我在一家公司工作了两个网站。 两个站点通过一个vpn连接与两个cisco 850盒子连接在一起。
我们经常面对的问题(通常在早晨,一夜不活动之后),是build立联系是非常痛苦的,因为我们必须在成功之前重试十次。
我在两台计算机上都安装了Wireshark,而且我观察到:
在客户端:
-> SYN -> <- SYN/ACK <- -> ACK -> <- RST <- 在服务器上:
<- SYN <- -> SYN/ACK -> <- ACK <- <- RST <-
都收到一个RST(我猜从VPN)!
我不知道会导致这个问题的是什么?
任何人都面临类似的问题? 任何线索如何解决这个问题? 我认为这个问题可能与一些超时configuration有关(因为它只发生在早上)
更新:
感谢所有您的答案,我已经将您的build议转发给我的networkingpipe理员,但我还在等待他的回答。 只要我收到回复,我会在这个主题上发帖。 因为我已经付出了恩惠,即使我的问题没有解决,赏金也会自动归属。
许多Cisco 850系列路由器的默认固件都有错误的固件。 更新你的固件,如果没有解决它,请张贴您的演出运行
也许不是你想听到的答案,但是你通常不会从一个失败的VPN获得一个RST ….我的第一个猜测是你或者没有匹配的ACL在两端(这应该导致隧道根本不来),或者你的ACL不允许出站或入站连接。
你有没有尝试增加端点上的isakmp&ipsecdebugging来查看你的encryption/解密是否正确?
debug crypto ipsec debug crypto isakmp
greeblesnort是正确的,一个down vpn不会发送一个RST – 它会显示为丢包直到它回来 – ping将超时,并且从您的客户端发起一个tcp连接将不会得到响应(没有syn / ack服务器)。
也就是说,这可能是因为您的前几次尝试导致路由器重新初始化过期的安全关联。 确保两端的重新密钥参数相同(crypto ipsec security-association lifetime seconds <###>(通常为86400))。
是的,发布你的configuration。