Я работаю в компании, состоящей из двух сайтов. Оба сайта соединены между собой через vpn-соединение с двумя коробками cisco 850.
Проблема, с которой мы часто сталкиваемся (часто утром, сразу после ночи бездействия), заключается в том, что установление соединения очень болезненно, потому что мы должны повторить попытку 10 раз до успеха.
Я установил wirehark на оба компьютера и заметил следующее:
На клиенте:
-> SYN ->
<- SYN/ACK <-
-> ACK ->
<- RST <-
На сервере:
<- SYN <-
-> SYN/ACK ->
<- ACK <-
<- RST <-
Оба получают RST (я думаю, от VPN)!
Интересно, что может привести к этой проблеме?
Кто-нибудь сталкивался с подобной проблемой? Любая подсказка, как это решить? Думаю, проблема может быть связана с какой-то конфигурацией тайм-аута (потому что это происходит только утром)
Обновить:
Спасибо всем за ответы, я отправил ваши рекомендации своему сетевому администратору, но я все еще жду его ответа. Как только получу ответ, напишу по этой теме. Поскольку я назначил награду, и даже если моя проблема не решена, награда будет автоматически приписана.
Вероятно, это не тот ответ, который вы хотите услышать, но обычно вы не получаете RST из-за неудачного VPN .... я сначала предполагаю, что у вас либо нет совпадающих списков ACL с обеих сторон (что должно привести к туннелю не подходит вообще), либо ваш ACL либо не разрешает исходящее или входящее соединение.
Пробовали ли вы увеличить отладку для isakmp и ipsec на конечных точках, чтобы проверить правильность вашего шифрования / дешифрования?
debug crypto ipsec
debug crypto isakmp
Встроенное ПО по умолчанию на многих маршрутизаторах Cisco серии 850 содержит ошибки. Обновите прошивку, если это не решит проблему, опубликуйте свое шоу
greeblesnort прав, неработающий vpn не будет отправлять RST - он будет отображаться как потеря пакета до тех пор, пока он не вернется - время ожидания pings истечет, и инициация tcp-соединения от вашего клиента не получит ответа (нет синхронизации / подтверждения от сервер).
Тем не менее, возможно, ваши первые несколько попыток заставили маршрутизаторы повторно инициализировать истекшее сопоставление безопасности. Убедитесь, что параметры повторного ключа одинаковы на обоих концах (время жизни крипто-связи безопасности ipsec в секундах <###> (обычно 86400)).
И да, выкладывайте свои конфиги.