上周末,我完成了 Cisco ASA 5512 的安装和测试,以替换我们的旧路由器/防火墙。今天,我一直在努力解决浏览器始终无法通过 SSL 连接以通过 VPN 交换 OWA 的问题。有时计算机会启动得很好,连接到 VPN,并连接到交换 OWA 就好了,其他时候他们不会连接。无论是否已连接,它们似乎都以这种方式始终如一地工作,直到计算机重新启动。
在 ASA 上运行数据包捕获似乎表明,当它成功时,它使用的是先前建立的 SSL 会话,而当它失败时,它似乎是在建立会话期间,但我必须承认我的网络诊断技能并非完全无懈可击. 失败期间的数据包捕获不会显示服务器发出的数据包的任何 ACK。然而,服务器正在为客户端的数据包发送 ACK。
可以在此处找到一个包含成功连接和失败连接的简单 pcap 文件。我对原因的评估是否准确?可能导致问题的原因是什么?解决问题的进一步步骤的解决方案是什么?
编辑:第二天更新。
该问题似乎与 MTU 大小、VPN 和 ASA 在需要对数据进行分段但不能传输 ICMP 不可达数据包有关。
在设置了 Don't Fragment 位的情况下使用各种大小的 ping 并更改面向 Internet 的端口上的 ASA 的 MTU,我发现了以下内容:
我可以用小数据包 ping 互联网和 VPN 连接的计算机。
当路由器的面向互联网的端口设置为 1500 的 MTU 时,我可以使用高达 1472 的数据包 ping 互联网上的计算机,超过此值我的计算机(也设置为 1500 的 MTU)告诉我数据包必须被分段. 到目前为止,这正是我所期望的。
当路由器的面向 Internet 的端口设置为 1500 的 MTU 时,我只能使用最大 1356 的数据包 ping 连接到 VPN 的计算机,此后数据包超时。这不是我所期望的。即使数据包过大,我也应该得到一个 ICMP 响应,说明数据包被丢弃,因为它需要被分段并且 DF 位被设置。
一旦我将路由器的面向互联网的端口降低到 1400 的 MTU,我就可以 ping 互联网上的计算机,将数据包连接到 1372,然后数据包超时。再一次,我们遇到了问题。我希望最多只能发送 1372 个数据包,但是在 1373(我们低于我计算机的 MTU 但低于具有 28 字节标头的路由器的 MTU)路由器应该给我发回一个响应,说数据包需要将被分段,但 DF 位已设置。
尝试 ping 通过 VPN 连接的计算机时,也会相应地下降到 1256,对更多字节的 ping 没有响应。
当 ASA 无法转发数据包时,它不应该回复 ICMP 数据包吗?在设置路由器的过程中,是否有我不小心激活的某个设置禁用了此功能?
经过多次查看、ping 不同的内容并在 Cisco 论坛上发帖后,最终问题是 ASA 5512-X 固件版本 9.1(3) 中的错误。根据我的配置,ASA 不会响应任何太大的 ping 或任何太大而无法通过 VPN 转发的数据包。临时解决方案是减少需要通过 VPN 访问的服务器上的 MTU。当我拿到思科合同后,最终的解决方案是将 ASA 更新到版本 9.1(6),这完全解决了问题。
| 归档时间: |
|
| 查看次数: |
506 次 |
| 最近记录: |