Comment puis-je réinitialiser un tunnel VPN sur un Cisco ASA?

16

Sur un VPN de site à site utilisant un ASA 5520 et 5540, respectivement, j'ai remarqué que de temps en temps le trafic ne passe plus, parfois juste il y a même du trafic manquant juste pour une sélection de trafic / ACL spécifique tandis que le reste du trafic le même VPN fonctionne. Cela se produit même s'il y a un ping constant en cours d'exécution. La raison pourrait être qu'il fonctionne sur une liaison satellite qui n'est pas parfaitement stable.

Comment puis-je réinitialiser le VPN à l'état de fonctionnement, au lieu de recharger l'un des ASA?

Stefan
la source

Réponses:

28

Le VPN peut être réinitialisé en entrant

clear crypto ipsec sa peer <remote-peer-IP>

d'un côté. Le trafic suivant entraînera le rétablissement du tunnel IPSEC.

Vous pouvez le faire de votre côté, en entrant l'adresse IP distante. Ou connectez-vous au site distant, mais vous devez peut-être le faire en dehors du VPN, donc en utilisant une interface différente, par exemple en utilisant l'IP publique au lieu de l'IP à laquelle vous vous connectez via le tunnel.

Il y aura une courte panne de VPN lors du rétablissement du tunnel. Après avoir entré cette commande, assurez-vous que le tunnel est à nouveau en place, par exemple en effectuant un ping à travers.

Stefan
la source
14

Vous pouvez réinitialiser le tunnel via le logiciel ASDM ainsi que dans la ligne de commande.

Dans l'ASDM (version 6.3):

  1. Accédez à Surveillance, puis sélectionnez VPN dans la liste des interfaces
  2. Développez ensuite les statistiques VPN et cliquez sur Sessions.
  3. Choisissez le type de tunnel que vous recherchez dans la liste déroulante à droite (IPSEC Site-to-Site par exemple.)
  4. Cliquez sur le tunnel que vous souhaitez réinitialiser puis cliquez sur Déconnexion pour réinitialiser le tunnel.

Cela entraînera une panne temporaire de la connexion VPN, mais dans la plupart des cas, j'ai vu que vous ne faites cela que parce que le tunnel est déjà en panne.

Tout bien considéré, il est plus facile de se connecter à la CLI et de réinitialiser le tunnel, mais je connais des gens qui sont accro à l'ASDM.

La source

Brett Lykins
la source
9

Je viens de découvrir une nouvelle façon que je n'avais jamais connue auparavant et offre les mêmes informations que vous trouvez dans l'interface ASDM, y compris la fonctionnalité de déconnexion d'une session vpn.

Émettez ceci par exemple pour obtenir une liste des tunnels VPN site à site qui sont en place.

show vpn-sessiondb l2l

exemple de sortie:

Connection   : 192.168.1.1
Index        : 330                    IP Addr      : 192.168.121.0
Protocol     : IKE IPsec
Encryption   : DES 3DES               Hashing      : MD5 SHA1
Bytes Tx     : 62226826               Bytes Rx     : 71173170
Login Time   : 17:15:49 PDT Sun Sep 7 2014
Duration     : 19h:08m:49s

Ensuite, pour vous déconnecter de ce tunnel VPN, vous pouvez exécuter ce qui suit pour vous déconnecter en fonction de l'index ci-dessus.

vpn-sessiondb logoff index 330
Jim Scott
la source
8

Ce faisant clear ipsec sa peer <peer IP>, vous ne réinitialiserez que la partie IPSec.

Il n'y a aucun moyen de nettoyer un seul tunnel isakmp.

Par conséquent, le meilleur moyen que je connaisse est de supprimer l'homologue de la carte de chiffrement et de le réappliquer.

no crypto map mymap 40 set peer 12.1.1.1 
crypto map mymap 40 set peer 12.1.1.1 

De cette façon, vous pouvez retirer l'homologue, attendre que le tunnel redescende et expirer, puis le réappliquer. Cette méthode vous donne plus de contrôle sur le comportement des tunnels.

tunnelsup
la source
7

Sur 8.4, vous pouvez réinitialiser une seule connexion ISAKMP via:

clear cry ikev1 sa <ip>

Ou si vous utilisez ikev2, alors:

clear cry ikev2 sa <ip>

Sur les anciennes versions, je pense que la commande est simplement:

clear cry isa sa <ip>

En ce qui concerne également la réponse de Stefan, si vous effacez sur un appareil distant le VPN que vous réinitialisez, il rétablira généralement le VPN et votre session SSH continuera normalement normalement instantanément ou au plus en quelques secondes. Je le fais assez souvent sur les routeurs ISR G1 et G2 tout le temps lors de la modification de leurs tunnels.

some_guy_long_gone
la source
4
Sur l'ASA, la clear crypto isakmp sacommande plus ancienne n'accepte pas un argument pour que le pair réinitialise. Il réinitialise toutes les sessions ISAKMP.
James Sneeringer