settingsLogin | Registersettings
Show Menu

caida de vpn

0 votos

hola buen dia

tengo el siguiente problema, tengo un un router una serie de tuneles los cuales todos funcionan bien excepto 1 el cual se cae de cuando en cuando

lo que requiero es si ustedes conocen un programa bueno ojala de free que me determine donde o que es lo que produce la caida de dicho tunel para tomar las medidas correspondientes

como siempre gracias

buena tarde Fabifigue gracias por su respuesta

en un extremo tengo un ciscos y en el otro un fortigate

lo que afirmas en un principio es cierto

los logs mios me dan un error 37125

pues la verdad es que no se cual de los 2 extremos es el del problema ya que el ing de un extremo le hecha la culpa a mi extremo y viceversa y lo que quiero es determinar quien tiene la culpa pero demostrandolo para que se toma la medida en el punto correspondiente

lo digo porque desde otro sitio mio hacia el mismo routwer dodne pega el que esta ionestable tengo varios tuneles y no molestan

alguna idea de un soft que me ayude a determinar donde esta el problema

por (93 puntos)  
editado por
Hola Luis,
Puede ser problema de "time alive" o tiempos en desuso, yo tuve problemas con un tunnel vpn site-to-site entre un Cisco ASA y un Router Cisco 881.
El soporte de cisco me recomendó cambiar un parámetro en el CryptoMap (PFS), el cual genera una clave dirente cada cierto tiempo, como yo utilizo voz más datos, esto me afectaba el teléfono IP que perdía la connexión, por los datos no había problema, porque cada vez que el tunnel VPN se caía, simplemente hacia ping o intentaba establecer una conexión para que el tunnel subiera.
Otra  cosa, es que los valores de access list, IKE policies, IPsec transform Sets,etc, deben ser idénticos en ambos extremos para que el tunnel funcione ok.
Saludos.
si ese es el error y si es site to site
entiendo
yo le podría pedir un favor si no es mucho abusar
el asunto es que el ciscos no es mio es del otro lado
tienes un manual para cambiar el CriptoMap o me puedes indicar como hizo ese o cual es la ruta y en que consiste el cambio para informarle al otro admin y que realice la prueba
bueno lo de los valores de acceso son iguales en ambos lados
es mas antes me generaba un problema que era es siguiente
también se caía la conexión pero no levantaba sola hasta que le cambiara la contraseña hay si subía
ahora se cae y al rato sube solo sin cambio
te recomiendo algotra luz que me puedas dar

gracias de antemano

2 Respuestas

0 votos
Hola Luis.
Entiendo que tenés varios túneles desde distintos orígenes hacia un destino en común... (Seguramente la red de una empresa)

1- Que ruter es?... revisa logs en ambos extremos (si es que los routers los generan).

2- ¿Tenés la posibilidad de establecer un tunel desde el extremo supuestamente "inestable" hacia otra IP diferente? Establece un tunel por unos días y sacas conclusiones. S lo haces y el comportamiento sigue es que el servicio o equipo en ese extremo del tunel tiene problemas. Si ésto se cumple, antes de reemplazar equipo intenta actualizar firmware.

Espero que te sirva.

Saludos

(-Edit-) Por favor, comenta como se establecen las VPNs: Router a Router - Router a WinServer - PCcliente a Router - PCcliente a WinServer (forward de puertos) etc.
por (33 puntos)  
editado por
Ok Luis... no conozco los equipos fortigate y no me queda claro cual te devuelve el error 37125 si el fortigate o el Cisco . Tampoco me dices el tipo de tunel  (IPsec , PPTP, L2tp...) creo que no te puedo ayudar mucho más, si pudieras pegar el contenido del log para poder leerlo, por ahi puedo hacer un intento. Saludos!
hola buen dia
el que devuelve el error es el fortigate el tunel es ipsec

este es el log


Nivel    error
Sub Tipo    ipsec
ID    37125
Dominio
Mensaje    IPsec phase 2 error
Acción    negotiate
IP Remota IPSec    x.x.x.x
IP Local IPSec    x.x.x.x
Remote Port    500
Outgoing Interface    wan5
Local Port    500
Cookies   
Usuario   
Grupo   
Estado    negotiate_error
VPN Tunnel   
Error Reason    no matching gateway for new request


por seguridad algunos datos fueron modificados

espero te sirve este log para que me puedas hacer el favor de ayudar
0 votos
En mi caso el tunel IPSec era entre Mikrotik (mio) y Cisco del otro lado y si era un tema de tiempos del "Time Alive" como comentó el usuario djcmtk. Lástima no te puedo ayudar mejor, espero que tengas suerte y espero leer como lo solucionaste.

PD: si tu colega del otro lado del tunel tuene buena onda, pídele una captura de pantalla de su configuración de IPSec para eliminar dudas.

Saludos!
por (33 puntos)  
...