Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 17:53



Ответить на тему  [ Сообщений: 13 ] 
Cisco AnyConnect reconnects 
Автор Сообщение

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Всем привет!
Может кто сталкивался со следующей проблемой?
На Cisco 3945E настроен и работает SSL VPN через TLS Cisco AnyConnect.
После переключения обработки SSL трафика на VPN акселератор:
Код:
crypto engine accelerator bandwidth-allocation ssl fair

Пинги проходят без потерь, стабильно.. но вот весь остальной трафик RDP или SMB вызывает реконнекты Cisco AnyConnect, уменьшение MTU на клиентах до 1300 не помогло.
Код:
******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CSocketTransport::callbackHandler
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\common\ipc\sockettransport.cpp
Line: 1950
Invoked Function: ::WSAGetOverlappedResult
Return Code: 10054 (0x00002746)
Description: An existing connection was forcibly closed by the remote host.

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CSocketTransport::callbackHandler
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\common\ipc\sockettransport.cpp
Line: 1951
Invoked Function: ::WSASend/::WSASendTo
Return Code: 203 (0x000000CB)
Description: The system could not find the environment option that was entered.

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CTcpTransport::internalWriteSocket
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\common\ipc\udptcptransports_win.cpp
Line: 432
Invoked Function: ::WSASend
Return Code: 10054 (0x00002746)
Description: An existing connection was forcibly closed by the remote host.

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CTlsProtocol::OnSocketWriteComplete
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tlsprotocol.cpp
Line: 771
Invoked Function: CSocketTransport::writeSocket
Return Code: -31588312 (0xFE1E0028)
Description: SOCKETTRANSPORT_ERROR_GET_RESULT_FAILURE:The system get result call for the socket failed.

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CCstpProtocol::OnTunnelWriteComplete
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\cstpprotocol.cpp
Line: 1827
Invoked Function: CSslProtocol::OnTunnelWriteComplete
Return Code: -31588312 (0xFE1E0028)
Description: SOCKETTRANSPORT_ERROR_GET_RESULT_FAILURE:The system get result call for the socket failed.

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CTunnelStateMgr::OnTunnelWriteComplete
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tunnelstatemgr.cpp
Line: 1631
Invoked Function: Write tunnel callback status
Return Code: -31588312 (0xFE1E0028)
Description: SOCKETTRANSPORT_ERROR_GET_RESULT_FAILURE:The system get result call for the socket failed.
SSL

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CTlsTunnelMgr::OnTunnelWriteComplete
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tlstunnelmgr.cpp
Line: 1973
Invoked Function: CTunnelStateMgr::writeTunnel
Return Code: -31588312 (0xFE1E0028)
Description: SOCKETTRANSPORT_ERROR_GET_RESULT_FAILURE:The system get result call for the socket failed.
callback

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Warning
Source      : acvpnagent

Description : Tunnel level reconnect reason code 6:
Disruption of the VPN connection to the secure gateway.
Caching the default reconnect reason for SSL

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Information
Source      : acvpnagent

Description : The Primary SSL connection to the secure gateway is being re-established.

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Information
Source      : acvpnagent

Description : Function: CTND::OnTunnelStateChange
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tnd.cpp
Line: 2045
tunnel state change notification (new 1, old 1)

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Information
Source      : acvpnagent

Description : The VPN client has sent the following close message to the gateway:
Reconnecting the VPN tunnel.

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Warning
Source      : acvpnagent

Description : A SSL Alert was sent by the client during a write operation.  Severity: warning Description: close notify

*****************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CSocketTransport::completeWriteRequest
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\common\ipc\sockettransport.cpp
Line: 864
Invoked Function: CSocketTransport::internalWriteSocket
Return Code: -31588341 (0xFE1E000B)
Description: SOCKETTRANSPORT_ERROR_WRITE

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CTlsProtocol::OnSocketWriteComplete
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tlsprotocol.cpp
Line: 771
Invoked Function: CSocketTransport::writeSocket
Return Code: -31588341 (0xFE1E000B)
Description: SOCKETTRANSPORT_ERROR_WRITE

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CTlsProtocol::OnSocketWriteComplete
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tlsprotocol.cpp
Line: 794
Invoked Function: CTunnelTransport::OnSocketWriteComplete
Return Code: -31784958 (0xFE1B0002)
Description: TLSPROTOCOL_ERROR_BAD_PARAMETER

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CCstpProtocol::OnTunnelWriteComplete
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\cstpprotocol.cpp
Line: 1827
Invoked Function: CSslProtocol::OnTunnelWriteComplete
Return Code: -31588341 (0xFE1E000B)
Description: SOCKETTRANSPORT_ERROR_WRITE

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Error
Source      : acvpnagent

Description : Function: CTunnelStateMgr::OnTunnelWriteComplete
File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tunnelstatemgr.cpp
Line: 1631
Invoked Function: Write tunnel callback status
Return Code: -31588341 (0xFE1E000B)
Description: SOCKETTRANSPORT_ERROR_WRITE
SSL

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Information
Source      : acvpnui

Description : VPN state: Reconnecting
Network state: Network Accessible
Network control state: Network Access: Restricted
Network type: Undefined

******************************************
Date        : 10/17/2020
Time        : 02:12:46
Type        : Information
Source      : acvpnui

Description : Message type information sent to the user:
Reconnecting to VPN...


