O que causaria falha inconsistente de SSL no Cisco ASA VPN

5

Durante o final de semana, concluí a instalação e teste de um Cisco ASA 5512 para substituir nosso antigo roteador / firewall. Hoje, tenho lutado contra uma questão de falha de conexão inconsistente dos navegadores via SSL para trocar o OWA pela VPN. Às vezes, os computadores inicializam bem, conectam-se à VPN e se conectam para trocar o OWA bem, outras vezes eles não se conectam. Uma vez que eles tenham se conectado ou não, eles parecem funcionar consistentemente até que o computador seja reinicializado.

A execução de uma captura de pacotes no ASA parece mostrar que, quando é bem-sucedida, está usando uma sessão SSL estabelecida anteriormente e, quando falha, parece ser durante o estabelecimento da sessão, mas devo admitir que minhas habilidades de diagnóstico de rede não são t exatamente impecável. A captura de pacotes durante a falha não mostra nenhum ACK para os pacotes enviados pelo servidor. O servidor está enviando ACKs para os pacotes do cliente, no entanto.

Um arquivo pcap simples que contém uma conexão bem-sucedida e uma falha na conexão pode ser encontrado Aqui . Minha avaliação da causa é correta? O que pode estar causando o problema e o que pode ser uma solução de outras etapas para solucionar o problema?

Editar: atualizações do segundo dia.

O problema aparece relacionado a tamanhos de MTU, a VPN e o ASA não transmitindo pacotes ICMP inacessíveis quando precisa fragmentar dados, mas não pode.

Usando pings de vários tamanhos com o bit Don't Fragment definido e alterado para o MTU do ASA na porta da Internet, descobri o seguinte:

Eu posso fazer o ping de computadores conectados à internet e VPN bem com pequenos pacotes.

Quando a porta da Internet do roteador está configurada para uma MTU de 1500, posso fazer ping em computadores na Internet com pacotes até 1472, acima dos quais o meu computador (que também está configurado para uma MTU de 1500) me diz que o pacote deve ser fragmentado. Isso é exatamente como eu esperaria até agora.

Quando a porta da Internet do roteador está configurada para uma MTU de 1500, só posso fazer ping de computadores conectados à VPN com pacotes de até 1356, após os quais os pacotes se esgotam. Isso não é o que eu esperaria. Mesmo que o tamanho do pacote fosse grande, eu deveria estar recebendo uma resposta ICMP dizendo que o pacote foi descartado porque precisava ser fragmentado e o bit DF foi definido.

Depois de largar a porta da Internet do roteador para um MTU de 1400, posso fazer ping em computadores na internet com pacotes para 1372, após o qual os pacotes acabam. Mais uma vez, temos um problema. Eu esperaria poder apenas enviar pacotes até 1372, mas em 1373 (onde estamos abaixo do MTU do meu computador, mas abaixo do MTU do roteador com os cabeçalhos de 28 bytes) o roteador deveria estar me enviando uma resposta dizendo que o pacote precisa para ser fragmentado, mas o bit DF está definido.

Há também uma queda correspondente para 1256 ao tentar fazer ping do computador conectado via VPN, sem resposta para pings com mais bytes.

O ASA não deveria estar respondendo com pacotes ICMP quando não puder encaminhar um pacote? Durante o processo de configuração do roteador, existe uma configuração em algum lugar que eu acidentalmente ativado que desativou essa funcionalidade?

    
por Darinth 11.01.2016 / 22:13

1 resposta

0

Depois de um bocado olhando mais ao redor, fazendo ping de coisas diferentes, e um post nos fóruns da Cisco, o problema final foi um bug no firmware ASA 5512-X versão 9.1 (3). Com a minha configuração, o ASA não estava respondendo a quaisquer pings que fossem grandes ou a todos os pacotes que fossem grandes para serem encaminhados pela VPN. A solução temporária estava reduzindo o MTU nos servidores que precisavam ser acessados pela VPN. A solução final, uma vez que meu contrato da Cisco foi eliminado, foi atualizar o ASA para a versão 9.1 (6), o que resolveu a questão completamente.

    
por 20.01.2016 / 23:08