На выходных я завершил установку и тестирование Cisco ASA 5512 для замены нашего старого маршрутизатора / межсетевого экрана. Сегодня я боролся с проблемой, когда браузеры непоследовательно не могут подключиться через SSL для обмена OWA через VPN. Иногда компьютеры загружаются нормально, подключаются к VPN и подключаются для обмена OWA без проблем, в других случаях они не подключаются. После того, как они подключились или нет, они, похоже, будут работать постоянно, пока компьютер не будет перезагружен.
Выполнение захвата пакетов на ASA, похоже, показывает, что в случае успеха он использует ранее установленный сеанс SSL, а когда он терпит неудачу, похоже, во время установления сеанса, но я должен признать, что мои навыки диагностики сети не совсем безупречны. . Захват пакетов во время сбоя не показывает никаких ACK для пакетов, отправляемых сервером. Однако сервер отправляет ACK для пакетов клиента.
Можно найти простой файл pcap, содержащий успешное и неудачное соединение. Вот. Верна ли моя оценка причины? Что может быть причиной проблемы и что может быть решением дальнейших действий по устранению проблемы?
Изменить: обновления дня два.
Проблема, по-видимому, связана с размерами MTU, VPN и ASA, которые не передают недоступные пакеты ICMP, когда ему нужно фрагментировать данные, но не может.
Используя эхо-запросы различных размеров с установленным битом Don't Fragment и изменения MTU ASA на порте, выходящем в Интернет, я обнаружил следующее:
Я могу пинговать компьютеры, подключенные к Интернету и VPN, с небольшими пакетами.
Когда для порта маршрутизатора установлено значение MTU 1500, я могу пинговать компьютеры в Интернете с пакетами до 1472, при превышении которых мой компьютер (для которого также установлено значение MTU 1500) сообщает мне, что пакет должен быть фрагментирован. . Это именно то, что я ожидал до сих пор.
Когда для порта маршрутизатора, выходящего в Интернет, установлено значение MTU 1500, я могу пинговать только компьютеры, подключенные к VPN, с пакетами до 1356, после чего время ожидания пакетов истекает. Я не ожидал этого. Даже если размер пакета был слишком большим, я должен был получить ответ ICMP, в котором говорилось, что пакет был отброшен, потому что его нужно было фрагментировать, и был установлен бит DF.
Как только я уменьшу MTU для порта маршрутизатора до 1400, я могу пинговать компьютеры в Интернете с пакетами на 1372, после чего время ожидания пакетов истекает. И снова у нас проблема. Я бы ожидал, что смогу отправлять пакеты только до 1372, но на 1373 (где мы ниже MTU моего компьютера, но ниже MTU маршрутизатора с 28-байтовыми заголовками) маршрутизатор должен отправить мне ответ, в котором говорится, что пакет требует быть фрагментированным, но установлен бит DF.
Также наблюдается соответствующее падение до 1256 при попытке пинга компьютера, подключенного через VPN, без ответа на пинг с большим количеством байтов.
Разве ASA не должно отвечать пакетами ICMP, если он не может переслать пакет? Есть ли в процессе настройки роутера параметр, который я случайно активировал и отключил эту функцию?
После множества дополнительных поисков, опроса разных вещей и публикации на форумах Cisco последней проблемой стала ошибка в прошивке ASA 5512-X версии 9.1 (3). В моей конфигурации ASA не отвечал ни на какие эхо-запросы, которые были слишком большими, или на какие-либо пакеты, которые были слишком большими для пересылки через VPN. Временное решение заключалось в уменьшении MTU на серверах, к которым необходимо было получить доступ через VPN. Окончательное решение, как только я получил контракт с Cisco, заключалось в обновлении ASA до версии 9.1 (6), что полностью решило проблему.