|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
Cisco AnyConnect reconnects
Автор |
Сообщение |
itsec
Зарегистрирован: 16 авг 2016, 20:33 Сообщения: 38
|
Всем привет! Может кто сталкивался со следующей проблемой? На Cisco 3945E настроен и работает SSL VPN через TLS Cisco AnyConnect. После переключения обработки SSL трафика на VPN акселератор: Код: crypto engine accelerator bandwidth-allocation ssl fair Пинги проходят без потерь, стабильно.. но вот весь остальной трафик RDP или SMB вызывает реконнекты Cisco AnyConnect, уменьшение MTU на клиентах до 1300 не помогло. Код: ****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CSocketTransport::callbackHandler File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\common\ipc\sockettransport.cpp Line: 1950 Invoked Function: ::WSAGetOverlappedResult Return Code: 10054 (0x00002746) Description: An existing connection was forcibly closed by the remote host.
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CSocketTransport::callbackHandler File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\common\ipc\sockettransport.cpp Line: 1951 Invoked Function: ::WSASend/::WSASendTo Return Code: 203 (0x000000CB) Description: The system could not find the environment option that was entered.
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CTcpTransport::internalWriteSocket File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\common\ipc\udptcptransports_win.cpp Line: 432 Invoked Function: ::WSASend Return Code: 10054 (0x00002746) Description: An existing connection was forcibly closed by the remote host.
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CTlsProtocol::OnSocketWriteComplete File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tlsprotocol.cpp Line: 771 Invoked Function: CSocketTransport::writeSocket Return Code: -31588312 (0xFE1E0028) Description: SOCKETTRANSPORT_ERROR_GET_RESULT_FAILURE:The system get result call for the socket failed.
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CCstpProtocol::OnTunnelWriteComplete File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\cstpprotocol.cpp Line: 1827 Invoked Function: CSslProtocol::OnTunnelWriteComplete Return Code: -31588312 (0xFE1E0028) Description: SOCKETTRANSPORT_ERROR_GET_RESULT_FAILURE:The system get result call for the socket failed.
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CTunnelStateMgr::OnTunnelWriteComplete File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tunnelstatemgr.cpp Line: 1631 Invoked Function: Write tunnel callback status Return Code: -31588312 (0xFE1E0028) Description: SOCKETTRANSPORT_ERROR_GET_RESULT_FAILURE:The system get result call for the socket failed. SSL
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CTlsTunnelMgr::OnTunnelWriteComplete File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tlstunnelmgr.cpp Line: 1973 Invoked Function: CTunnelStateMgr::writeTunnel Return Code: -31588312 (0xFE1E0028) Description: SOCKETTRANSPORT_ERROR_GET_RESULT_FAILURE:The system get result call for the socket failed. callback
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Warning Source : acvpnagent
Description : Tunnel level reconnect reason code 6: Disruption of the VPN connection to the secure gateway. Caching the default reconnect reason for SSL
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Information Source : acvpnagent
Description : The Primary SSL connection to the secure gateway is being re-established.
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Information Source : acvpnagent
Description : Function: CTND::OnTunnelStateChange File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tnd.cpp Line: 2045 tunnel state change notification (new 1, old 1)
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Information Source : acvpnagent
Description : The VPN client has sent the following close message to the gateway: Reconnecting the VPN tunnel.
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Warning Source : acvpnagent
Description : A SSL Alert was sent by the client during a write operation. Severity: warning Description: close notify
***************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CSocketTransport::completeWriteRequest File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\common\ipc\sockettransport.cpp Line: 864 Invoked Function: CSocketTransport::internalWriteSocket Return Code: -31588341 (0xFE1E000B) Description: SOCKETTRANSPORT_ERROR_WRITE
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CTlsProtocol::OnSocketWriteComplete File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tlsprotocol.cpp Line: 771 Invoked Function: CSocketTransport::writeSocket Return Code: -31588341 (0xFE1E000B) Description: SOCKETTRANSPORT_ERROR_WRITE
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CTlsProtocol::OnSocketWriteComplete File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tlsprotocol.cpp Line: 794 Invoked Function: CTunnelTransport::OnSocketWriteComplete Return Code: -31784958 (0xFE1B0002) Description: TLSPROTOCOL_ERROR_BAD_PARAMETER
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CCstpProtocol::OnTunnelWriteComplete File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\cstpprotocol.cpp Line: 1827 Invoked Function: CSslProtocol::OnTunnelWriteComplete Return Code: -31588341 (0xFE1E000B) Description: SOCKETTRANSPORT_ERROR_WRITE
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Error Source : acvpnagent
Description : Function: CTunnelStateMgr::OnTunnelWriteComplete File: c:\temp\build\thehoff\negasonic_mr30.550195061902\negasonic_mr3\vpn\agent\tunnelstatemgr.cpp Line: 1631 Invoked Function: Write tunnel callback status Return Code: -31588341 (0xFE1E000B) Description: SOCKETTRANSPORT_ERROR_WRITE SSL
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Information Source : acvpnui
Description : VPN state: Reconnecting Network state: Network Accessible Network control state: Network Access: Restricted Network type: Undefined
****************************************** Date : 10/17/2020 Time : 02:12:46 Type : Information Source : acvpnui
Description : Message type information sent to the user: Reconnecting to VPN...
|
17 окт 2020, 03:22 |
|
|
Praporwik
Зарегистрирован: 10 июл 2019, 18:21 Сообщения: 103
|
какая версия эниконнект используется на клиентах?
Можно конфиг подключения выложить?
|
17 ноя 2020, 18:27 |
|
|
itsec
Зарегистрирован: 16 авг 2016, 20:33 Сообщения: 38
|
Praporwik писал(а): какая версия эниконнект используется на клиентах?
Можно конфиг подключения выложить? IOS 15.7(3)M7 AnyConnect v. 4.8.03036 Код: webvpn gateway SSLVPN-GW ip address AA.BB.CC.DD port 443 http-redirect port 80 ssl trustpoint SSLVPN-CERT logging enable inservice ! webvpn context SSLVPN-CONTEXT virtual-template 3 aaa authentication list RADIUS aaa authentication domain @domain.com aaa accounting list RADIUS gateway SSLVPN-GW logging enable ! nbns-list "SSLVPN-WINS" nbns-server 192.168.100.11 master ssl authenticate verify all inservice ! policy group SSLVPN-POL functions svc-enabled timeout session 86400 filter tunnel ACL_SSLVPN svc address-pool "SSLVPN-POOL" netmask 255.255.255.0 svc default-domain "domain.com" svc keep-client-installed svc mtu 1378 svc profile SSLVPN-PROFILE svc split include acl ACL_SPLIT_SSLVPN svc dns-server primary 192.168.100.11 svc dns-server secondary 192.168.20.11 svc wins-server primary 192.168.100.11 svc dtls
interface Virtual-Template3 description ---SSLVPN--- ip unnumbered Loopback1 ip mtu 1378 ip flow egress zone-member security ZONE_IN ip tcp adjust-mss 1338 qos pre-classify
|
03 апр 2021, 13:20 |
|
|
itsec
Зарегистрирован: 16 авг 2016, 20:33 Сообщения: 38
|
Обновился до 4.9.06037. Картина такая же. Вижу, что сессии мои попадают в аппаратный ускоритель, пинги бегают, но как только пытаюсь, например открыть по впн сайт по http, то начинаются 100% потери пакетов пинга. Код: #sh crypto engine accelerator ring control
Device: Onboard VPN Location: Onboard: 0 Active IPSec flows
****Flow id: 4, dir: in, esp: yes, ah: no, comp: no esp_spi: 0x867C9395, esp_cipher: aes128cbc, esp_auth: sha1hmac96 mode: tunnel
****Flow id: 6, dir: out, esp: yes, ah: no, comp: no esp_spi: 0xC7A8470F, esp_cipher: aes128cbc, esp_auth: sha1hmac96 mode: tunnel
Active SSL sessions
Conn: 32, version: 0x0301, suite: 47, blen: 16, hash size: 20 Conn: 36, version: 0x0301, suite: 53, blen: 16, hash size: 20 Conn: 37, version: 0x0301, suite: 53, blen: 16, hash size: 20 Conn: 38, version: 0x0301, suite: 53, blen: 16, hash size: 20
|
14 апр 2021, 20:52 |
|
|
itsec
Зарегистрирован: 16 авг 2016, 20:33 Сообщения: 38
|
Вижу, что сессии мои попадают в аппаратный ускоритель, пинги бегают, но как только пытаюсь, например открыть по впн сайт по http, то начинаются 100% потери пакетов пинга, как запросы по http останавливаются - пинг по впн нормализуется. Код: #sh crypto engine br crypto engine name: Virtual Private Network (VPN) Module crypto engine type: hardware State: Enabled Location: onboard 0 Product Name: Onboard-VPN Boot Version: BOOT-2.00 IPsec Version: IPSEC-MAIN-0022 SSL Acceleration: Yes SSL Version: SSL-MAIN-0009 pci_bar: 0xFDF00000 Device timeouts: 0 Device IPCOMP Errors: 0 SA drops: 0 Compression: Yes DES: Yes 3 DES: Yes AES CBC: Yes (128,192,256) AES CNTR: No Maximum buffer length: 4096 Maximum DH index: 6399 Maximum SA index: 6399 Maximum Flow index: 6399 Maximum RSA key size: 2048
crypto engine name: Cisco VPN Software Implementation crypto engine type: software serial number: D9D5 crypto engine state: installed crypto engine in slot: N/A
|
14 апр 2021, 21:41 |
|
|
itsec
Зарегистрирован: 16 авг 2016, 20:33 Сообщения: 38
|
Кстати, по SSH подключаюсь к серверам по впн - проблем нет А RDP, HTTP\HTTPS, SMB... вылетает AnyConnectVPN, как начинаю подключаться. В дебаге webvpn на маршрутизаторе ничего странного не увидел.
