Назад | Перейти на главную страницу

Cisco VPN Client разрывает соединение

Использование Windows XP и клиента Cisco VPN версии 5.0.4.xxx для подключения к удаленному клиентскому сайту. Мы можем установить соединение и начать сеанс RDP, но в течение 1-2 минут соединение разрывается и соединение VPN разрывается. ПК, устанавливающий соединение, находится в DMZ, которая преобразована через NAT к общедоступному IP-адресу.

Если мы перемещаем компьютер непосредственно в Интернет, не находясь в DMZ, соединение работает, и мы не сталкиваемся с какими-либо отключениями. Мы используем PIX 515E под управлением 7.2.4, и у нас нет проблем с аналогичными настройками подключения к другим сайтам клиентов из DMZ.

Настройка VPN на стороне клиента довольно проста, с использованием IPSec через TCP-порт 10000. Не уверен, какое устройство они используют на одноранговом узле, но я предполагаю, что это ASA.

Есть идеи, в чем проблема? Ниже приведены журналы VPN-клиента при возникновении проблемы. Настоящий IP-адрес был изменен на RemotePeerIP.

4 14: 39: 30.593 23.09.09 Sev = Info / 4 CM / 0x63100024 Попытка подключения к серверу RemotePeerIP

5 14: 39: 30.593 23.09.09 Sev = Info / 6 CM / 0x6310002F Выделенный локальный TCP-порт 1942 для TCP-соединения.

6 14: 39: 30.796 23.09.09 Sev = Info / 4 IPSEC / 0x63700008 Драйвер IPSec успешно запущен

7 14: 39: 30.796 23.09.09 Sev = Info / 4 IPSEC / 0x63700014 Удалены все ключи

8 14: 39: 30.796 23.09.09 Sev = Info / 6 IPSEC / 0x6370002C Отправлено 256 пакетов, 0 фрагментированы.

9 14: 39: 30.796 23.09.09 Sev = Info / 6 IPSEC / 0x63700020 TCP SYN отправлено на RemotePeerIP, порт src 1942, порт dst 10000

10 14: 39: 30.796 23.09.09 Sev = Info / 6 IPSEC / 0x6370001C TCP SYN-ACK, полученный от RemotePeerIP, порт src 10000, порт dst 1942

11 14: 39: 30.796 23.09.09 Sev = Info / 6 IPSEC / 0x63700021 TCP ACK отправлен RemotePeerIP, порт src 1942, порт dst 10000

12 14: 39: 30.796 23.09.09 Sev = Предупреждение / 3 IPSEC / 0xA370001C Плохой трейлер cTCP, Rsvd 26984, Magic # 63697672h, трейлер len 101, MajorVer 13, MinorVer 10

13 14: 39: 30.796 23.09.09 Sev = Info / 4 CM / 0x63100029 Установлено TCP-соединение на порт 10000 с сервером RemotePeerIP

14 14: 39: 31.296 23.09.09 Sev = Info / 4 CM / 0x63100024 Попытка соединения с сервером RemotePeerIP

15 14: 39: 31.296 23.09.09 Sev = Info / 6 IKE / 0x6300003B Попытка установить соединение с RemotePeerIP.

16 14: 39: 31.296 23.09.09 Sev = Info / 4 IKE / 0x63000013 ОТПРАВКА >>> ISAKMP OAK AG (SA, KE, NON, ID, VID (Xauth), VID (dpd), VID (Frag), VID (Unity)) в RemotePeerIP

17 14: 39: 36.296 23.09.09 Sev = Info / 4 IKE / 0x63000021 Повторная передача последнего пакета!

18 14: 39: 36.296 23.09.09 Sev = Info / 4 IKE / 0x63000013 ОТПРАВКА >>> ISAKMP OAK AG (повторная передача) на RemotePeerIP

19 14: 39: 41.296 23.09.09 Sev = Info / 4 IKE / 0x63000021 Повторная передача последнего пакета!

20 14: 39: 41.296 23.09.09 Sev = Info / 4 IKE / 0x63000013 ОТПРАВКА >>> ISAKMP OAK AG (повторная передача) на RemotePeerIP

21 14: 39: 46.296 23.09.09 Sev = Info / 4 IKE / 0x63000021 Повторная передача последнего пакета!

22 14: 39: 46.296 23.09.09 Sev = Info / 4 IKE / 0x63000013 ОТПРАВКА >>> ISAKMP OAK AG (повторная передача) на RemotePeerIP

23 14: 39: 51.328 23.09.09 Sev = Info / 4 IKE / 0x63000017 Пометка IKE SA для удаления (I_Cookie = AEFC3FFF0405BBD6 R_Cookie = 0000000000000000) причина = DEL_REASON_PEER_NOT_RESPONDING

24 14: 39: 51.828 23.09.09 Sev = Info / 4 IKE / 0x6300004B Отказ от согласования IKE SA (I_Cookie = AEFC3FFF0405BBD6 R_Cookie = 0000000000000000) причина = DEL_REASON_PEER_NOT_RESPONDING

25 14: 39: 51.828 23.09.09 Sev = Info / 4 CM / 0x63100014 Невозможно установить SA фазы 1 с сервером «RemotePeerIP» из-за «DEL_REASON_PEER_NOT_RESPONDING»

26 14: 39: 51.828 23.09.09 Sev = Info / 5 CM / 0x63100025 Инициализация CVPNDrv

27 14: 39: 51.828 23.09.09 Sev = Info / 4 CM / 0x6310002D Сброс TCP-соединения через порт 10000

28 14: 39: 51.828 23.09.09 Sev = Info / 6 CM / 0x63100030 Удален локальный TCP-порт 1942 для TCP-соединения.

29 14: 39: 51.828 23.09.09 Sev = Info / 6 CM / 0x63100046 Установить флаг установленного туннеля в реестре равным 0.

30 14: 39: 51.828 23.09.09 Sev = Info / 4 IKE / 0x63000001 IKE получил сигнал для завершения соединения VPN

31 14: 39: 52.328 23.09.09 Sev = Info / 6 IPSEC / 0x63700023 TCP RST отправлен RemotePeerIP, порт src 1942, порт dst 10000

32 14: 39: 52.328 23.09.09 Sev = Info / 4 IPSEC / 0x63700014 Удалены все ключи

33 14: 39: 52.328 23.09.09 Sev = Info / 4 IPSEC / 0x63700014 Удалены все ключи

34 14: 39: 52.328 23.09.09 Sev = Info / 4 IPSEC / 0x63700014 Удалены все ключи

35 14: 39: 52.328 23.09.09 Sev = Info / 4 IPSEC / 0x6370000A Драйвер IPSec успешно остановлен

Спасибо за любую помощь, которую вы можете оказать.

Я знаю, что это не очень важно для объяснения причин, но я и (ИТ-служба компании) пришли к выводу, что версия 4.x намного лучше в плане отключения Cisco VPN (особенно, если вы используете межсетевой экран F-Secure). Поэтому мы всегда рекомендуем людям перейти на старую версию. Если кто-то знает настоящую причину, почему и как настроить межсетевой экран с версией 5.x, хотел бы услышать решение.

Проверьте журналы вашего брандмауэра, а также его использование ресурсов, если он перегружен, он не сможет маршрутизировать трафик. Вызывая тайм-ауты, которые у вас возникают. Также проверьте статистику интерфейса на брандмауэре и переключателях, которые подключают вас к брандмауэру / Интернету. Если вы теряете пакеты из-за плохого кабеля, у вас будут проблемы.

Это действительно похоже на то, что брандмауэр закрывает порты, посмотрите настройки тайм-аута на брандмауэре.