Anticisco http://www.anticisco.ru/forum/ |
|
Cisco 2951 + ZBF + AnyConnect. Перестаёт ходить трафик http://www.anticisco.ru/forum/viewtopic.php?f=2&t=8384 |
Страница 1 из 1 |
Автор: | AlexWP [ 24 сен 2015, 15:24 ] |
Заголовок сообщения: | Cisco 2951 + ZBF + AnyConnect. Перестаёт ходить трафик |
Доброго времени суток. Оборудование - Cisco ISR 2951. IOS Version 15.3(3)M6 Настроены ZBF, NAT, DMVPN, WEBVPN, Radius-аутентификация Проблема следующая: 1. Клиент подключается. Соединение устанавливается. При подключении по RDP к Windows 8.1 перестаёт ходить трафик в туннеле, соединение при этом живо, в логах ошибок нет. Отключаем соединение AnyConnect, подключаемся снова, заходим по RDP, нормально работаем 2. После подключения, заходим по RDP, на удалённом хосте открываем браузер и запускаем видео из youtube. Результат - трафик перестаёт ходить, соединение при этом живо. С видеопотоком и любым другим большим потоком UDP-трафика проблема воспроизводится стабильно. Что пробовали: Cisco TAC сослалось на баг CSCuv38711 https://tools.cisco.com/quickview/bug/CSCuv38711 По данному багу внесли исправления в ip pool'ы - увеличили их размеры в несколько раз относительно количества пользователей - проблему не решило. Пробовал отключать ZBF на всех интерфейсах - не помогло. Пробовал отключать DTLS для webvpn - не помогло. Если кто-нибудь подскажет хотя бы в какую сторону копать, буду признателен. Принадлежность к policy group определяется с помощью атрибута Cisco-AV-Pair webvpn:user-vpn-group в сетевой политике Radius-сервера на основании принадлежности к группе ActiveDirectory Части конфига: ZBF Код: class-map type inspect match-any ZFW_CM_SSLVPN-TRANSIT match access-group name ZFW_ACL_SSLVPN-TRANSIT class-map type inspect match-any ZFW_CM_SSLVPN-DMVPN match access-group name ZFW_ACL_SSLVPN-DMVPN ... policy-map type inspect ZFW_PM_SSLVPN-DMVPN class type inspect ZFW_CM_SSLVPN-DMVPN inspect class class-default drop log policy-map type inspect ZFW_PM_SSLVPN-TRANSIT class type inspect ZFW_CM_SSLVPN-TRANSIT inspect class class-default drop log ... zone security SSLVPN zone-pair security SSLVPN-TRANSIT source SSLVPN destination TRANSIT service-policy type inspect ZFW_PM_SSLVPN-TRANSIT zone-pair security SSLVPN-DMVPN source SSLVPN destination DMVPN service-policy type inspect ZFW_PM_SSLVPN-DMVPN Туннельный интерфейс и маршрутизация для него: Код: interface Virtual-Template4 description SSLVPN ip unnumbered Vlan2 zone-member security SSLVPN ip ospf 2 area 1 ... router ospf 2 router-id 0.2.2.2 redistribute static subnets route-map SSLVPN-To-LAN redistribute ospf 1 metric 20 subnets route-map BRANCH-To-LAN passive-interface default no passive-interface Vlan2 default-information originate metric 20 ... ip route 10.0.4.0 255.255.255.0 Null0 ... ip prefix-list SSLVPN-To-LAN seq 10 permit 10.0.4.0/24 ip prefix-list SSLVPN-To-LAN seq 100 deny 0.0.0.0/0 le 32 ... route-map SSLVPN-To-LAN permit 10 match ip address prefix-list SSLVPN-To-LAN Списки доступа: Код: ip access-list extended SSLVPN_ACL_ASP permit ip object-group SSLVPN_IPPOOL_ASP object-group TEST_HOSTS permit ip object-group SSLVPN_IPPOOL_ASP object-group HOSTS deny ip any any log ip access-list extended SSLVPN_ACL_GSA permit ip object-group SSLVPN_IPPOOL_GSA any deny ip any any log ip access-list extended SSLVPN_ACL_MAIN permit ip object-group SSLVPN_IPPOOL_MAIN object-group SSLVPN_MAIN_ALLOWED deny ip any any log ip access-list extended SSLVPN_ACL_VIT permit ip object-group SSLVPN_IPPOOL_VIT object-group SSLVPN_VIT_ALLOWED deny ip any any log ip access-list extended ZFW_ACL_SSLVPN-DMVPN permit ip object-group SSLVPN_IPPOOL_GSA any permit ip object-group SSLVPN_IPPOOL_MAIN object-group SSLVPN_BRANCH_HOSTS ip access-list extended ZFW_ACL_SSLVPN-TRANSIT permit ip object-group SSLVPN_IPPOOL_GSA any permit ip object-group SSLVPN_IPPOOL_MAIN object-group SSLVPN_MAIN_ALLOWED permit ip object-group SSLVPN_IPPOOL_VIT object-group SSLVPN_VIT_ALLOWED permit ip object-group SSLVPN_IPPOOL_ASP object-group TEST_HOSTS permit ip object-group SSLVPN_IPPOOL_ASP object-group HOSTS WEBVPN Код: ip local pool SSLVPN-IPPOOL-ASP 10.0.4.220 10.0.4.254 ip local pool SSLVPN-IPPOOL-VIT 10.0.4.170 10.0.4.219 ip local pool SSLVPN-IPPOOL-MAIN 10.0.4.31 10.0.4.169 ip local pool SSLVPN-IPPOOL-GSA 