שאלה מה יגרום לכשל SSL לא עקבי על Cisco ASA VPN


במהלך סוף השבוע סיימתי את ההתקנה והבדיקה של Cisco ASA 5512 כדי להחליף את הנתב הישן / חומת האש. היום, אני מתמודדת עם בעיה של דפדפנים שלא מצליח להתחבר באמצעות SSL כדי להחליף OWA על VPN. לפעמים המחשב יהיה אתחול בסדר גמור, להתחבר VPN, ולהתחבר החליפין OWA בסדר גמור, פעמים אחרות הם לא מתחברים. ברגע שהם מחוברים או לא, נראה שהם פועלים כך באופן עקבי עד המחשב הוא מחדש.

הפעלת ללכוד מנות על ASA נראה להראות שכאשר זה מוצלח זה באמצעות הפעלת SSL הוקמה בעבר וכאשר זה נכשל זה נראה במהלך הקמת הפגישה, אבל אני חייב להודות מיומנויות האבחון הרשת שלי הם לא בדיוק מושלם . לכידת מנות במהלך כשל לא מציג ACKs עבור מנות שנשלחו על ידי השרת. השרת שולח ACKs עבור מנות של הלקוח עם זאת.

ניתן למצוא קובץ pcap פשוט המכיל חיבור מוצלח וחיבור כושל כאן. האם ההערכה שלי לגבי הסיבה מדויקת? מה עלול לגרום לבעיה ומה עשוי להיות פתרון של צעדים נוספים לפתרון הבעיה?

ערוך: יום שני עדכונים.

נראה שהבעיה קשורה לגדלי MTU, ל- VPN ול- ASA שאינם מעבירים מנות ICM שאינן ניתנות להשגה כאשר הוא זקוק לנתוני שבר, אך אינו יכול.

באמצעות pings בגדלים שונים עם להגדיר לא שברי להגדיר ושינויים MTU של ASA על האינטרנט מול היציאה גיליתי את הדברים הבאים:

אני יכול פינג הן אינטרנט ו- VPN המחוברים מחשבים בסדר גמור עם מנות קטנות.

כאשר יציאת האינטרנט הנתב של הנתב מוגדרת ל- MTU של 1500 אני יכול לבצע פינג מחשבים באינטרנט עם מנות עד 1472, שמעליהן המחשב שלי (שגם הוא מוגדר ל- MTU של 1500) אומר לי שהחבילה חייבת להיות מקוטעת . זה בדיוק כמו שהייתי מצפה עד כה.

כאשר הנמל הפונה לאינטרנט של הנתב מוגדר ל- MTU של 1500 אני יכול רק מחשבים פינג המחוברים לרשת VPN עם מנות עד 1356, ולאחר מכן את הזמן מנות. זה לא מה שהייתי מצפה. גם אם גודל המנות היה גדול, אני צריך לקבל תשובה ICMP בחזרה הקובע כי מנות ירד כי זה צריך להיות מקוטעת ואת סיבית DF נקבע.

ברגע שאני משחרר את יציאת האינטרנט של הנתב אל מול MTU של 1400, אני יכול פינג מחשבים באינטרנט עם מנות על 1372, לאחר מכן את מנות הזמן. שוב, יש לנו בעיה. הייתי מצפה רק לשלוח מנות עד 1372, אבל ב 1373 (כאשר אנחנו מתחת MTU המחשב שלי אבל מתחת MTU של הנתב עם 28 כותרות בתים) הנתב צריך לשלוח לי בחזרה תגובה אומר את הצרכים מנות כדי להיות מקוטעת אבל bit DF מוגדר.

יש גם ירידה המקביל ל 1256 בעת ניסיון פינג המחשב מחובר באמצעות VPN, ללא תגובה עבור pings עם יותר בתים.

האם ה- ASA לא יגיב עם מנות ICMP כאשר אין אפשרות להעביר מנות? במהלך תהליך הגדרת הנתב יש הגדרה איפשהו כי אני בטעות מופעלת כי פונקציונליות זו מושבתת?


5
2018-01-11 21:13






תשובות:


אחרי חבורה יותר להסתכל מסביב, pinging דברים שונים, וכן פוסט על פורומים סיסקו, את הבעיה הסופית היתה באג ב ASA 5512-X קושחה גרסה 9.1 (3). עם התצורה שלי, ASA לא היה להגיב על כל pings אשר היו גדולים או לכל מנות בכלל אשר היו גדולים להיות מועברת על פני VPN. הפתרון הזמני היה צמצום MTU בשרתים שצריכים לקבל גישה דרך ה- VPN. הפתרון הסופי, ברגע שיש לי את החוזה סיסקו בריבוע משם, היה לעדכן את ASA לגרסה 9.1 (6) אשר פתרו את הבעיה לחלוטין.


0
2018-01-20 22:08