17 окт 2020, 03:22
Профиль

Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 103
какая версия эниконнект используется на клиентах?

Можно конфиг подключения выложить?


17 ноя 2020, 18:27
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Praporwik писал(а):
какая версия эниконнект используется на клиентах?

Можно конфиг подключения выложить?


IOS 15.7(3)M7
AnyConnect v. 4.8.03036

Код:
webvpn gateway SSLVPN-GW
 ip address AA.BB.CC.DD port 443 
 http-redirect port 80
 ssl trustpoint SSLVPN-CERT
 logging enable
 inservice
 !
webvpn context SSLVPN-CONTEXT
 virtual-template 3
 aaa authentication list RADIUS
 aaa authentication domain @domain.com
 aaa accounting list RADIUS
 gateway SSLVPN-GW
 logging enable
 !
 nbns-list "SSLVPN-WINS"
   nbns-server 192.168.100.11 master
 ssl authenticate verify all
 inservice
 !
 policy group SSLVPN-POL
   functions svc-enabled
   timeout session 86400
   filter tunnel ACL_SSLVPN
   svc address-pool "SSLVPN-POOL" netmask 255.255.255.0
   svc default-domain "domain.com"
   svc keep-client-installed
   svc mtu 1378
   svc profile SSLVPN-PROFILE
   svc split include acl ACL_SPLIT_SSLVPN
   svc dns-server primary 192.168.100.11
   svc dns-server secondary 192.168.20.11
   svc wins-server primary 192.168.100.11
   svc dtls


interface Virtual-Template3
 description ---SSLVPN---
 ip unnumbered Loopback1
 ip mtu 1378
 ip flow egress
 zone-member security ZONE_IN
 ip tcp adjust-mss 1338
 qos pre-classify


03 апр 2021, 13:20
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Обновился до 4.9.06037.
Картина такая же.

Вижу, что сессии мои попадают в аппаратный ускоритель, пинги бегают, но как только пытаюсь, например открыть по впн сайт по http, то начинаются 100% потери пакетов пинга.

Код:
#sh crypto engine accelerator ring control         

Device:   Onboard VPN
Location: Onboard: 0
Active IPSec flows


****Flow id:    4, dir:  in, esp: yes, ah:  no, comp:  no
    esp_spi: 0x867C9395, esp_cipher:  aes128cbc, esp_auth: sha1hmac96
    mode: tunnel

****Flow id:    6, dir: out, esp: yes, ah:  no, comp:  no
    esp_spi: 0xC7A8470F, esp_cipher:  aes128cbc, esp_auth: sha1hmac96
    mode: tunnel

Active SSL sessions


    Conn:   32, version: 0x0301, suite: 47, blen: 16, hash size: 20
    Conn:   36, version: 0x0301, suite: 53, blen: 16, hash size: 20
    Conn:   37, version: 0x0301, suite: 53, blen: 16, hash size: 20
    Conn:   38, version: 0x0301, suite: 53, blen: 16, hash size: 20



14 апр 2021, 20:52
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Вижу, что сессии мои попадают в аппаратный ускоритель, пинги бегают, но как только пытаюсь, например открыть по впн сайт по http, то начинаются 100% потери пакетов пинга, как запросы по http останавливаются - пинг по впн нормализуется.

Код:
#sh crypto engine br
        crypto engine name:  Virtual Private Network (VPN) Module
        crypto engine type:  hardware
                     State:  Enabled
                  Location:  onboard 0
              Product Name:  Onboard-VPN
              Boot Version:  BOOT-2.00
             IPsec Version:  IPSEC-MAIN-0022
          SSL Acceleration:  Yes
               SSL Version:  SSL-MAIN-0009
                   pci_bar:  0xFDF00000
           Device timeouts:  0
      Device IPCOMP Errors:  0
                  SA drops:  0
               Compression:  Yes
                       DES:  Yes
                     3 DES:  Yes
                   AES CBC:  Yes (128,192,256)
                  AES CNTR:  No
     Maximum buffer length:  4096
          Maximum DH index:  6399
          Maximum SA index:  6399
        Maximum Flow index:  6399
      Maximum RSA key size:  2048


        crypto engine name:  Cisco VPN Software Implementation
        crypto engine type:  software
             serial number:  D9D5
       crypto engine state:  installed
     crypto engine in slot:  N/A



14 апр 2021, 21:41
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Кстати, по SSH подключаюсь к серверам по впн - проблем нет :)
А RDP, HTTP\HTTPS, SMB... вылетает AnyConnectVPN, как начинаю подключаться.
В дебаге webvpn на маршрутизаторе ничего странного не увидел.