10.0.4.2 10.0.4.30 ... webvpn gateway SSLGate ip address xx.xx.xx.xx port 443 http-redirect port 80 ssl trustpoint xxx.xxx.xx logging enable inservice ! webvpn context ASP title "SSLVPN" virtual-template 4 tunnel aaa authentication list SSLVPN gateway SSLGate domain asp max-users 5 ! ssl authenticate verify all inservice ! policy group ASP functions svc-enabled functions svc-required filter tunnel SSLVPN_ACL_ASP svc address-pool "SSLVPN-IPPOOL-ASP" netmask 255.255.255.0 svc keep-client-installed svc profile ASP svc rekey method new-tunnel svc split include 172.17.1.0 255.255.255.0 svc split include 172.17.2.0 255.255.255.0 ! ! webvpn context MAIN color white secondary-color silver title-color black text-color black virtual-template 4 tunnel aaa authentication list SSLVPN gateway SSLGate domain main max-users 20 ! ssl authenticate verify all inservice ! policy group MAIN functions svc-enabled functions svc-required filter tunnel SSLVPN_ACL_MAIN svc address-pool "SSLVPN-IPPOOL-MAIN" netmask 255.255.255.0 svc keep-client-installed svc profile MAIN svc rekey method new-tunnel svc split include 192.168.0.0 255.255.0.0 svc split include 10.0.0.0 255.0.0.0 svc split include 172.17.0.0 255.255.0.0 svc dns-server primary 192.168.0.16 svc dns-server secondary 192.168.0.20 ! policy group GSA functions svc-enabled functions svc-required filter tunnel SSLVPN_ACL_GSA svc address-pool "SSLVPN-IPPOOL-GSA" netmask 255.255.255.0 svc keep-client-installed svc profile MAIN svc rekey method new-tunnel svc split include 192.168.0.0 255.255.0.0 svc split include 10.0.0.0 255.0.0.0 svc split include 172.17.0.0 255.255.0.0 svc dns-server primary 192.168.0.16 svc dns-server secondary 192.168.0.20 ! policy group VIT functions svc-enabled functions svc-required filter tunnel SSLVPN_ACL_VIT svc address-pool "SSLVPN-IPPOOL-VIT" netmask 255.255.255.0 svc keep-client-installed svc profile MAIN svc rekey method new-tunnel svc split include 172.17.2.5 255.255.255.255 svc split include 192.168.0.16 255.255.255.255 svc split include 192.168.0.20 255.255.255.255 svc dns-server primary 192.168.0.16 svc dns-server secondary 192.168.0.20 |
Автор: | Nikolay_ [ 24 сен 2015, 16:58 ] |
Заголовок сообщения: | Re: Cisco 2951 + ZBF + AnyConnect. Перестаёт ходить трафик |
Цитата: Принадлежность к policy group определяется с помощью атрибута Cisco-AV-Pair webvpn:user-vpn-group в сетевой политике Radius-сервера на основании принадлежности к группе ActiveDirectory |
Автор: | AlexWP [ 24 сен 2015, 17:37 ] |
Заголовок сообщения: | Re: Cisco 2951 + ZBF + AnyConnect. Перестаёт ходить трафик |
Nikolay_ писал(а): Цитата: Принадлежность к policy group определяется с помощью атрибута Cisco-AV-Pair webvpn:user-vpn-group в сетевой политике Radius-сервера на основании принадлежности к группе ActiveDirectory С чего Вы это решили? Всё из вышеперечисленного работает |
Автор: | crash [ 24 сен 2015, 18:37 ] |
Заголовок сообщения: | Re: Cisco 2951 + ZBF + AnyConnect. Перестаёт ходить трафик |
наверное потому что, Cisco предлагает передавать через OU в какую policy group попадать |
Автор: | AlexWP [ 24 сен 2015, 18:53 ] |
Заголовок сообщения: | Re: Cisco 2951 + ZBF + AnyConnect. Перестаёт ходить трафик |
crash писал(а): наверное потому что, Cisco предлагает передавать через OU в какую policy group попадать Что-то не видел я таких условий в сетевых политиках Windows Radius-сервера, да и рекомендаций от Cisco таких тоже не слышал Изучайте мат. часть http://www.cisco.com/c/en/us/products/collateral/security/ios-sslvpn/prod_white_paper0900aecd8051ac3a.html Текущая конфигурация протестирована и работает. Есть конкретная проблема, которую мне нужно решить. Весь остальной функционал работает без нареканий. Если по проблеме сказать нечего, просьба не писать бесполезных и необоснованных комментариев, дабы не засорять тему. |
Автор: | AlexWP [ 13 окт 2015, 10:27 ] |
Заголовок сообщения: | Re: Cisco 2951 + ZBF + AnyConnect. Перестаёт ходить трафик |
Проблема решена обновлением IOS до версии 15.4(3)М4. Появилась проблема с подключением мобильных устройств - баг в коде ISM VPN акселератора. Решается отключением ISM VPN акселератора no crypto engine slot 0. Можно переводить тему в раздел решённых вопросов. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |