O cliente de AnyConnect reconecta cada minuto que causa um rompimento no fluxo de tráfego

Documentos relacionados
Configurar o Path MTU Discovery CAPWAP

Edição ASA 8.3: MSS excedido - Os clientes HTTP não podem consultar a alguns Web site

Configurar o ASA com regras do controle de acesso dos serviços da potência de fogo para filtrar o tráfego do cliente VPN de AnyConnect ao Internet

Configurar a Conectividade do Virtual Private Network (VPN) de AnyConnect no roteador do RV34x Series

Atribuição do grupo de política para os clientes de AnyConnect que usam o LDAP no exemplo de configuração dos finais do cabeçalho do Cisco IOS

PIX/ASA 7.x e IO: Fragmentação VPN

Detecção e remediação portais prisioneiras de AnyConnect

AnyConnect SSL sobre IPv4+IPv6 à configuração ASA

Configurar o 2.1 ISE e a verificação da postura USB de AnyConnect 4.3

Este documento não se restringe a versões de software e hardware específicas.

As conexões wireless da mobilidade falham e não recuperam quando o ASA é recarregado

Exemplo de configuração do gerenciamento de largura de banda do VPN 3000 concentrator

Configuração da recusa de técnicas de prevenção do serviço (série da Segurança) em switch empilhável do Sx500 Series

Aborto do Módulo de serviços TLS NGFW erros devido ao erro da falha ou da validação certificada do aperto de mão

Exemplo de configuração da característica do desvio do estado ASA 8.2.X TCP

Este documento descreve como configurar a autenticação da Web a fim trabalhar com uma instalação do proxy.

A vista entra um Series Router rv

Cliente de Anyconnect ao ASA com uso do DHCP para a atribuição de endereço

Função de balanceamento de carga IO NAT para duas conexões ISP

Índice. Introdução. Pré-requisitos. Requisitos

Guia de distribuição vagueando do módulo da Segurança de AnyConnect OpenDNS

Capturas de pacote de informação ASA com CLI e exemplo da configuração ASDM

Configurar o fluxo do convidado com ISE 2.0 e Aruba WLC

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Capturas de pacote de informação ASA com CLI e exemplo da configuração ASDM

Configurando Perfis de discagem para construir uma ponte sobre usando o ISDN

Aplicação do aprimoramento de recursos ASA SNMP

Troubleshooting da configuração da tradução de endereço de rede ASA

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

Administração de Sistemas (ASIST)

Configuração do Wide Area Network (WAN) em RV215W

Use o cliente VPN macio do musaranho para conectar com o server do IPSec VPN em RV130 e em RV130W

ASA/PIX 7.X: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo nãopadrão

ASA: Acesso remoto do modo do Multi-contexto (AnyConnect) VPN

Configurando o PPTP através da PAT para um Microsoft PPTP Server

Tráfego em linha do Multi-jogador de Xbox Live (túnel UDP 3544 do Teredo) obstruído por FTD

Como Permitir a Navegação Usando o NetBIOS Over IP

Configurar um server do Point-to-Point Tunneling Protocol (PPTP) no roteador do Rv34x Series

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Configuração do acesso remoto VPN de AnyConnect em FTD

Configurar configurações de firewall gerais no RV016, no RV042, no RV042G, e no RV082

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Diferenças comportáveis em relação às perguntas DNS e definição do Domain Name em OS diferentes

Troubleshooting da configuração da tradução de endereço de rede ASA

REDES VIRTUAIS PRIVADAS SOBRE TECNOLOGIA IP. Edgard Jamhour

Configurar ajustes do no roteador do RV34x Series

Problemas comuns com o conjunto transparente do Inter-local ASA

SSLVPN com exemplo de configuração dos Telefones IP

Configurar a transmissão da porta da versão ASA 9.x com NAT

Corrija o serviço da reputação do arquivo na nuvem é erro inacessível recebido para o ampère

Erros de GUI 7.x expressos do gerente das comunicações unificadas

A configuração de NAT e as recomendações ASA para Expressway-e Dual aplicação das interfaces de rede

Centro de gerenciamento da potência de fogo: Contadores de acertos da política do controle de acesso do indicador

Configuração de exemplo utsando o comando ip nat outside source static

Função de balanceamento de carga IO NAT com roteamento de extremidade aperfeiçoado para duas conexões com o Internet

Configurar a característica do desvio do estado TCP no 5500 Series ASA

Configuração do log de sistema na série do VPN Router RV320 e RV325

Configurando ajustes e Failover avançados do VPN de Site-para-Site no RV160 e no RV260

