Usando o Windows XP e o Cisco VPN Client versão 5.0.4.xxx para conectar-se a um site de cliente remoto. Podemos estabelecer a conexão e iniciar uma sessão RDP, mas em um ou dois minutos a conexão cai e a conexão VPN é desconectada. O PC que faz a conexão está em uma DMZ que é NAT para um endereço IP público.
Se movermos o PC diretamente para a Internet sem estarmos na DMZ, a conexão funcionará e não encontraremos nenhuma desconexão. Nós usamos um PIX 515E rodando em 7.2.4 e não temos problemas com configurações similares conectando a outros sites de clientes da DMZ.
A configuração da VPN no lado do cliente é bem básica, usando o IPSec pela porta TCP 10000. Não tenho certeza de qual dispositivo eles estão usando no ponto, mas meu palpite seria um ASA.
Alguma ideia de qual seria o problema? Abaixo estão os logs do cliente VPN quando o problema ocorre. O endereço IP real foi alterado para: RemotePeerIP.
4 14: 39: 30.593 09/23/09 Sev = Info / 4 CM / 0x63100024 Tentativa de conexão com o servidor "RemotePeerIP"
5 14: 39: 30.593 09/23/09 Sev = Info / 6 CM / 0x6310002F Porta TCP 1942 local alocada para conexão TCP.
6 14: 39: 30.796 09/23/09 Sev = Info / 4 IPSEC / 0x63700008 Driver IPSec iniciado com êxito
7 14: 39: 30.796 09/23/09 Sev = Info / 4 IPSEC / 0x63700014 Excluiu todas as chaves
8 14: 39: 30.796 09/23/09 Sev = Info / 6 IPSEC / 0x6370002C Enviou 256 pacotes, 0 foram fragmentados.
9 14: 39: 30.796 09/23/09 Sev = Info / 6 IPSEC / 0x63700020 TCP SYN enviado para RemotePeerIP, porta src 1942, porta dst 10000
10 14: 39: 30.796 09/23/09 Sev = Info / 6 IPSEC / 0x6370001C TCP SYN-ACK recebido do RemotePeerIP, porta src 10000, porta dst 1942
11 14: 39: 30.796 09/23/09 Sev = Info / 6 IPSEC / 0x63700021 TCP ACK enviado para RemotePeerIP, porta src 1942, porta dst 10000
12 14: 39: 30.796 09/23/09 Sev = Aviso / 3 IPSEC / 0xA370001C Trailer cTCP ruim, Rsvd 26984, Magic # 63697672h, trailer len 101, MajorVer 13, MinorVer 10
13 14: 39: 30.796 09/23/09 Sev = Info / 4 CM / 0x63100029 Conexão TCP estabelecida na porta 10000 com o servidor "RemotePeerIP"
14 14: 39: 31.296 09/23/09 Sev = Info / 4 CM / 0x63100024 Tentativa de conexão com o servidor "RemotePeerIP"
15 14: 39: 31.296 09/23/09 Sev = Info / 6 IKE / 0x6300003B Tentando estabelecer uma conexão com o RemotePeerIP.
16 14: 39: 31.296 09/23/09 Sev = Info / 4 IKE / 0x63000013 ENVIANDO > > > ISAKMP OAK AG (SA, KE, NON, ID, VID (Xauth), VID (dpd), VID (Frag), VID (Unidade)) para RemotePeerIP
17 14: 39: 36.296 09/23/09 Sev = Info / 4 IKE / 0x63000021 Retransmitindo o último pacote!
18 14: 39: 36.296 09/23/09 Sev = Info / 4 IKE / 0x63000013 ENVIANDO > > > ISAKMP OAK AG (retransmissão) para RemotePeerIP
19 14: 39: 41.296 09/23/09 Sev = Info / 4 IKE / 0x63000021 Retransmitindo o último pacote!
20 14: 39: 41.296 09/23/09 Sev = Info / 4 IKE / 0x63000013 ENVIANDO > > > ISAKMP OAK AG (retransmissão) para RemotePeerIP
21 14: 39: 46.296 09/23/09 Sev = Info / 4 IKE / 0x63000021 Retransmitindo o último pacote!
22 14: 39: 46.296 09/23/09 Sev = Info / 4 IKE / 0x63000013 ENVIANDO > > > ISAKMP OAK AG (retransmissão) para RemotePeerIP
23 14: 39: 51.328 09/23/09 Sev = Info / 4 IKE / 0x63000017 Marcando o IKE SA para exclusão (I_Cookie = AEFC3FFF0405BBD6 R_Cookie = 0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING
24 14: 39: 51.828 09/23/09 Sev = Info / 4 IKE / 0x6300004B Descartando a negociação IKE SA (I_Cookie = AEFC3FFF0405BBD6 R_Cookie = 0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING
25 14: 39: 51.828 09/23/09 Sev = Info / 4 CM / 0x63100014 Não é possível estabelecer a Fase 1 SA com o servidor "RemotePeerIP" devido a "DEL_REASON_PEER_NOT_RESPONDING"
26 14: 39: 51.828 09/23/09 Sev = Info / 5 CM / 0x63100025 Inicializando o CVPNDrv
27 14: 39: 51.828 09/23/09 Sev = Info / 4 CM / 0x6310002D Repor a ligação TCP na porta 10000
28 14: 39: 51.828 09/23/09 Sev = Info / 6 CM / 0x63100030 Removida a porta TCP local 1942 para conexão TCP.
29 14: 39: 51.828 09/23/09 Sev = Info / 6 CM / 0x63100046 Definir sinalizador estabelecido no registro do túnel para 0.
30 14: 39: 51.828 09/23/09 Sev = Info / 4 IKE / 0x63000001 IKE recebeu sinal para terminar a conexão VPN
31 14: 39: 52.328 09/23/09 Sev = Info / 6 IPSEC / 0x63700023 TCP RST enviado para RemotePeerIP, porta src 1942, porta dst 10000
32 14: 39: 52.328 09/23/09 Sev = Info / 4 IPSEC / 0x63700014 Excluiu todas as chaves
33 14: 39: 52.328 09/23/09 Sev = Info / 4 IPSEC / 0x63700014 Excluiu todas as chaves
34 14: 39: 52.328 09/23/09 Sev = Info / 4 IPSEC / 0x63700014 Excluiu todas as chaves
35 14: 39: 52.328 09/23/09 Sev = Info / 4 IPSEC / 0x6370000A O driver IPSec parou com êxito
Obrigado por qualquer ajuda que você possa fornecer.
Eu sei que isso não é muito para explicar o porquê, mas eu e o IT Helpdesk da empresa descobrimos que a versão 4.x é muito melhor do que as desconexões da VPN da Cisco (especialmente se você usa o firewall da F-Secure). Por isso, sempre recomendamos que as pessoas mudem para versões mais antigas. Se alguém souber o verdadeiro motivo e como configurar o firewall com a versão 5.x, gostaria de ouvir a solução.
Verifique os registros do firewall e também o uso de recursos, pois ele está sobrecarregado e não poderá direcionar o tráfego. Causando os tempos de espera que você está experimentando. Além disso, verifique as estatísticas da interface no firewall e os switches que conectam você ao firewall / internet. Se você perder pacotes por causa do cabo defeituoso, você terá problemas.
Isso realmente parece que o firewall está fechando as portas, procure por configuração de tempo limite no firewall.