Назад | Перейти на главную страницу

Удаленный доступ Cisco ASA ipsec IKEv1 для телефона Avaya VPN - адрес клиента не назначен

У меня странная проблема с VPN-подключением удаленного доступа в нашем кластере ASA.

Нормальные туннели между сайтами и соединения AnyConnect работают нормально. Однако специальный туннель ipsec ikev1 этого не делает. Он устанавливается и остается в рабочем состоянии, но клиент (в данном случае VPN-телефон Avaya) либо не получает адрес клиента, либо не запрашивает его (немного не уверен, кто виноват).

На этом изображении показано соединение, когда оно установлено. Обратите внимание, что назначенный IP-адрес пуст. Значение 0 байтов TX вполне естественно, так как внутренние сети не имеют клиентов для маршрутизации.

Я попытался отладить это через ASDM, но безуспешно. Я недостаточно уверен в интерфейсе командной строки, чтобы выполнять отладку консоли, поскольку мы довольно часто используем ключевое слово «уведомление», чтобы соответствовать каждому ACL, который у нас есть.

Предложения?

Это потребовало некоторой работы, чтобы понять ..

Во-первых, причина того, что клиент (а точнее, телефон) не получил IP-адрес, заключалась в неправильной настройке телефона. У него не было установленного флага «Config IKE», что означает, что он в основном отбрасывает любую конфигурацию, выдвинутую из ASA.

Когда я исправил это, появилась еще одна серьезная проблема. Оказывается, наши клиенты AnyConnect вообще не работали. Недавно мы обновились до ASA 8.4.4 в попытке решить другую проблему, и в этой версии добавлена ​​новая программа проверки правил на соответствие правилам NAT, чтобы они не конфликтовали с резервными IP-адресами:

http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080bcf110.shtml

Это серьезное препятствие для нас, поскольку у нас есть миллионы подсетей за брандмауэром в большой сети MPLS, где клиентам VPN требуется подключение. Создание новых групп хоста / сети только для того, чтобы не конфликтовать с резервными IP-адресами, - это как минимум два дня для меня, поэтому я собираюсь перейти на ASA 8.4.3, пока Cisco не найдет для этого лучшее решение.