15 апр 2021, 02:03
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
а толстые пакеты ходят?


15 апр 2021, 08:14
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
aliotru писал(а):
а толстые пакеты ходят?


в настройках впн выставлено ip mtu = 1378, так и есть:

Код:
#ping server1 -f -l 1351

Pinging server1 [192.168.100.14] with 1351 bytes of data:
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.

Ping statistics for 192.168.100.14:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

# ping server1 -f -l 1350

Pinging server1 [192.168.100.14] with 1350 bytes of data:
Reply from 192.168.100.14: bytes=1350 time=10ms TTL=62
Reply from 192.168.100.14: bytes=1350 time=8ms TTL=62
Reply from 192.168.100.14: bytes=1350 time=8ms TTL=62
Reply from 192.168.100.14: bytes=1350 time=9ms TTL=62

Ping statistics for 192.168.100.14:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 8ms, Maximum = 10ms, Average = 8ms


Если смотреть дамп трафика, то ip tcp adjust-mss 1338 срабатывает корректно.
Уменьшение MTU до 1300 не помогает.

Нашел удаленную машину на WinXP (SSLv3), к ней по RDP коннектиться можно, есть периодические зависания (на пинге можно увидеть задержки до 1 с), но главное anyconnect не вылетает :)


15 апр 2021, 14:17
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
itsec писал(а):
На Cisco 3945E настроен и работает SSL VPN через TLS Cisco AnyConnect.
После переключения обработки SSL трафика на VPN акселератор:

crypto engine accelerator bandwidth-allocation ssl fair

Пинги проходят без потерь, стабильно.. но вот весь остальной трафик RDP или SMB вызывает реконнекты Cisco AnyConnect

Почитайте вот:

Cisco Bug: CSCun91977 - C3900 - Anyconnect on MAC/Linux fails with SSL hardware acceleration

Symptom: Anyconnect on MAC/Linux fails to connect to Cisco C3900E router when SSL hardware acceleration is enabled.

Conditions: This symptom is observed when SSL hardware acceleration
is enabled - "crypto engine accelerator bandwidth-allocation ssl fair".

https://quickview.cloudapps.cisco.com/q ... CSCun91977

Попробуйте обновить IOS на самый свежий из стабильных.

_________________
Knowledge is Power


23 апр 2021, 06:40
Профиль

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Silent_D писал(а):
Попробуйте обновить IOS на самый свежий из стабильных.


CSCun91977 это не мой случай, ее давно уже пофиксили. Я уже три раза IOS обновлял.

Мне кажется криптомодуль просто криво работает с публичным сертификатом на sha256, либо не поддерживает sha256.


23 апр 2021, 18:03
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Меня немного смущает, что про этот баг сказано, что
Last Modified:
Nov 27,2020.

А это после выхода вашего софта.

Наверное, это просто какая-то случайность, потому что баг сам 14-15-ого годов.
Но попробуйте всё же, правда, обновиться до самого свежего софта (15.7(3)M8, если в рамках той же ветки). Ваша версия, конечно, тоже MD, но тут на .8 они звёздочку поставили. И да, я знаю, что в списке исправленных багов нет ничего похожего. :-(
Попробуйте, кстати, CLIAnalyser. Может быть, он что-то разумное покажет.


26 апр 2021, 11:16
Профиль WWW

Зарегистрирован: 16 авг 2016, 20:33
Сообщения: 38
Black Fox писал(а):
Меня немного смущает, что про этот баг сказано, что
Last Modified:
Nov 27,2020.

А это после выхода вашего софта.

Наверное, это просто какая-то случайность, потому что баг сам 14-15-ого годов.
Но попробуйте всё же, правда, обновиться до самого свежего софта (15.7(3)M8, если в рамках той же ветки). Ваша версия, конечно, тоже MD, но тут на .8 они звёздочку поставили. И да, я знаю, что в списке исправленных багов нет ничего похожего. :-(
Попробуйте, кстати, CLIAnalyser. Может быть, он что-то разумное покажет.


Это точно никак не связано с версией IOS или клиента.
У знакомого на таком же IOS и версии клиента, все работает без проблем.
Скорее что-то в конфигурации или в сертификате.


30 апр 2021, 17:03
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Программный дефект может быть и у Вас, и у Вашего друга. Вопрос только в том, что у Вас есть некий тригер, который заставляет его сработать. Если есть smart-net - откройте TAC-кейс.


04 май 2021, 11:27
Профиль WWW
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 13 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot], sufee2000 и гости: 48


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB