Garra-67 Posted October 23, 2023 Posted October 23, 2023 Есть в качестве роутера Cisco pix на софте 8.0.4. Настроен классический PAT по букварю, инет работает, вроде все хорошо. Вылезла такая проблема - при попытке установить из внутренней сети cisco vpn всё глухо. Выглядит как идет попытка обмена данными, потом все тихо и отваливается по таймауту. pix как фареволл всё запрещает, надо разрешать руками. В примерах в основном рассмотрено когда pix сам в качестве vpn сервера или клиента. Что крутить, куда смотреть? Вставить ник Quote
jffulcrum Posted October 23, 2023 Posted October 23, 2023 Что выступает на другой стороне VPN-сервером? На нем разрешен NAT-T? Вставить ник Quote
Garra-67 Posted October 23, 2023 Author Posted October 23, 2023 На той стороне скорее всего ASA. На обычных роутерах типа 2811 и пластике все работает. В логах видно при попытке соединения Inbound TCP connection denied from (адрес впн)/443 to (адрес out)/7559 flags RST ACK on interface out Ощущение , что приходит в ответ еще одно входящее соединение, которое pix по своей сути дропает. Вставить ник Quote
jffulcrum Posted October 24, 2023 Posted October 24, 2023 Клиент AnyConnect, тип подключения DTLS? Вставить ник Quote
Garra-67 Posted October 25, 2023 Author Posted October 25, 2023 Клиенты AnyConnect. причем версии разные. Думали в них дело, оказалось нет. DTLS возможно, там чтото корпоративное наверчено, подробности смотреть не дает. Политики безопасности на клиентских ноутах все равно не даут ничего поменять. Через мобильный инет работает. Вставить ник Quote
jffulcrum Posted October 31, 2023 Posted October 31, 2023 В 23.10.2023 в 18:30, Garra-67 сказал: Inbound TCP connection denied from (адрес впн)/443 to (адрес out)/7559 flags RST ACK Это очень странно, так как DTLS использует UDP. Но даже если PIX не пропускает UDP, оно бы падало в обычный TLS, неотличимый от веб-трафика. Возможно, это работа DPD со стороны VPN-сервера, или как раз её отсутствие. Есть возможность узнать, включен ли DPD на "голове"? Вставить ник Quote
Garra-67 Posted November 24, 2023 Author Posted November 24, 2023 Что на сервере у клиентов не узнать. И дергать клиента постоянно пробовать поднять впн для отладки тож стремно, клиент может в бан улететь за многократные попытки авторизации. Читая забугорные форумы пришел к выводу, что софт на пиксе не знает расширения или изменения протокола и дропает его как плохой. Залейте новый софт, но в пикс другой не влить, это последний для этой серии. Заменили пикса на 2911 с nvi nat. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.