Сообщения без ответов | Активные темы Текущее время: 19 мар 2024, 11:17



Ответить на тему  [ Сообщений: 6 ] 
Cisco 2951 + ZBF + AnyConnect. Перестаёт ходить трафик 
Автор Сообщение

Зарегистрирован: 24 сен 2015, 14:09
Сообщения: 10
Откуда: Санкт-Петербург
Доброго времени суток.

Оборудование - Cisco ISR 2951. IOS Version 15.3(3)M6
Настроены ZBF, NAT, DMVPN, WEBVPN, Radius-аутентификация
Проблема следующая:
1. Клиент подключается. Соединение устанавливается. При подключении по RDP к Windows 8.1 перестаёт ходить трафик в туннеле, соединение при этом живо, в логах ошибок нет. Отключаем соединение AnyConnect, подключаемся снова, заходим по RDP, нормально работаем
2. После подключения, заходим по RDP, на удалённом хосте открываем браузер и запускаем видео из youtube. Результат - трафик перестаёт ходить, соединение при этом живо. С видеопотоком и любым другим большим потоком UDP-трафика проблема воспроизводится стабильно.

Что пробовали:
Cisco TAC сослалось на баг CSCuv38711 https://tools.cisco.com/quickview/bug/CSCuv38711
По данному багу внесли исправления в ip pool'ы - увеличили их размеры в несколько раз относительно количества пользователей - проблему не решило.
Пробовал отключать ZBF на всех интерфейсах - не помогло.
Пробовал отключать DTLS для webvpn - не помогло.

Если кто-нибудь подскажет хотя бы в какую сторону копать, буду признателен.

Принадлежность к policy group определяется с помощью атрибута Cisco-AV-Pair webvpn:user-vpn-group в сетевой политике Radius-сервера на основании принадлежности к группе ActiveDirectory
Части конфига:
ZBF
Код:
class-map type inspect match-any ZFW_CM_SSLVPN-TRANSIT
 match access-group name ZFW_ACL_SSLVPN-TRANSIT
class-map type inspect match-any ZFW_CM_SSLVPN-DMVPN
 match access-group name ZFW_ACL_SSLVPN-DMVPN
...
policy-map type inspect ZFW_PM_SSLVPN-DMVPN
 class type inspect ZFW_CM_SSLVPN-DMVPN
  inspect
 class class-default
  drop log
policy-map type inspect ZFW_PM_SSLVPN-TRANSIT
 class type inspect ZFW_CM_SSLVPN-TRANSIT
  inspect
 class class-default
  drop log
...
zone security SSLVPN
zone-pair security SSLVPN-TRANSIT source SSLVPN destination TRANSIT
 service-policy type inspect ZFW_PM_SSLVPN-TRANSIT
zone-pair security SSLVPN-DMVPN source SSLVPN destination DMVPN
 service-policy type inspect ZFW_PM_SSLVPN-DMVPN


Туннельный интерфейс и маршрутизация для него:
Код:
interface Virtual-Template4
 description SSLVPN
 ip unnumbered Vlan2
 zone-member security SSLVPN
 ip ospf 2 area 1
...
router ospf 2
 router-id 0.2.2.2
 redistribute static subnets route-map SSLVPN-To-LAN
 redistribute ospf 1 metric 20 subnets route-map BRANCH-To-LAN
 passive-interface default
 no passive-interface Vlan2
 default-information originate metric 20
...
ip route 10.0.4.0 255.255.255.0 Null0
...
ip prefix-list SSLVPN-To-LAN seq 10 permit 10.0.4.0/24
ip prefix-list SSLVPN-To-LAN seq 100 deny 0.0.0.0/0 le 32
...
route-map SSLVPN-To-LAN permit 10
 match ip address prefix-list SSLVPN-To-LAN


Списки доступа:
Код:
ip access-list extended SSLVPN_ACL_ASP
 permit ip object-group SSLVPN_IPPOOL_ASP object-group TEST_HOSTS
 permit ip object-group SSLVPN_IPPOOL_ASP object-group HOSTS
 deny   ip any any log
ip access-list extended SSLVPN_ACL_GSA
 permit ip object-group SSLVPN_IPPOOL_GSA any
 deny   ip any any log
ip access-list extended SSLVPN_ACL_MAIN
 permit ip object-group SSLVPN_IPPOOL_MAIN object-group SSLVPN_MAIN_ALLOWED
 deny   ip any any log
ip access-list extended SSLVPN_ACL_VIT
 permit ip object-group SSLVPN_IPPOOL_VIT object-group SSLVPN_VIT_ALLOWED
 deny   ip any any log
ip access-list extended ZFW_ACL_SSLVPN-DMVPN
 permit ip object-group SSLVPN_IPPOOL_GSA any
 permit ip object-group SSLVPN_IPPOOL_MAIN object-group SSLVPN_BRANCH_HOSTS
ip access-list extended ZFW_ACL_SSLVPN-TRANSIT
 permit ip object-group SSLVPN_IPPOOL_GSA any
 permit ip object-group SSLVPN_IPPOOL_MAIN object-group SSLVPN_MAIN_ALLOWED
 permit ip object-group SSLVPN_IPPOOL_VIT object-group SSLVPN_VIT_ALLOWED
 permit ip object-group SSLVPN_IPPOOL_ASP object-group TEST_HOSTS
 permit ip object-group SSLVPN_IPPOOL_ASP object-group HOSTS


