Есть Site-Site VPN, ASA5520-C892R
Периодически (периоды не стабильны) связь на секунду-другую прерывается, и в логах маршрутизатора имею следующую ошибку:
%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=1
перечитал кучу инфы, синхронизировал их по ntp, выровнял lifetime, ACL, на стороне маршрутизатора поставил crypto isakmp invalid-spi-recovery, crypto isakmp keepalive 10 все равно впн рвется.
Сам канал стабилен - по нему пропусков не наблюдается.
Куда бы еще посмотреть.
Код:
На стороне роутера
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 6 XXXXX address 10.30.X.241
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set 3des_md5_hmac esp-3des esp-md5-hmac
mode tunnel
!ip access-list extended VPN-MAP
permit ip 10.33.62.0 0.0.0.127 10.30.0.0 0.0.255.255
На стороне ASA
access-list vpn_c892 extended permit ip 10.30.0.0 255.255.0.0 10.33.62.0 255.255.255.128
crypto ipsec ikev1 transform-set 3des_md5_hmac esp-3des esp-md5-hmac
crypto map VPNmap 317 match address vpn_c892
crypto map VPNmap 317 set peer 10.33.X.57
crypto map VPNmap 317 set ikev1 transform-set 3des_md5_hmac
crypto map VPNmap 317 set security-association lifetime seconds 3600
crypto map VPNmap 317 set security-association lifetime kilobytes 4608000
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 10.33.X.57 type ipsec-l2l
tunnel-group 10.33.X.57 ipsec-attributes
ikev1 pre-shared-key *****