Cisco ASA VPN: Onde posso encontrar informações sobre o significado dos logs detalhados?

1

Estou trabalhando na solução de problemas de uma conexão VPN Cisco ASA e depois de mais informações sobre o significado de algumas das mensagens de log, especificamente essa no momento, mas um bom recurso geral sobre como ler esses logs seria ideal :

No nível de log 7, posso ver

Group = 1.1.1.1, IP = 1.1.1.1, IKE AM Responder FSM error history (struct &0x3f76598)  <state>, <event>:  AM_DONE, EV_ERROR-->AM_WAIT_MSG3, EV_PROB_AUTH_FAIL-->AM_WAIT_MSG3, EV_TIMEOUT-->AM_WAIT_MSG3, NullEvent-->AM_SND_MSG2, EV_CRYPTO_ACTIVE-->AM_SND_MSG2, EV_SND_MSG-->AM_SND_MSG2, EV_START_TMR-->AM_SND_MSG2, EV_RESEND_MSG

Formatado para legibilidade:

Group = 1.1.1.1, IP = 1.1.1.1, 
IKE AM Responder FSM error history (struct &0x3f76598)  
<state>, <event>:  
AM_DONE, 
EV_ERROR-->AM_WAIT_MSG3, 
EV_PROB_AUTH_FAIL-->AM_WAIT_MSG3, 
EV_TIMEOUT-->AM_WAIT_MSG3, 
NullEvent-->AM_SND_MSG2, 
EV_CRYPTO_ACTIVE-->AM_SND_MSG2, 
EV_SND_MSG-->AM_SND_MSG2, 
EV_START_TMR-->AM_SND_MSG2, 
EV_RESEND_MSG

Este é um histórico dos eventos que ocorreram para estabelecer e VPN, e é para ser lido como EVENTO - > RESULTADO, de baixo para cima? Existem bons documentos detalhando como interpretar esses logs para solucionar problemas de conexões? Quase tudo que eu posso encontrar nas minhas buscas é do nível "post your config e nós vamos descobrir o que está errado", o que não está ajudando quando qualquer pessoa que olha as nossas configurações diz "deve funcionar": -)

    
por DrStalker 21.07.2009 / 11:45

1 resposta

2

Parece que você tem algo descartando pacotes entre os 2 pontos de VPN.

FSM significa máquina de estados finitos .
Então você tem um erro na máquina de estado do IKE AM. Por quê ? Você só precisa ver o estado do FSM como descrito após a mensagem de erro (de baixo para cima, como você diz corretamente).

Você enviou AM_SND_MSG2 ( EV_SND_MSG ), nada foi enviado, então você o enviou novamente (o NullEvent ) e, finalmente, o tempo limite do FSM, esperando AM_WAIT_MSG3 do ponto remoto (EV_TIMEOUT). Então isso aciona um problema de autenticação ( EV_PROB_AUTH_FAIL ), então um erro ( EV_ERROR ) e finalmente o FSM chega ao fim ( AM_DONE ).

Então, isso significa que você começou a se comunicar com o par remoto, mas nunca obteve resposta. Você tem que verificar a configuração em ambas as extremidades, e verifique se todas as portas e protocolos necessários estão abertos. (Porta UDP 500, ESP, HA, porta UDP 4500, ... dependendo da sua configuração).

Você também pode querer verificar a depuração no par remoto para ver se AM_SND_MSG2 é recebido.

Infelizmente eu não acho que a Cisco publique como o seu FSM está funcionando e você tem que entender o log por conta própria ou perguntar ao TAC ou SF;)

    
por 21.07.2009 / 19:18