Cisco VPN сбросил мое соединение после установления

Question

Cisco VPN сбросил мое соединение после установления

Я работаю на компанию, на которой есть два сайта. Оба сайта соединены вместе через соединение vpn с двумя cisco 850 box.

Проблема, с которой мы часто сталкиваемся (часто утром, сразу после ночи бездействия), состоит в том, что установление соединения очень болезненно, потому что нам нужно повторить попытку 10 раз до успеха.

Я поместил Wireshark на оба компьютера, и я заметил, что:

На клиенте:

 -> SYN ->
<- SYN/ACK <-
 -> ACK ->
 <- RST <-

На сервере:

 <- SYN <-
-> SYN/ACK ->
 <- ACK <-
 <- RST <-

Оба получают RST (я думаю, из VPN)!

Интересно, что может привести к этой проблеме?

Кто-нибудь сталкивался с подобной проблемой? Любая подсказка, как решить эту проблему? Я думаю, что проблема может быть связана с некоторой настройкой тайм-аута (потому что это происходит только утром)

Обновить:

Спасибо всем за ваши ответы, я отправил ваши рекомендации моему сетевому администратору, но я все еще жду его ответа. Как только я получу ответ, я опубликую эту тему. Поскольку я назначил вознаграждение, и даже если моя проблема не будет решена, вознаграждение будет назначено автоматически.

1

vpn cisco cisco-vpn

Источник

Steve Gury 15 окт '09 в 09:26

3 ответа

Другие вопросы по тегам vpn cisco cisco-vpn

Jordan Eunson 18 окт '09 в 18:08 2009-10-18 18:08 · Answer 1 · 2009-10-18 18:08

Микропрограмма по умолчанию на многих маршрутизаторах серии Cisco 850 была с ошибкой. Обновите прошивку, если это не помогло, пожалуйста, опубликуйте шоу

1

Источник

Jordan Eunson 18 окт '09 в 18:08

Greeblesnort 20 окт '09 в 08:08 2009-10-20 08:08 · Answer 2 · 2009-10-20 08:08

Возможно, это не тот ответ, который вы хотели бы услышать, но вы обычно не получаете RST от отказавшего VPN.... Моим первым предположением будет то, что у вас либо нет совпадающих списков ACL с обеих сторон (что должно привести к туннелю). вообще не подходит) или ваш ACL не разрешает исходящее или входящее соединение.

Вы пытались увеличить отладку для isakmp & ipsec на конечных точках, чтобы проверить правильность шифрования / дешифрования?

debug crypto ipsec

debug crypto isakmp

eric sorenson 24 окт '09 в 20:01 2009-10-24 20:01 · Answer 3 · 2009-10-24 20:01

greeblesnort прав, неработающий vpn не будет отправлять RST - он будет отображаться как потеря пакета до тех пор, пока не вернется - время ожидания ping истечет, а инициирование tcp-соединения от вашего клиента не получит ответа (нет syn/ack от сервер).

Тем не менее, возможно, что ваши первые несколько попыток заставили маршрутизаторы повторно инициализировать устаревшую ассоциацию безопасности. Убедитесь, что параметры повторного ключа одинаковы на обоих концах (время жизни ассоциации шифрования ipsec в секундах <###> (обычно 86400)).

И да, выложите свои конфиги.