1 votes

Cisco VPN Client abandonne la connexion

En utilisant Windows XP et la version 5.0.4.xxx du client Cisco VPN pour se connecter à un site client distant. Nous parvenons à établir la connexion et à démarrer une session RDP, mais dans les 1 à 2 minutes, la connexion se coupe et la connexion VPN se déconnecte. Le PC effectuant la connexion est sur un DMZ qui est NATé vers une adresse IP publique.

Si nous déplaçons le PC directement sur Internet sans être sur le DMZ, la connexion fonctionne et nous ne rencontrons aucun problème de déconnexion. Nous utilisons un PIX 515E exécutant la version 7.2.4 et n'avons pas de problèmes avec des configurations similaires se connectant à d'autres sites clients depuis le DMZ.

La configuration VPN côté client est assez basique, utilisant IPSec sur le port TCP 10000. Je ne sais pas quel appareil ils utilisent du côté pair, mais je suppose que c'est un ASA.

Avez-vous une idée du problème? Ci-dessous se trouvent les journaux du client VPN lorsque le problème se produit. L'adresse IP réelle a été modifiée en : RemotePeerIP.

4 14:39:30.593 09/23/09 Sev=Info/4 CM/0x63100024 Tentative de connexion avec le serveur "RemotePeerIP"

5 14:39:30.593 09/23/09 Sev=Info/6 CM/0x6310002F Port TCP local alloué 1942 pour la connexion TCP.

6 14:39:30.796 09/23/09 Sev=Info/4 IPSEC/0x63700008 Le pilote IPSec a démarré avec succès

7 14:39:30.796 09/23/09 Sev=Info/4 IPSEC/0x63700014 Toutes les clés ont été supprimées

8 14:39:30.796 09/23/09 Sev=Info/6 IPSEC/0x6370002C 256 paquets envoyés, 0 ont été fragmentés

9 14:39:30.796 09/23/09 Sev=Info/6 IPSEC/0x63700020 SYN TCP envoyé à RemotePeerIP, port source 1942, port destination 10000

10 14:39:30.796 09/23/09 Sev=Info/6 IPSEC/0x6370001C SYN-ACK TCP reçu de RemotePeerIP, port source 10000, port destination 1942

11 14:39:30.796 09/23/09 Sev=Info/6 IPSEC/0x63700021 ACK TCP envoyé à RemotePeerIP, port source 1942, port destination 10000

12 14:39:30.796 09/23/09 Sev=Warning/3 IPSEC/0xA370001C Mauvais en-tête cTCP, Réservé 26984, Magic# 63697672h, longueur de l'en-tête 101, Version principale 13, Version mineure 10

13 14:39:30.796 09/23/09 Sev=Info/4 CM/0x63100029 Connexion TCP établie sur le port 10000 avec le serveur "RemotePeerIP"

14 14:39:31.296 09/23/09 Sev=Info/4 CM/0x63100024 Tentative de connexion avec le serveur "RemotePeerIP"

15 14:39:31.296 09/23/09 Sev=Info/6 IKE/0x6300003B Tentative d'établir une connexion avec RemotePeerIP

16 14:39:31.296 09/23/09 Sev=Info/4 IKE/0x63000013 ENVOI >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Frag), VID(Unity)) à RemotePeerIP

17 14:39:36.296 09/23/09 Sev=Info/4 IKE/0x63000021 Retransmission du dernier paquet!

18 14:39:36.296 09/23/09 Sev=Info/4 IKE/0x63000013 ENVOI >>> ISAKMP OAK AG (Retransmission) à RemotePeerIP

19 14:39:41.296 09/23/09 Sev=Info/4 IKE/0x63000021 Retransmission du dernier paquet!

20 14:39:41.296 09/23/09 Sev=Info/4 IKE/0x63000013 ENVOI >>> ISAKMP OAK AG (Retransmission) à RemotePeerIP

21 14:39:46.296 09/23/09 Sev=Info/4 IKE/0x63000021 Retransmission du dernier paquet!

22 14:39:46.296 09/23/09 Sev=Info/4 IKE/0x63000013 ENVOI >>> ISAKMP OAK AG (Retransmission) à RemotePeerIP

23 14:39:51.328 09/23/09 Sev=Info/4 IKE/0x63000017 Marquage de l'IAK SA pour suppression (I_Cookie=AEFC3FFF0405BBD6 R_Cookie=0000000000000000) raison = DEL_REASON_PEER_NOT_RESPONDING

24 14:39:51.828 09/23/09 Sev=Info/4 IKE/0x6300004B Abandon de la négociation de l'IAK SA (I_Cookie=AEFC3FFF0405BBD6 R_Cookie=0000000000000000) raison = DEL_REASON_PEER_NOT_RESPONDING

25 14:39:51.828 09/23/09 Sev=Info/4 CM/0x63100014 Impossible d'établir la SA de phase 1 avec le serveur "RemotePeerIP" en raison de "DEL_REASON_PEER_NOT_RESPONDING"

26 14:39:51.828 09/23/09 Sev=Info/5 CM/0x63100025 Initialisation de CVPNDrv

27 14:39:51.828 09/23/09 Sev=Info/4 CM/0x6310002D Réinitialisation de la connexion TCP sur le port 10000

28 14:39:51.828 09/23/09 Sev=Info/6 CM/0x63100030 Suppression du port TCP local 1942 pour la connexion TCP.

29 14:39:51.828 09/23/09 Sev=Info/6 CM/0x63100046 Réglage du drapeau de tunnel établi dans le registre à 0.

30 14:39:51.828 09/23/09 Sev=Info/4 IKE/0x63000001 IKE a reçu un signal pour mettre fin à la connexion VPN

31 14:39:52.328 09/23/09 Sev=Info/6 IPSEC/0x63700023 RST TCP envoyé à RemotePeerIP, port source 1942, port destination 10000

32 14:39:52.328 09/23/09 Sev=Info/4 IPSEC/0x63700014 Toutes les clés ont été supprimées

33 14:39:52.328 09/23/09 Sev=Info/4 IPSEC/0x63700014 Toutes les clés ont été supprimées

34 14:39:52.328 09/23/09 Sev=Info/4 IPSEC/0x63700014 Toutes les clés ont été supprimées

35 14:39:52.328 09/23/09 Sev=Info/4 IPSEC/0x6370000A Le pilote IPSec s'est arrêté avec succès

Merci pour toute aide que vous pouvez fournir.

1voto

cchana Points 111

Je sais que ce n'est pas vraiment une explication, mais moi et (le service d'assistance informatique de l'entreprise) avons trouvé la version 4.x bien meilleure en ce qui concerne les déconnexions du VPN Cisco (surtout si vous utilisez le pare-feu F-Secure). Nous recommandons donc toujours aux gens de passer à l'ancienne version. Si quelqu'un connaît la vraie raison et comment configurer le pare-feu avec la version 5.x, j'aimerais entendre la solution.

0voto

Kirill Osenkov Points 3902

Vérifiez vos journaux de pare-feu et aussi l'utilisation de ses ressources, s'il est surchargé, il ne pourra pas routage de trafic. Causant les temps d'attente que vous rencontrez. Vérifiez également les statistiques d'interface sur le pare-feu et les commutateurs qui vous connectent au pare-feu / internet. Si vous perdez des paquets à cause d'un mauvais câble, vous aurez des problèmes.

Cela semble vraiment être le pare-feu qui ferme des ports, recherchez les paramètres de minuterie sur le pare-feu.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X