Tuneles no-meraki desde sus vMX100 en AWS

juanbehrend
New here

Tuneles no-meraki desde sus vMX100 en AWS

Problem Discussed:

Juan tiene problemas de conectividad intermitentes con sus tuneles no-meraki desde sus vMX100 en AWS.

===================
Actions Taken:

- Se tiene una configuración custom establecida desde hace tiempo que Juan autoriza a eliminar con su Daily Support Passcode
- Los túneles permanecen en estado activo (en VPN Status, IKE phase 1) pero no pasan tráfico
- Por ejemplo, un túnel no funcional es el que va desde el vMX "B"
- Túneles equivalentes funcionales serían los que van hacia los hosts remotos
- La captura de paquetes muestra el tráfico hacia .13 saliendo correctamente, pero siendo unidireccional
- La captura WAN, sin embargo, muestra paquetes ESP desde el host público del otro lado del túnel
- Se informa a Juan de que es muy probable que el otro lado haya decidido hacer un rekey del túnel anterior a la expiración del timer de lifetime de phase 2 del vMX
- Por lo tanto ambos lados estarían comunicándose, pero los paquetes estarían siendo descartados en cada extremo dado que referencian a un túnel diferente
- Al reiniciar el appliance el túnel vuelve a restaurar la conectividad correcta
- Es muy probable que se trate de un mismatch en phase 2:
○ Comprobar lifetimes de ambos extremos
○ Se recomienda también hacer un match entre el lifetime de fase 1 y fase 2
○ Comprobar si el otro extremo (Fortigate) tiene algún tipo de mecanismo que fuerce un rekey temprano (data-based lifetime, por ejemplo)

===================
Next Steps:

Se cambio todos al mismo lifetime de fase1 y fase 2 a 24 horas y rekey disable, y mejoro notoriamente pero sigue fallando.

===================

Continua los problemas, se propone probar con un túnel poniendo el rekey para ambas fases a 8 horas (28800).

===================

Se cambia en un tunel, pero continuan las fallas.


===================

 

I add more information this cisco meraki appliance are run on amazon web services in ireland and the other side are in Argentina, Colombia and Mexico. This can add it latency, if there any parameter to adjust in terms of these?


===================

3 REPLIES 3
DarrenOC
Kind of a big deal
Kind of a big deal

@MeredithW , @CarolineS - do we have a language specific forum for this query?

Darren OConnor | doconnor@resalire.co.uk
https://www.linkedin.com/in/darrenoconnor/

I'm not an employee of Cisco/Meraki. My posts are based on Meraki best practice and what has worked for me in the field.

English or spanish it's ok

Hi @juanbehrend 

 

You may get a better response if you repost this into the Spanish forum below:

 

https://community.meraki.com/t5/Temas-en-Español/bd-p/espanol

 

I can't read Spanish nor do I trust online translators.

Darren OConnor | doconnor@resalire.co.uk
https://www.linkedin.com/in/darrenoconnor/

I'm not an employee of Cisco/Meraki. My posts are based on Meraki best practice and what has worked for me in the field.
Get notified when there are additional replies to this discussion.