Configurando o Cisco VPN Client 3.5 e o Cisco Integrated Client para tráfego não criptografado seguro ao utilizar o tunelamento por divisão

Configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT com o servidor Radius

Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour. Filtros de Pacotes Criptografia, Certificados Digitais VPN

Configuração do L2TP no VPN Router do Sem fio WRVS4400N

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

Interop entre AnyConnect e o cliente vagueando de OpenDNS

Configurar um server público com Cisco ASDM

Configuração de Tradução de Endereço de Rede e Tradução de Endereço de Porta Estática para Suportar um Servidor Interno de Web

Como pesquisar defeitos de o erro nenhuma resposta HTTPS em TMS após a elevação dos valores-limite TC/CE

Configurar capturas de pacote de informação em AireOS WLC

Como obter informações de relatório de endereço MAC e IP usando SNMP

Series Router de Cisco rv (RV320) Adaptadores dos Serviços integrados do Cisco 500 Series (ISA570)

Ajustes da política do Virtual Private Network (VPN) em RV120W e em RV220W

Conectividade de porta e Troubleshooting do dispositivo UCS

Configuração do acesso remoto VPN de AnyConnect em FTD

Usando o Cisco IOS Firewall para permitir Java applets dos locais conhecidos ao negar outro

FTD: Como permitir a configuração do desvio do estado TCP usando a política de FlexConfig

ASA 8.X: Distribuindo o tráfego SSL VPN com o exemplo em túnel da configuração de gateway de voz padrão

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Gerenciamento e interoperabilidade de redes Prof. João Henrique Kleinschmidt Prática Packet tracer Segurança: Firewall, ACLS e VPN

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

Configurar o IPSEC ISE 2.2 para fixar uma comunicação NAD (ASA)

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

Aplicações e comportamento da fragmentação EAP

Configurar o proxy WebRTC com o CMS sobre Expressway com domínio duplo

Configurar o WLC com autenticação LDAP para o 802.1x e o Web-AUTH WLAN

Configuração de NAT básica ASA: Servidor de Web no DMZ na versão ASA 8.3 e mais atrasado

Limitação de largura de banda para usuários PPTP no Roteadores RV016, RV042, RV042G e RV082 VPN

Configurar o acesso do telnet/ssh ao dispositivo com VRF

Pratica de Arquitetura DMZ. Cisco ASA 5505

Permita o LAT sobre um túnel GRE com exemplo de configuração da Conversão de protocolo

Pré-requisitos. Requisitos. Componentes Utilizados

Como Preencher Rotas Dinâmicas, Usando Injeção de Rota Reversa

Configurar o cliente fácil ao Virtual Private Network (VPN) do gateway na série do VPN Router RV320 e RV325

GRE sobre o IPsec com o EIGRP a distribuir com um exemplo de configuração do hub e das sites remoto múltiplo

Capítulo 5 Sumário. Formato das Mensagens ICMP. Tipos de Mensagens ICMP

Configuração do gateway ao gateway VPN no Roteadores RV016, RV042, RV042G e RV082 VPN

Configurar um perfil da segurança de protocolo do Internet (IPSec) em um roteador do RV34x Series

Transcrição:

O cliente de AnyConnect reconecta cada minuto que causa um rompimento no fluxo de tráfego Índice Introdução Componentes afetados Sintomas Descrição do problema Causas Os DTL são obstruídos em algum lugar no trajeto Resolução Uso de uma porta não-padrão DTL Resolução Reconecte trabalhos Caveats Informações Relacionadas Introdução Este documento discute a encenação específica onde o cliente de AnyConnect pôde reconectar à ferramenta de segurança adaptável (ASA) em exatamente um minuto. Os usuários não puderam poder receber o tráfego sobre o túnel do Transport Layer Security (TLS) até que AnyConnect reconecte. Isto é dependente de alguns outros fatores que são discutidos neste documento. Componentes afetados Liberação 9.0 ASA ou liberação 9.1 3.0 da versão cliente de AnyConnect ou liberação 3.1 Sintomas Neste exemplo, o cliente de AnyConnect é mostrado enquanto reconecta ao ASA. Este Syslog é visto no ASA: %ASA-6-722036: Group <ac_users_group> User <vpn> IP <10.1.75.111> Transmitting large packet 1418 (threshold 1347).

