我在一家拥有两个站点的公司工作。两个站点通过两个 cisco 850 盒通过 vpn 连接在一起。
我们经常面临的问题(通常是在早上,刚刚经过一夜不活动之后)是建立连接非常痛苦,因为我们必须重试 10 次才能成功。
我在两台计算机上都安装了 wireshark,并观察到:
在客户端上:
-> SYN ->
<- SYN/ACK <-
-> ACK ->
<- RST <-
在服务器上:
<- SYN <-
-> SYN/ACK ->
<- ACK <-
<- RST <-
两者都收到了 RST(我猜是来自 VPN)!
我想知道什么可能导致这个问题?
有人遇到过类似的问题吗?有没有什么办法可以解决这个问题?我认为问题可能与某些超时配置有关(因为它只发生在早上)
更新:
感谢大家的回答,我已将您的建议转发给我的网络管理员,但我仍在等待他的答复。一旦我收到回复,我将在此主题上发帖。由于我已经设置了悬赏,即使我的问题没有解决,悬赏也会自动归还。
答案1
许多 Cisco 850 系列路由器的默认固件都存在错误。更新您的固件,如果这不能解决问题,请发布您的运行情况
答案2
这可能不是您想听到的答案,但您通常不会从失败的 VPN 收到 RST......我的第一猜测是您两侧的 ACL 不匹配(这会导致隧道根本无法启动)或者您的 ACL 不允许出站或入站连接。
您是否尝试过增加端点上的 isakmp 和 ipsec 的调试以查看您的加密/解密是否正确?
debug crypto ipsec
debug crypto isakmp
答案3
greeblesnort 是正确的,关闭的 vpn 不会发送 RST - 它会显示为数据包丢失直到它恢复 - ping 会超时,并且从客户端启动 tcp 连接不会得到任何响应(服务器没有 syn/ack)。
也就是说,可能是您最初几次尝试导致路由器重新初始化已过期的安全关联。确保两端的重新密钥参数相同(crypto ipsec security-association lifetime seconds <###>(通常为 86400))。
是的,请发布您的配置。