Использование Windows XP и клиента Cisco VPN версии 5.0.4.xxx для подключения к удаленному клиентскому сайту. Мы можем установить соединение и начать сеанс RDP, но в течение 1-2 минут соединение разрывается и соединение VPN разрывается. ПК, устанавливающий соединение, находится в DMZ, которая преобразована через NAT к общедоступному IP-адресу.
Если мы перемещаем компьютер непосредственно в Интернет, не находясь в DMZ, соединение работает, и мы не сталкиваемся с какими-либо отключениями. Мы используем PIX 515E под управлением 7.2.4, и у нас нет проблем с аналогичными настройками подключения к другим сайтам клиентов из DMZ.
Настройка VPN на стороне клиента довольно проста, с использованием IPSec через TCP-порт 10000. Не уверен, какое устройство они используют на одноранговом узле, но я предполагаю, что это ASA.
Есть идеи, в чем проблема? Ниже приведены журналы VPN-клиента при возникновении проблемы. Настоящий IP-адрес был изменен на RemotePeerIP.
4 14: 39: 30.593 23.09.09 Sev = Info / 4 CM / 0x63100024 Попытка подключения к серверу RemotePeerIP
5 14: 39: 30.593 23.09.09 Sev = Info / 6 CM / 0x6310002F Выделенный локальный TCP-порт 1942 для TCP-соединения.
6 14: 39: 30.796 23.09.09 Sev = Info / 4 IPSEC / 0x63700008 Драйвер IPSec успешно запущен
7 14: 39: 30.796 23.09.09 Sev = Info / 4 IPSEC / 0x63700014 Удалены все ключи
8 14: 39: 30.796 23.09.09 Sev = Info / 6 IPSEC / 0x6370002C Отправлено 256 пакетов, 0 фрагментированы.
9 14: 39: 30.796 23.09.09 Sev = Info / 6 IPSEC / 0x63700020 TCP SYN отправлено на RemotePeerIP, порт src 1942, порт dst 10000
10 14: 39: 30.796 23.09.09 Sev = Info / 6 IPSEC / 0x6370001C TCP SYN-ACK, полученный от RemotePeerIP, порт src 10000, порт dst 1942
11 14: 39: 30.796 23.09.09 Sev = Info / 6 IPSEC / 0x63700021 TCP ACK отправлен RemotePeerIP, порт src 1942, порт dst 10000
12 14: 39: 30.796 23.09.09 Sev = Предупреждение / 3 IPSEC / 0xA370001C Плохой трейлер cTCP, Rsvd 26984, Magic # 63697672h, трейлер len 101, MajorVer 13, MinorVer 10
13 14: 39: 30.796 23.09.09 Sev = Info / 4 CM / 0x63100029 Установлено TCP-соединение на порт 10000 с сервером RemotePeerIP
14 14: 39: 31.296 23.09.09 Sev = Info / 4 CM / 0x63100024 Попытка соединения с сервером RemotePeerIP
15 14: 39: 31.296 23.09.09 Sev = Info / 6 IKE / 0x6300003B Попытка установить соединение с RemotePeerIP.
16 14: 39: 31.296 23.09.09 Sev = Info / 4 IKE / 0x63000013 ОТПРАВКА >>> ISAKMP OAK AG (SA, KE, NON, ID, VID (Xauth), VID (dpd), VID (Frag), VID (Unity)) в RemotePeerIP
17 14: 39: 36.296 23.09.09 Sev = Info / 4 IKE / 0x63000021 Повторная передача последнего пакета!
18 14: 39: 36.296 23.09.09 Sev = Info / 4 IKE / 0x63000013 ОТПРАВКА >>> ISAKMP OAK AG (повторная передача) на RemotePeerIP
19 14: 39: 41.296 23.09.09 Sev = Info / 4 IKE / 0x63000021 Повторная передача последнего пакета!
20 14: 39: 41.296 23.09.09 Sev = Info / 4 IKE / 0x63000013 ОТПРАВКА >>> ISAKMP OAK AG (повторная передача) на RemotePeerIP
21 14: 39: 46.296 23.09.09 Sev = Info / 4 IKE / 0x63000021 Повторная передача последнего пакета!
22 14: 39: 46.296 23.09.09 Sev = Info / 4 IKE / 0x63000013 ОТПРАВКА >>> ISAKMP OAK AG (повторная передача) на RemotePeerIP
23 14: 39: 51.328 23.09.09 Sev = Info / 4 IKE / 0x63000017 Пометка IKE SA для удаления (I_Cookie = AEFC3FFF0405BBD6 R_Cookie = 0000000000000000) причина = DEL_REASON_PEER_NOT_RESPONDING
24 14: 39: 51.828 23.09.09 Sev = Info / 4 IKE / 0x6300004B Отказ от согласования IKE SA (I_Cookie = AEFC3FFF0405BBD6 R_Cookie = 0000000000000000) причина = DEL_REASON_PEER_NOT_RESPONDING
25 14: 39: 51.828 23.09.09 Sev = Info / 4 CM / 0x63100014 Невозможно установить SA фазы 1 с сервером «RemotePeerIP» из-за «DEL_REASON_PEER_NOT_RESPONDING»
26 14: 39: 51.828 23.09.09 Sev = Info / 5 CM / 0x63100025 Инициализация CVPNDrv
27 14: 39: 51.828 23.09.09 Sev = Info / 4 CM / 0x6310002D Сброс TCP-соединения через порт 10000
28 14: 39: 51.828 23.09.09 Sev = Info / 6 CM / 0x63100030 Удален локальный TCP-порт 1942 для TCP-соединения.
29 14: 39: 51.828 23.09.09 Sev = Info / 6 CM / 0x63100046 Установить флаг установленного туннеля в реестре равным 0.
30 14: 39: 51.828 23.09.09 Sev = Info / 4 IKE / 0x63000001 IKE получил сигнал для завершения соединения VPN
31 14: 39: 52.328 23.09.09 Sev = Info / 6 IPSEC / 0x63700023 TCP RST отправлен RemotePeerIP, порт src 1942, порт dst 10000
32 14: 39: 52.328 23.09.09 Sev = Info / 4 IPSEC / 0x63700014 Удалены все ключи
33 14: 39: 52.328 23.09.09 Sev = Info / 4 IPSEC / 0x63700014 Удалены все ключи
34 14: 39: 52.328 23.09.09 Sev = Info / 4 IPSEC / 0x63700014 Удалены все ключи
35 14: 39: 52.328 23.09.09 Sev = Info / 4 IPSEC / 0x6370000A Драйвер IPSec успешно остановлен
Спасибо за любую помощь, которую вы можете оказать.
Я знаю, что это не очень важно для объяснения причин, но я и (ИТ-служба компании) пришли к выводу, что версия 4.x намного лучше в плане отключения Cisco VPN (особенно, если вы используете межсетевой экран F-Secure). Поэтому мы всегда рекомендуем людям перейти на старую версию. Если кто-то знает настоящую причину, почему и как настроить межсетевой экран с версией 5.x, хотел бы услышать решение.
Проверьте журналы вашего брандмауэра, а также его использование ресурсов, если он перегружен, он не сможет маршрутизировать трафик. Вызывая тайм-ауты, которые у вас возникают. Также проверьте статистику интерфейса на брандмауэре и переключателях, которые подключают вас к брандмауэру / Интернету. Если вы теряете пакеты из-за плохого кабеля, у вас будут проблемы.
Это действительно похоже на то, что брандмауэр закрывает порты, посмотрите настройки тайм-аута на брандмауэре.