Descrição do problema Estes logs dos diagnósticos e da ferramenta de relatório (DARDO) são considerados com esta edição: Description : Reconfigure reason code 16: New MTU configuration. Description : The entire VPN connection is being reconfigured. Source : acvpnui Description : Message type information sent to the user: Reconnecting to 10.1.1.2... Description : A new MTU needs to be applied to the VPN network interface. Disabling and re-enabling the Virtual Adapter. Applications utilizing the private network may need to be restarted. Causas A causa desta edição é a falha construir um túnel da Segurança da camada de transporte de datagram (DTL). Isto podia ser devido a duas razões: Os DTL são obstruídos em algum lugar no trajeto Uso de uma porta não-padrão DTL Os DTL são obstruídos em algum lugar no trajeto

Até à data do ASA libere a liberação 3.x 9.x e de AnyConnect, uma otimização foi introduzido sob a forma das unidades máximas distintas da transição (MTU) que são negociadas para TLS/DTLS entre o client/asa. Previamente, o cliente derivou uma estimativa bruta MTU que cobrisse ambos os TLS/DTLS e fosse obviamente menos do que ótimo. Agora, o ASA computa a carga adicional de encapsulamento para ambos os TLS/DTLS e deriva os valores MTU em conformidade. Enquanto os DTL são permitidos, o cliente aplica os DTL MTU (neste caso 1418) no adaptador de VPN (que é permitido antes que o túnel DTL esteja estabelecido e precisado para rotas/aplicação dos filtros), para assegurar o desempenho ideal. Se o túnel DTL não pode ser estabelecido ou está deixado cair em algum momento, o cliente falha sobre ao TLS e ajusta o MTU no adaptador virtual (VA) ao valor TLS MTU (este exige um nível da sessão reconecta). Resolução A fim eliminar esta transição visível dos DTL > o TLS, o administrador podem configurar um grupo do túnel separado para o acesso TLS somente para os usuários que têm o problema com o estabelecimento do túnel DTL (tal como devido às restrições de firewall). 1. A melhor opção é ajustar o valor de AnyConnect MTU para ser mais baixa do que o TLS MTU, que é negociado então. Description : Reconfigure reason code 16: New MTU configuration. Description : The entire VPN connection is being reconfigured. Source : acvpnui Description : Message type information sent to the user: Reconnecting to 10.1.1.2... Description : A new MTU needs to be applied to the VPN network interface.

Disabling and re-enabling the Virtual Adapter. Applications utilizing the private network may need to be restarted. 2. Isto faz os valores TLS e DTL MTU iguais. As reconexões não são consideradas neste caso. A segunda opção é permitir a fragmentação. Description : Reconfigure reason code 16: New MTU configuration. Description : The entire VPN connection is being reconfigured. Source : acvpnui Description : Message type information sent to the user: Reconnecting to 10.1.1.2... Description : A new MTU needs to be applied to the VPN network interface. Disabling and re-enabling the Virtual Adapter. Applications utilizing the private network may need to be restarted. Com fragmentação, os grandes pacotes (cujo o tamanho excede o valor MTU) podem ser fragmentados e enviado através do túnel TLS. 3. A terceira opção é ajustar o Maximum Segment Size (MSS) a 1460 como segue: Description : Reconfigure reason code 16: New MTU configuration.

Description : The entire VPN connection is being reconfigured. Source : acvpnui Description : Message type information sent to the user: Reconnecting to 10.1.1.2... Description : A new MTU needs to be applied to the VPN network interface. Disabling and re-enabling the Virtual Adapter. Applications utilizing the private network may need to be restarted. Neste caso, o TLS MTU será 1427 (RC4/SHA1) que é maior do que os DTL MTU 1418 (AES/SHA1/LZS). Isto deve resolver a edição com o TCP do ASA ao cliente de AnyConnect (agradecimentos ao MSS), mas o grande tráfego UDP do ASA ao cliente de AnyConnect pôde sofrer deste porque será deixado cair pelo cliente de AnyConnect devido ao cliente mais baixo MTU 1418 de AnyConnect. Se os tcpmss conexão do sysopt são alterados, pôde afetar outros recursos tais como túneis do IPSec VPN do LAN para LAN (L2L). Uso de uma porta não-padrão DTL Uma outra causa potencial para a falha DTL está permitindo DTL em uma porta não-padrão depois que o WebVPN é permitido (por exemplo, quando o webvpn permite o comando exterior está incorporado). Isto é devido à identificação de bug Cisco CSCuh61321 e foi visto na liberação 9.x onde o ASA empurra a porta não-padrão para o cliente, mas continua a escutar a porta padrão. Consequentemente, os DTL não são construídos e AnyConnect reconecta. webvpn port 444 enable outside dtls port 444 anyconnect enable Protocol Socket State Local Address Foreign Address SSL 0001fc08 LISTEN 172.16.11.1:444 0.0.0.0:*

