使用 Windows XP 和 Cisco VPN 客户端版本 5.0.4.xxx 连接到远程客户站点。我们能够建立连接并启动 RDP 会话,但在 1-2 分钟内连接断开并且 VPN 连接断开。建立连接的 PC 位于 DMZ 上,该 DMZ 已 NAT 到公共 IP 地址。
如果我们将 PC 直接移至互联网而不位于 DMZ 上,连接将正常工作,并且不会遇到任何断开连接的情况。我们使用运行 7.2.4 的 PIX 515E,使用类似设置从 DMZ 连接到其他客户站点时没有遇到任何问题。
客户端的 VPN 设置非常简单,使用 TCP 端口 10000 上的 IPSec。不确定他们在对等端使用什么设备,但我猜是 ASA。
知道问题是什么吗?以下是问题发生时 VPN 客户端的日志。实际 IP 地址已更改为:RemotePeerIP。
4 14:39:30.593 09/23/09 Sev=Info/4 CM/0x63100024 尝试连接服务器“RemotePeerIP”
5 14:39:30.593 09/23/09 Sev=Info/6 CM/0x6310002F 为 TCP 连接分配本地 TCP 端口 1942。
6 14:39:30.796 09/23/09 Sev=Info/4 IPSEC/0x63700008 IPSec 驱动程序已成功启动
7 14:39:30.796 09/23/09 Sev=Info/4 IPSEC/0x63700014 已删除所有密钥
8 14:39:30.796 09/23/09 Sev=Info/6 IPSEC/0x6370002C 发送了 256 个数据包,其中 0 个是碎片。
9 14:39:30.796 09/23/09 Sev=Info/6 IPSEC/0x63700020 TCP SYN 发送至 RemotePeerIP,源端口 1942,目标端口 10000
10 14:39:30.796 09/23/09 Sev=Info/6 IPSEC/0x6370001C 从 RemotePeerIP 收到 TCP SYN-ACK,源端口 10000,目标端口 1942
11 14:39:30.796 09/23/09 Sev=Info/6 IPSEC/0x63700021 TCP ACK 发送至 RemotePeerIP,源端口 1942,目标端口 10000
12 14:39:30.796 09/23/09 严重性 = 警告/3 IPSEC/0xA370001C 坏 cTCP 尾部,Rsvd 26984,Magic# 63697672h,尾部长度 101,MajorVer 13,MinorVer 10
13 14:39:30.796 09/23/09 Sev=Info/4 CM/0x63100029 在端口 10000 上与服务器“RemotePeerIP”建立 TCP 连接
14 14:39:31.296 09/23/09 Sev=Info/4 CM/0x63100024 尝试连接服务器“RemotePeerIP”
15 14:39:31.296 09/23/09 Sev=Info/6 IKE/0x6300003B 尝试与 RemotePeerIP 建立连接。
16 14:39:31.296 09/23/09 Sev=Info/4 IKE/0x63000013 发送 >>> ISAKMP OAK AG (SA、KE、NON、ID、VID(Xauth)、VID(dpd)、VID(Frag)、VID(Unity)) 到 RemotePeerIP
17 14:39:36.296 09/23/09 Sev=Info/4 IKE/0x63000021 重新传输最后一个数据包!
18 14:39:36.296 09/23/09 Sev=Info/4 IKE/0x63000013 发送 >>> ISAKMP OAK AG(重传)到 RemotePeerIP
19 14:39:41.296 09/23/09 Sev=Info/4 IKE/0x63000021 重新传输最后一个数据包!
20 14:39:41.296 09/23/09 Sev=Info/4 IKE/0x63000013 发送 >>> ISAKMP OAK AG(重传)到 RemotePeerIP
21 14:39:46.296 09/23/09 Sev=Info/4 IKE/0x63000021 重新传输最后一个数据包!
22 14:39:46.296 09/23/09 Sev=Info/4 IKE/0x63000013 发送 >>> ISAKMP OAK AG(重传)到 RemotePeerIP
23 14:39:51.328 09/23/09 Sev=Info/4 IKE/0x63000017 标记 IKE SA 以供删除 (I_Cookie=AEFC3FFF0405BBD6 R_Cookie=0000000000000000) 原因 = DEL_REASON_PEER_NOT_RESPONDING
24 14:39:51.828 09/23/09 Sev=Info/4 IKE/0x6300004B 放弃 IKE SA 协商 (I_Cookie=AEFC3FFF0405BBD6 R_Cookie=0000000000000000) 原因 = DEL_REASON_PEER_NOT_RESPONDING
25 14:39:51.828 09/23/09 Sev=Info/4 CM/0x63100014 由于“DEL_REASON_PEER_NOT_RESPONDING”,无法与服务器“RemotePeerIP”建立第 1 阶段 SA
26 14:39:51.828 09/23/09 严重性 = Info/5 CM/0x63100025 正在初始化 CVPNDrv
27 14:39:51.828 09/23/09 Sev=Info/4 CM/0x6310002D 重置端口 10000 上的 TCP 连接
28 14:39:51.828 09/23/09 Sev=Info/6 CM/0x63100030 删除了用于 TCP 连接的本地 TCP 端口 1942。
29 14:39:51.828 09/23/09 Sev=Info/6 CM/0x63100046 将注册表中的隧道建立标志设置为 0。
30 14:39:51.828 09/23/09 Sev=Info/4 IKE/0x63000001 IKE 收到终止 VPN 连接的信号
31 14:39:52.328 09/23/09 Sev=Info/6 IPSEC/0x63700023 TCP RST 发送至 RemotePeerIP,源端口 1942,目标端口 10000
32 14:39:52.328 09/23/09 Sev=Info/4 IPSEC/0x63700014 已删除所有密钥
33 14:39:52.328 09/23/09 Sev=Info/4 IPSEC/0x63700014 已删除所有密钥
34 14:39:52.328 09/23/09 Sev=Info/4 IPSEC/0x63700014 已删除所有密钥
35 14:39:52.328 09/23/09 Sev=Info/4 IPSEC/0x6370000A IPSec 驱动程序已成功停止
感谢您提供任何帮助。
答案1
我知道这并不能解释为什么,但我和(公司的 IT 帮助台)发现 4.x 版本在 Cisco VPN 断开连接方面要好得多(特别是如果您使用 F-Secure 防火墙)。所以我们总是建议人们改用旧版本。如果有人知道真正的原因以及如何使用 5.x 版本配置防火墙,希望听到解决方案。
答案2
检查防火墙日志及其资源使用情况,如果超载,它将无法路由流量。导致您遇到超时。还要检查防火墙上的接口统计信息以及将您连接到防火墙/互联网的交换机。如果由于电缆故障而丢失数据包,您将遇到问题。
这确实看起来防火墙正在关闭端口,请查找防火墙上的超时设置。