|
15 апр 2021, 02:03 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
а толстые пакеты ходят?
|
15 апр 2021, 08:14 |
|
|
itsec
Зарегистрирован: 16 авг 2016, 20:33 Сообщения: 38
|
aliotru писал(а): а толстые пакеты ходят? в настройках впн выставлено ip mtu = 1378, так и есть: Код: #ping server1 -f -l 1351
Pinging server1 [192.168.100.14] with 1351 bytes of data: Packet needs to be fragmented but DF set. Packet needs to be fragmented but DF set. Packet needs to be fragmented but DF set. Packet needs to be fragmented but DF set.
Ping statistics for 192.168.100.14: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
# ping server1 -f -l 1350
Pinging server1 [192.168.100.14] with 1350 bytes of data: Reply from 192.168.100.14: bytes=1350 time=10ms TTL=62 Reply from 192.168.100.14: bytes=1350 time=8ms TTL=62 Reply from 192.168.100.14: bytes=1350 time=8ms TTL=62 Reply from 192.168.100.14: bytes=1350 time=9ms TTL=62
Ping statistics for 192.168.100.14: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 8ms, Maximum = 10ms, Average = 8ms
Если смотреть дамп трафика, то ip tcp adjust-mss 1338 срабатывает корректно. Уменьшение MTU до 1300 не помогает. Нашел удаленную машину на WinXP (SSLv3), к ней по RDP коннектиться можно, есть периодические зависания (на пинге можно увидеть задержки до 1 с), но главное anyconnect не вылетает
|
15 апр 2021, 14:17 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
itsec писал(а): На Cisco 3945E настроен и работает SSL VPN через TLS Cisco AnyConnect. После переключения обработки SSL трафика на VPN акселератор:
crypto engine accelerator bandwidth-allocation ssl fair
Пинги проходят без потерь, стабильно.. но вот весь остальной трафик RDP или SMB вызывает реконнекты Cisco AnyConnect Почитайте вот: Cisco Bug: CSCun91977 - C3900 - Anyconnect on MAC/Linux fails with SSL hardware acceleration Symptom: Anyconnect on MAC/Linux fails to connect to Cisco C3900E router when SSL hardware acceleration is enabled. Conditions: This symptom is observed when SSL hardware acceleration is enabled - "crypto engine accelerator bandwidth-allocation ssl fair". https://quickview.cloudapps.cisco.com/q ... CSCun91977Попробуйте обновить IOS на самый свежий из стабильных.
_________________ Knowledge is Power
|
23 апр 2021, 06:40 |
|
|
itsec
Зарегистрирован: 16 авг 2016, 20:33 Сообщения: 38
|
Silent_D писал(а): Попробуйте обновить IOS на самый свежий из стабильных. CSCun91977 это не мой случай, ее давно уже пофиксили. Я уже три раза IOS обновлял. Мне кажется криптомодуль просто криво работает с публичным сертификатом на sha256, либо не поддерживает sha256.
|
23 апр 2021, 18:03 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Меня немного смущает, что про этот баг сказано, что Last Modified: Nov 27,2020. А это после выхода вашего софта. Наверное, это просто какая-то случайность, потому что баг сам 14-15-ого годов. Но попробуйте всё же, правда, обновиться до самого свежего софта (15.7(3)M8, если в рамках той же ветки). Ваша версия, конечно, тоже MD, но тут на .8 они звёздочку поставили. И да, я знаю, что в списке исправленных багов нет ничего похожего. Попробуйте, кстати, CLIAnalyser. Может быть, он что-то разумное покажет.
|
26 апр 2021, 11:16 |
|
|
itsec
Зарегистрирован: 16 авг 2016, 20:33 Сообщения: 38
|
Black Fox писал(а): Меня немного смущает, что про этот баг сказано, что Last Modified: Nov 27,2020. А это после выхода вашего софта. Наверное, это просто какая-то случайность, потому что баг сам 14-15-ого годов. Но попробуйте всё же, правда, обновиться до самого свежего софта (15.7(3)M8, если в рамках той же ветки). Ваша версия, конечно, тоже MD, но тут на .8 они звёздочку поставили. И да, я знаю, что в списке исправленных багов нет ничего похожего. Попробуйте, кстати, CLIAnalyser. Может быть, он что-то разумное покажет. Это точно никак не связано с версией IOS или клиента. У знакомого на таком же IOS и версии клиента, все работает без проблем. Скорее что-то в конфигурации или в сертификате.
|
30 апр 2021, 17:03 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Программный дефект может быть и у Вас, и у Вашего друга. Вопрос только в том, что у Вас есть некий тригер, который заставляет его сработать. Если есть smart-net - откройте TAC-кейс.
|
04 май 2021, 11:27 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 39 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|