Garra-67 Опубликовано 23 октября, 2023 · Жалоба Есть в качестве роутера Cisco pix на софте 8.0.4. Настроен классический PAT по букварю, инет работает, вроде все хорошо. Вылезла такая проблема - при попытке установить из внутренней сети cisco vpn всё глухо. Выглядит как идет попытка обмена данными, потом все тихо и отваливается по таймауту. pix как фареволл всё запрещает, надо разрешать руками. В примерах в основном рассмотрено когда pix сам в качестве vpn сервера или клиента. Что крутить, куда смотреть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 23 октября, 2023 · Жалоба Что выступает на другой стороне VPN-сервером? На нем разрешен NAT-T? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Garra-67 Опубликовано 23 октября, 2023 · Жалоба На той стороне скорее всего ASA. На обычных роутерах типа 2811 и пластике все работает. В логах видно при попытке соединения Inbound TCP connection denied from (адрес впн)/443 to (адрес out)/7559 flags RST ACK on interface out Ощущение , что приходит в ответ еще одно входящее соединение, которое pix по своей сути дропает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 24 октября, 2023 · Жалоба Клиент AnyConnect, тип подключения DTLS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Garra-67 Опубликовано 25 октября, 2023 · Жалоба Клиенты AnyConnect. причем версии разные. Думали в них дело, оказалось нет. DTLS возможно, там чтото корпоративное наверчено, подробности смотреть не дает. Политики безопасности на клиентских ноутах все равно не даут ничего поменять. Через мобильный инет работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 31 октября, 2023 · Жалоба В 23.10.2023 в 18:30, Garra-67 сказал: Inbound TCP connection denied from (адрес впн)/443 to (адрес out)/7559 flags RST ACK Это очень странно, так как DTLS использует UDP. Но даже если PIX не пропускает UDP, оно бы падало в обычный TLS, неотличимый от веб-трафика. Возможно, это работа DPD со стороны VPN-сервера, или как раз её отсутствие. Есть возможность узнать, включен ли DPD на "голове"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Garra-67 Опубликовано 24 ноября, 2023 · Жалоба Что на сервере у клиентов не узнать. И дергать клиента постоянно пробовать поднять впн для отладки тож стремно, клиент может в бан улететь за многократные попытки авторизации. Читая забугорные форумы пришел к выводу, что софт на пиксе не знает расширения или изменения протокола и дропает его как плохой. Залейте новый софт, но в пикс другой не влить, это последний для этой серии. Заменили пикса на 2911 с nvi nat. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...