WEBVPN
Код:
ip local pool SSLVPN-IPPOOL-ASP 10.0.4.220 10.0.4.254
ip local pool SSLVPN-IPPOOL-VIT 10.0.4.170 10.0.4.219
ip local pool SSLVPN-IPPOOL-MAIN 10.0.4.31 10.0.4.169
ip local pool SSLVPN-IPPOOL-GSA 10.0.4.2 10.0.4.30
...
webvpn gateway SSLGate
 ip address xx.xx.xx.xx port 443 
 http-redirect port 80
 ssl trustpoint xxx.xxx.xx
 logging enable
 inservice
 !
webvpn context ASP
 title "SSLVPN"
 virtual-template 4 tunnel
 aaa authentication list SSLVPN
 gateway SSLGate domain asp
 max-users 5
 !
 ssl authenticate verify all
 inservice
 !
 policy group ASP
   functions svc-enabled
   functions svc-required
   filter tunnel SSLVPN_ACL_ASP
   svc address-pool "SSLVPN-IPPOOL-ASP" netmask 255.255.255.0
   svc keep-client-installed
   svc profile ASP
   svc rekey method new-tunnel
   svc split include 172.17.1.0 255.255.255.0
   svc split include 172.17.2.0 255.255.255.0
!
!
webvpn context MAIN
 color white
 secondary-color silver
 title-color black
 text-color black
 virtual-template 4 tunnel
 aaa authentication list SSLVPN
 gateway SSLGate domain main
 max-users 20
 !
 ssl authenticate verify all
 inservice
 !
 policy group MAIN
   functions svc-enabled
   functions svc-required
   filter tunnel SSLVPN_ACL_MAIN
   svc address-pool "SSLVPN-IPPOOL-MAIN" netmask 255.255.255.0
   svc keep-client-installed
   svc profile MAIN
   svc rekey method new-tunnel
   svc split include 192.168.0.0 255.255.0.0
   svc split include 10.0.0.0 255.0.0.0
   svc split include 172.17.0.0 255.255.0.0
   svc dns-server primary 192.168.0.16
   svc dns-server secondary 192.168.0.20
 !
 policy group GSA
   functions svc-enabled
   functions svc-required
   filter tunnel SSLVPN_ACL_GSA
   svc address-pool "SSLVPN-IPPOOL-GSA" netmask 255.255.255.0
   svc keep-client-installed
   svc profile MAIN
   svc rekey method new-tunnel
   svc split include 192.168.0.0 255.255.0.0
   svc split include 10.0.0.0 255.0.0.0
   svc split include 172.17.0.0 255.255.0.0
   svc dns-server primary 192.168.0.16
   svc dns-server secondary 192.168.0.20
 !
 policy group VIT
   functions svc-enabled
   functions svc-required
   filter tunnel SSLVPN_ACL_VIT
   svc address-pool "SSLVPN-IPPOOL-VIT" netmask 255.255.255.0
   svc keep-client-installed
   svc profile MAIN
   svc rekey method new-tunnel
   svc split include 172.17.2.5 255.255.255.255
   svc split include 192.168.0.16 255.255.255.255
   svc split include 192.168.0.20 255.255.255.255
   svc dns-server primary 192.168.0.16
   svc dns-server secondary 192.168.0.20

_________________
Знание - сила!


24 сен 2015, 15:24
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
Цитата:
Принадлежность к policy group определяется с помощью атрибута Cisco-AV-Pair webvpn:user-vpn-group в сетевой политике Radius-сервера на основании принадлежности к группе ActiveDirectory
Не касаясь Вашей проблемы - что-то мне кажется, что то, что написано выше, у Вас не работает...


24 сен 2015, 16:58
Профиль

Зарегистрирован: 24 сен 2015, 14:09
Сообщения: 10
Откуда: Санкт-Петербург
Nikolay_ писал(а):
Цитата:
Принадлежность к policy group определяется с помощью атрибута Cisco-AV-Pair webvpn:user-vpn-group в сетевой политике Radius-сервера на основании принадлежности к группе ActiveDirectory
Не касаясь Вашей проблемы - что-то мне кажется, что то, что написано выше, у Вас не работает...

С чего Вы это решили?
Всё из вышеперечисленного работает

_________________
Знание - сила!


24 сен 2015, 17:37
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
наверное потому что, Cisco предлагает передавать через OU в какую policy group попадать


24 сен 2015, 18:37
Профиль

Зарегистрирован: 24 сен 2015, 14:09
Сообщения: 10
Откуда: Санкт-Петербург
crash писал(а):
наверное потому что, Cisco предлагает передавать через OU в какую policy group попадать

Что-то не видел я таких условий в сетевых политиках Windows Radius-сервера, да и рекомендаций от Cisco таких тоже не слышал ;)
Изучайте мат. часть http://www.cisco.com/c/en/us/products/collateral/security/ios-sslvpn/prod_white_paper0900aecd8051ac3a.html
Текущая конфигурация протестирована и работает.
Есть конкретная проблема, которую мне нужно решить. Весь остальной функционал работает без нареканий.
Если по проблеме сказать нечего, просьба не писать бесполезных и необоснованных комментариев, дабы не засорять тему.

_________________
Знание - сила!


24 сен 2015, 18:53
Профиль

Зарегистрирован: 24 сен 2015, 14:09
Сообщения: 10
Откуда: Санкт-Петербург
Проблема решена обновлением IOS до версии 15.4(3)М4.
Появилась проблема с подключением мобильных устройств - баг в коде ISM VPN акселератора. Решается отключением ISM VPN акселератора no crypto engine slot 0.
Можно переводить тему в раздел решённых вопросов.

_________________
Знание - сила!


13 окт 2015, 10:27
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 6 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 12


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB