Eu tenho um túnel ASPS IPSec configurado entre um ASA5505 e o Microsoft TMG 2010 SP2.
O túnel às vezes funciona por algumas horas e, em seguida, desconecta e, outras vezes, funciona por 5 minutos e depois desconecta.
Quando se desconecta, às vezes leva 10 minutos para restabelecer o SA, às vezes leva 45 minutos para restabelecer o SA.
Eu suspeito que um lado do túnel está re-digitando a conexão e o outro não, mas eu realmente não sei como solucionar isso. A solução de problemas do final do ASA é substancialmente mais fácil do que a solução de problemas do TMG, devido à natureza obtusa de obter essas informações do TMG; embora eu suspeite que a TMG é onde está o problema.
Onde posso ir no ASA para determinar porque os túneis IPSec estão caindo?
Apesar de ambos os lados do túnel terem desativado o rekeying baseado em volume, um dos lados estava tentando reescrever de qualquer maneira (não tenho certeza de qual; suspeito que o TMG). Então, depois de semanas de solução de problemas, eu configurei um rekey após 4GB em ambos os lados do link e tem sido sólido desde então.
A rekey baseada em tempo é de 1 hora; e é altamente improvável que 4 GB de tráfego fluam por esse link em uma hora, por isso tem sido estável desde então.
Você está usando algum protocolo de roteamento através do túnel? Em caso afirmativo, verifique se você não está obtendo uma rota para o endereço do terminal remoto através do túnel. por exemplo. Se você tiver um túnel entre 1.2.3.4 e 2.3.4.5, certifique-se de ter uma rota estática na 1.2.3.4 a 2.3.4.5 que passe pelo endereço apropriado do próximo salto.
Os sintomas que você está vendo são similares ao que eu vi quando cometi este erro, porque o túnel sobe e desce constantemente. Primeiro, ele estabelece o túnel, depois estabelece o vizinho de roteamento, troca rotas e, com frequência, as rotas conectadas do ponto de extremidade remoto são enviadas. Então, a rota para o ponto final remoto é através do túnel, que expira, e então a vizinhança falha, o que significa que as rotas são removidas e o túnel pode subir novamente. Este ciclo se repete indefinidamente até você adicionar a rota estática apropriada.