上周末,我完成了思科ASA 5512的安装和testing,以取代我们的旧路由器/防火墙。 今天,我一直在摔angular浏览器不一致通过SSL连接通过VPN交换OWA的问题。 有时电脑会启动正常,连接到VPN,并连接到交换OWA就好了,有时他们不会连接。 一旦他们连接或不连接,他们似乎一直工作,直到计算机重新启动。
在ASA上运行数据包捕获似乎表明,当它成功使用之前build立的SSL会话,并且在失败时似乎在会话build立期间,但是我不得不承认我的networking诊断技能并不是完美无缺的。 失败期间的数据包捕获不会显示服务器发出的数据包的任何确认。 但是,服务器正在发送客户端数据包的ACK。
包含成功的连接和失败的连接的简单pcap文件可以在这里find。 我对事业的评估是否准确? 什么可能导致这个问题,并可能是解决问题的进一步步骤的解决scheme?
编辑:第二天更新。
问题出现与MTU大小,VPN和ASA不相关,当需要分片数据但不能传输ICMP不可达分组时。
使用“不分片段”位设置各种大小的ping并在面向端口的Internet上更改为ASA的MTU,我发现了以下内容:
我可以ping通互联网和VPN连接的计算机就可以很好地用小包。
当路由器的面向互联网的端口设置为1500的MTU时,我可以使用高达1472的数据包在互联网上ping计算机,在此之上,我的计算机(也设置为1500的MTU)告诉我必须分组。 这正如我所期望的那样。
当路由器的面向Internet的端口设置为1500的MTU时,我只能ping通连接到VPN的计算机,数据包高达1356,之后数据包超时。 这不是我所期望的。 即使数据包的大小很大,我也应该得到一个ICMP响应,说明数据包被丢弃了,因为它需要被分割,并且DF位被设置。
一旦我把路由器的面向互联网的端口降低到1400的MTU,我就可以用互联网上的电脑ping到1372的数据包,然后数据包超时。 我们再次遇到问题。 我希望只能发送数据包高达1372,但在1373(我们低于我的电脑的MTU,但低于路由器的MTU与28字节的标题)路由器应该送我一个回应说,数据包需要被分割,但是DF位被设置。
当试图通过VPN连接ping计算机时,也会相应地降低到1256,并且没有响应具有更多字节的ping。
当ASA不能转发数据包时,是否应该使用ICMP数据包进行回复? 在设置路由器的过程中是否有一个设置,我意外启动,禁用此function?
最后一个问题是在ASA 5512-X固件版本9.1(3)中出现了一些问题。 使用我的configuration,ASA没有响应任何大的ping,或者任何要通过VPN转发的大包。 临时解决scheme是减less需要通过VPN访问的服务器上的MTU。 最终的解决scheme,一旦我得到我的思科合同摆脱了,就是把ASA更新到版本9.1(6),完全解决了这个问题。