.21.254.1-172.21.254.30 mask 255.255.255.224
ip local pool Servers 172.21.254.65-172.21.254.94 mask 255.255.255.224
ip local pool group-2 172.21.254.33-172.21.254.46 mask 255.255.255.240
ip local pool group-3 172.21.254.49-172.21.254.62 mask 255.255.255.240
ip audit attack action alarm drop
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-615.bin
asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat_inside
nat (inside) 1 0.0.0.0 0.0.0.0
nat (dmz) 0 access-list nonat_dmz
nat (dmz) 1 0.0.0.0 0.0.0.0
nat (cisco) 0 access-list nonat_cisco
nat (cisco) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 some wan ipaddr 1
!
some routes here
!
timeout xlate 0:10:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
aaa authorization command LOCAL
aaa local authentication attempts max-fail 5
aaa authorization exec authentication-server
http server enable
some ip addr
no snmp-server location
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set
crypto ipsec transform-set
crypto ipsec transform-set
crypto ipsec transform-set
crypto ipsec transform-set
crypto ipsec transform-set
crypto ipsec transform-set
crypto ipsec transform-set
crypto ipsec transform-set
crypto ipsec transform-set
crypto ipsec transform-set
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set
crypto dynamic-map dynmap 1 set transform-set myset
crypto dynamic-map dynmap 1 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map mymap 65535 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
no crypto isakmp nat-traversal
no vpn-addr-assign dhcp
telnet timeout 5
ssh timeout 5
ssh version 2
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
ntp server
group-policy group-1 internal
group-policy group-1 attributes
vpn-idle-timeout none
vpn-session-timeout none
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split_group-1
group-policy group-2 internal
group-policy group-2 attributes
vpn-idle-timeout none
vpn-session-timeout none
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split_group-2
user-authentication enable
group-policy group-3 internal
group-policy group-3 attributes
vpn-session-timeout none
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split_group-3
user-authentication enable
group-policy Servers internal
group-policy Servers attributes
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
user-authentication enable
tunnel-group group-1 type remote-access
tunnel-group group-1 general-attributes
address-pool group-1
default-group-policy group-1
tunnel-group group-1 ipsec-attributes
pre-shared-key *
tunnel-group group-2 type remote-access
tunnel-group group-2 general-attributes
address-pool group-2
default-group-policy group-2
override-account-disable
tunnel-group group-2 ipsec-attributes
pre-shared-key *
tunnel-group Servers type remote-access
tunnel-group Servers general-attributes
address-pool Servers
default-group-policy Servers
tunnel-group Servers ipsec-attributes
pre-shared-key *
tunnel-group group-3 type remote-access
tunnel-group group-3 general-attributes
address-pool group-3
default-group-policy group-3
tunnel-group group-3 ipsec-attributes
pre-shared-key *
!
!
prompt hostname context
Cryptochecksum:be9ee43c7fec03cd520d5bd1b677a48a
: end

Навскидку: чего не понравилось

1. Самый первый пул адресов имеет маску 27, которая перекрывает червертый пул (он начинается с адреса .33 и имеет маску /28). Неаккуратно. Получается, что мы выдаём адреса из одной и той же сети (хотя ДИАПАЗОН и уже). Сейчас это актуально с клиентом 5.0

2. Применение dynamic-map SYSTEM_DEFAULT. СРазу видно, что делали через веб-морду
Я бы написал отдельный dynamic map ручками, явно указав протколы и привесив к crypto map

3. Ну и не понятно, почему отключен cry isakmp nat-traversal

WBR, Сергей

1) не красиво - факт, но работать так будет
2) настраивалось ручками, в асе это идёт по дефолту
3) включил cry isakmp nat-traversal. ничего не изменилось.

И всё-таки, поменяйте маску пула и ручками напишите другой crypto dyn map

Не могу объяснить, с чем связано, но наличие такой конструкции несколько замутняет работу железки. Туда циска собрала ВСЕ возможные варианты, поэтому может подвисать (мои размышления)

разбил сети по "красивому". пока проблемы не было.

Ждём Будем надеяться, что не дождёмся, но если повторится - напишите.