DTLS 00020dc8 LISTEN 172.16.11.1:443 0.0.0.0:* Depois que o túnel TLS é estabelecido, o cliente tenta estabelecer os DTL escava um túnel à porta 444 como esperado: A ordem dos comandos que conduzem ao problema e aos soquetes acelerados da tabela do trajeto da Segurança (ASP) abertos é: 1. Comece com os soquetes WebVPN não permitidos. ciscoasa(config)# show run webvpn webvpn anyconnect image disk0:/anyconnect-win-3.1.04066-k9.pkg 1 anyconnect enable 2. ciscoasa(config)# show asp table socket Protocol Socket State Local Address Foreign Address ciscoasa(config)# Mude a porta TLS a 444 e permita o WebVPN. show run webvpn webvpn port 444 enable outside anyconnect image disk0:/anyconnect-win-3.1.04066-k9.pkg 1 anyconnect enable 3. show asp tabl socket Protocol Socket State Local Address Foreign Address SSL 0001fc08 LISTEN 172.16.11.1:444 0.0.0.0:* DTLS 00020dc8 LISTEN 172.16.11.1:443 0.0.0.0:* Mude os DTL movem a 444. show run webvpn webvpn port 444 enable outside dtls port 444 anyconnect image disk0:/anyconnect-win-3.1.04066-k9.pkg 1 anyconnect enable Protocol Socket State Local Address Foreign Address SSL 0001fc08 LISTEN 172.16.11.1:444 0.0.0.0:* DTLS 00020dc8 LISTEN 172.16.11.1:443 0.0.0.0:* Note: A porta do soquete DTL é ainda 443. Neste momento os clientes de AnyConnect estabelecem DTL a 444 embora! Resolução A ação alternativa para este problema é seguir a ordem de: 1. Desabilite o WebVPN.

2. Entre na porta DTL. 3. Permita o WebVPN. Este comportamento não existe nas versões da liberação 8.4.x, aonde os soquetes DTL obtêm actualizados com as portas configuradas imediatamente depois que a configuração é incorporada: Liberação 8.4.6 ASA: port 444 enable outside Reconecte trabalhos Supõe que estas cifras estão configuradas: port 444 enable outside Esta sequência de evento ocorre neste caso: AnyConnect estabelece um túnel do pai e uns dados TLS escavam um túnel com o RC4-SHA como a criptografia SSL. Os DTL são obstruídos no trajeto e um túnel DTL não pode ser estabelecido. O ASA anuncia parâmetros a AnyConnect, que inclui os valores TLS e DTL MTU, que são dois valores separados. OS DTL MTU são 1418 à revelia. O TLS MTU é calculado do valor dos tcpmss conexão do sysopt (o padrão é 1380). Isto é como o TLS MTU é derivado (como visto do anyconnect do webvpn debugar output):

port 444 enable outside AnyConnect traz o adaptador de VPN acima e atribui-lhe DTL MTU na antecipação que poderá conectar através dos DTL. O cliente de AnyConnect é conectado agora e o usuário vai a um Web site particular. O navegador envia TCP SYN e ajusta-se MSS = 1418-40 = 1378 nele. O Server do HTTP no interior do ASA envia pacotes do tamanho 1418. O ASA não pode pô-los no túnel e não pode fragmentá-los porque têm don't fragment (DF) o jogo do bit. Cópias ASA port 444 enable outside e pacotes das gotas com razão da gota MP-SVC-nenhum-fragmento-ASP. Ao mesmo tempo o ASA envia o destino ICMP inacessível, fragmentação necessária o remetente: port 444 enable outside Se o Internet Control Message Protocol (ICMP) é permitido, a seguir o remetente retransmite pacotes descartado e tudo começa trabalhar. Se o ICMP é obstruído, a seguir o tráfego

blackholed no ASA. Depois que diversos retransmitem compreende que o túnel DTL não pode ser estabelecido e precisa de atribuir novamente um valor novo MTU ao adaptador de VPN. A finalidade desta reconecta é atribuir um MTU novo. Para obter mais informações sobre de reconecte o comportamento e os temporizadores, veem AnyConnect FAQ: Os túneis, reconectam o comportamento, e o temporizador de inatividade Caveats A identificação de bug Cisco CSCuh61321 AC 3.1:ASA segura incorretamente DTL alternativos move, causas reconecta Informações Relacionadas AnyConnect FAQ: Os túneis, reconectam o comportamento, e o temporizador de inatividade Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback