Привет всем.
Наблюдается проблема следующего характера: при использовании WebVPN в режиме Clientless SSL VPN сталкиваюсь с проблемой браузинга . "Тяжелые" веб ресурсы открывается не полностью,некоторые совсем не загружаются. Похоже на проблему МТU. При прослушивании трафика между vpngateway и веб сервером каждый пакет (src:vpngateway IP --> dst:webserver ip) фрагментированный. В том случае когда подключение происходит в режиме full tunnel , то есть через anyconnect клиент,то аналогичной проблемы нету. Решение данной проблемы в интернете не нашел. Буду благодарен за каждый совет.

Спасибо.

Техническая информация :

В роли Webvpn gateway = Cisco ISR G2 1941/k9 router , IOS Version 15.5(3)M3.
Anyconnect version.: anyconnect-win-3.1.03103-k9.pkg

Конфигурация :

crypto vpn anyconnect flash0:webvpn/anyconnect-win-3.1.03103-k9.pkg sequence 1

webvpn gateway SSL_VPN_GW
ip address X.X.X.X port 4433
ssl trustpoint SSL_VPN_TRUSTPOINT
inservice
!
webvpn context SSL_VPN_CONTEXT
title "CISCO SYSTEMS SSL_VPN TECHNOLOGY"
virtual-template 4
aaa authentication list SSL_AUTH_VPN
gateway SSL_VPN_GW
max-users 10
!
ssl authenticate verify all
!
url-list "SERVERS"
heading "SITE-1"
url-text "web1" url-value "http://192.168.20.4"
url-text "web2" url-value "http://192.168.20.35"
!
url-list "SERVERS_2"
heading "SITE2"
url-text "web3" url-value "http://192.168.200.2:800"
inservice
!
policy group SSL_VPN_POLICY
functions svc-enabled
timeout idle 600
svc address-pool "SSL_VPN_POOL" netmask 255.255.255.0
svc split include acl SSL_VPN_SPLIT
svc dns-server primary 192.168.20.35
url-list "SERVERS"
url-list "SERVERS_2"
default-group-policy SSL_VPN_POLICY

ip http secure-server
ip http secure-port 4433

crypto pki trustpoint SSL_VPN_TRUSTPOINT
enrollment selfsigned
serial-number
subject-name CN=SSL_VPN_CERT
revocation-check crl
rsakeypair SSL-VPN-KEY
ssl trustpoint SSL_VPN_TRUSTPOINT

Standard IP access list SSL_VPN_SPLIT
5 permit 192.168.20.0, wildcard bits 0.0.0.255
6 permit 192.168.200.0, wildcard bits 0.0.0.255

SSL_VPN_POOL 192.168.211.2 192.168.211.254

interface Virtual-Template4
description ####-SSLVPN_TEMPLATE-####
ip unnumbered Loopback101
end

interface Loopback101
description ####-SSL_VPN-####
ip address 192.168.211.1 255.255.255.0
end

не знаю как в случае с ISR, но в случае с ASA у меня этот продукт вызывает исключительно бомбеж пукана
там работает 2 вещи - exchange и ftp.

Привет Рубен,спасибо за отзыв.
Странно как-то,софт сдеан для того,чтобы сервис был максимально гибким и простым в имплементации а тут наоборот,головная боль .

Проблема там как я понял не с MTU, а с тем что ASA/ISR выступает в качестве прокси и в дополнение к этому еще переписывает L7 Payload.
Если сайт простой - http без каких либо плагинов, java и так далее, то может быть заработает. И то не факт.
Лечение с помощью всяких smart tunnel - это нечто. Там такое дикое количество ограничений по ОС, браузеру и архитектуре процессора, что ебануться можно.
Добиться простого и понятного результата "хочу чтобы открывался сайт в любом браузере на любом устройстве" по-моему невозможно.

Да,при тестировании елементарный веб ресурс , без всяких плагинов (в том числе тестовая страница Apache ) открывались на ура.