|
|
|
|
Страница 1 из 1
|
[ Сообщений: 5 ] |
|
Автор |
Сообщение |
Aleksandr
Зарегистрирован: 23 июн 2017, 20:09 Сообщения: 3
|
Привет всем. Наблюдается проблема следующего характера: при использовании WebVPN в режиме Clientless SSL VPN сталкиваюсь с проблемой браузинга . "Тяжелые" веб ресурсы открывается не полностью,некоторые совсем не загружаются. Похоже на проблему МТU. При прослушивании трафика между vpngateway и веб сервером каждый пакет (src:vpngateway IP --> dst:webserver ip) фрагментированный. В том случае когда подключение происходит в режиме full tunnel , то есть через anyconnect клиент,то аналогичной проблемы нету. Решение данной проблемы в интернете не нашел. Буду благодарен за каждый совет.
Спасибо.
Техническая информация :
В роли Webvpn gateway = Cisco ISR G2 1941/k9 router , IOS Version 15.5(3)M3. Anyconnect version.: anyconnect-win-3.1.03103-k9.pkg
Конфигурация :
crypto vpn anyconnect flash0:webvpn/anyconnect-win-3.1.03103-k9.pkg sequence 1
webvpn gateway SSL_VPN_GW ip address X.X.X.X port 4433 ssl trustpoint SSL_VPN_TRUSTPOINT inservice ! webvpn context SSL_VPN_CONTEXT title "CISCO SYSTEMS SSL_VPN TECHNOLOGY" virtual-template 4 aaa authentication list SSL_AUTH_VPN gateway SSL_VPN_GW max-users 10 ! ssl authenticate verify all ! url-list "SERVERS" heading "SITE-1" url-text "web1" url-value "http://192.168.20.4" url-text "web2" url-value "http://192.168.20.35" ! url-list "SERVERS_2" heading "SITE2" url-text "web3" url-value "http://192.168.200.2:800" inservice ! policy group SSL_VPN_POLICY functions svc-enabled timeout idle 600 svc address-pool "SSL_VPN_POOL" netmask 255.255.255.0 svc split include acl SSL_VPN_SPLIT svc dns-server primary 192.168.20.35 url-list "SERVERS" url-list "SERVERS_2" default-group-policy SSL_VPN_POLICY ip http secure-server ip http secure-port 4433 crypto pki trustpoint SSL_VPN_TRUSTPOINT enrollment selfsigned serial-number subject-name CN=SSL_VPN_CERT revocation-check crl rsakeypair SSL-VPN-KEY ssl trustpoint SSL_VPN_TRUSTPOINT Standard IP access list SSL_VPN_SPLIT 5 permit 192.168.20.0, wildcard bits 0.0.0.255 6 permit 192.168.200.0, wildcard bits 0.0.0.255 SSL_VPN_POOL 192.168.211.2 192.168.211.254 interface Virtual-Template4 description ####-SSLVPN_TEMPLATE-#### ip unnumbered Loopback101 end interface Loopback101 description ####-SSL_VPN-#### ip address 192.168.211.1 255.255.255.0 end
|
23 июн 2017, 20:44 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
не знаю как в случае с ISR, но в случае с ASA у меня этот продукт вызывает исключительно бомбеж пукана там работает 2 вещи - exchange и ftp.
|
23 июн 2017, 22:07 |
|
|
Aleksandr
Зарегистрирован: 23 июн 2017, 20:09 Сообщения: 3
|
Привет Рубен,спасибо за отзыв. Странно как-то,софт сдеан для того,чтобы сервис был максимально гибким и простым в имплементации а тут наоборот,головная боль .
|
23 июн 2017, 22:36 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
Проблема там как я понял не с MTU, а с тем что ASA/ISR выступает в качестве прокси и в дополнение к этому еще переписывает L7 Payload. Если сайт простой - http без каких либо плагинов, java и так далее, то может быть заработает. И то не факт. Лечение с помощью всяких smart tunnel - это нечто. Там такое дикое количество ограничений по ОС, браузеру и архитектуре процессора, что ебануться можно. Добиться простого и понятного результата "хочу чтобы открывался сайт в любом браузере на любом устройстве" по-моему невозможно.
|
23 июн 2017, 22:49 |
|
|
Aleksandr
Зарегистрирован: 23 июн 2017, 20:09 Сообщения: 3
|
Да,при тестировании елементарный веб ресурс , без всяких плагинов (в том числе тестовая страница Apache ) открывались на ура.
|
23 июн 2017, 23:18 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 5 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 44 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|