Capture de paquets VPN sur l'ASA5505

Les paquets ESP devraient être capturés sans problème - ils ne seront simplement pas très utiles pour voir s'il y a une réinitialisation, puisqu'ils sont toujours cryptés (quelle est la liste de contrôle d'accès (ACL) ou la déclaration de correspondance (match statement) sur votre site Web ? capture ressembler ?).

Essayer de faire correspondre les horodatages des paquets ESP aux horodatages des paquets de réinitialisation est le meilleur moyen auquel je pense pour déterminer si l'ASA génère les réinitialisations.

Question bête : quel est votre timeout conn sur l'ASA est réglé sur ?

Cette ligne provient-elle de la configuration réelle de l'ASA ?

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

Si oui, alors c'est votre réponse, c'est le pare-feu. TCP n'implémente aucun mécanisme pour déterminer si une connexion est toujours vivante ou non (à ma connaissance). Le client et le serveur devraient donc, en théorie, être parfaitement satisfaits de maintenir la session même si aucune donnée ne circule. L'un ou l'autre peut implémenter les keepalives TCP mais cela aurait l'effet inverse de ce que vous voyez. Un keepalive TCP de l'un ou l'autre côté amènerait le pare-feu à considérer la connexion comme active.

La terminaison normale d'une connexion TCP consiste pour l'hôte qui a initié la connexion à envoyer un FIN à l'autre extrémité, ce qui donne une connexion à moitié fermée du point de vue de l'initiateur et (sauf problème) la connexion TCP se poursuivra par le processus de fermeture. Ce processus est gracieux et ne provoque pas de RST TCP. Si l'un des deux côtés de la connexion tombe en panne, il en résultera une connexion semi-ouverte, mais là encore, aucun des deux côtés ne peut le détecter (à ma connaissance) et aucun RST ne sera émis, sauf par le pare-feu. Aucun des deux côtés ne devrait envoyer de RST en raison d'une longue connexion inactive, à moins que le logiciel de l'un ou l'autre côté (logiciel client telnet ou logiciel serveur telnet) ne soit programmé pour émettre un RST ou un type de commande de fin pour les connexions inactives longues.

À titre de test (et pour pouvoir effectuer une capture sur l'interface externe du pare-feu), vous pourriez envisager d'établir une session telnet vers un autre serveur (si disponible) qui ne transite pas par la connexion VPN et la laisser en veille. Vous pourriez aussi probablement faire un test en établissant une connexion FTP vers un serveur externe qui ne transite pas par la connexion VPN et la laisser inactive. Si vous constatez le même comportement RST, je pense qu'il est fort probable que le pare-feu en soit la cause.

Avez-vous envisagé d'appliquer un timeout TCP sur la connexion entre le serveur d'applications et le serveur telnet ? J'essaierais de l'appliquer sur l'interface de votre ASA la plus proche de votre serveur d'applications, après l'avoir testé.

Voici un exemple : access-list no_tcp_timeout extended permit ip object appserver object telnetserver

class-map no_tcp_timeout match access-list no_tcp_timeout

politique-map dmz_policy classe no_tcp_timeout

politique de service dmz_policy interface dmz