Доброго времени суток.
Оборудование - Cisco ISR 2951. IOS Version 15.3(3)M6
Настроены ZBF, NAT, DMVPN, WEBVPN, Radius-аутентификация
Проблема следующая:
1. Клиент подключается. Соединение устанавливается. При подключении по RDP к Windows 8.1 перестаёт ходить трафик в туннеле, соединение при этом живо, в логах ошибок нет. Отключаем соединение AnyConnect, подключаемся снова, заходим по RDP, нормально работаем
2. После подключения, заходим по RDP, на удалённом хосте открываем браузер и запускаем видео из youtube. Результат - трафик перестаёт ходить, соединение при этом живо. С видеопотоком и любым другим большим потоком UDP-трафика проблема воспроизводится стабильно.
Что пробовали:
Cisco TAC сослалось на баг CSCuv38711
https://tools.cisco.com/quickview/bug/CSCuv38711По данному багу внесли исправления в ip pool'ы - увеличили их размеры в несколько раз относительно количества пользователей - проблему не решило.
Пробовал отключать ZBF на всех интерфейсах - не помогло.
Пробовал отключать DTLS для webvpn - не помогло.
Если кто-нибудь подскажет хотя бы в какую сторону копать, буду признателен.
Принадлежность к policy group определяется с помощью атрибута Cisco-AV-Pair webvpn:user-vpn-group в сетевой политике Radius-сервера на основании принадлежности к группе ActiveDirectory
Части конфига:
ZBF
Код:
class-map type inspect match-any ZFW_CM_SSLVPN-TRANSIT
match access-group name ZFW_ACL_SSLVPN-TRANSIT
class-map type inspect match-any ZFW_CM_SSLVPN-DMVPN
match access-group name ZFW_ACL_SSLVPN-DMVPN
...
policy-map type inspect ZFW_PM_SSLVPN-DMVPN
class type inspect ZFW_CM_SSLVPN-DMVPN
inspect
class class-default
drop log
policy-map type inspect ZFW_PM_SSLVPN-TRANSIT
class type inspect ZFW_CM_SSLVPN-TRANSIT
inspect
class class-default
drop log
...
zone security SSLVPN
zone-pair security SSLVPN-TRANSIT source SSLVPN destination TRANSIT
service-policy type inspect ZFW_PM_SSLVPN-TRANSIT
zone-pair security SSLVPN-DMVPN source SSLVPN destination DMVPN
service-policy type inspect ZFW_PM_SSLVPN-DMVPN
Туннельный интерфейс и маршрутизация для него:
Код:
interface Virtual-Template4
description SSLVPN
ip unnumbered Vlan2
zone-member security SSLVPN
ip ospf 2 area 1
...
router ospf 2
router-id 0.2.2.2
redistribute static subnets route-map SSLVPN-To-LAN
redistribute ospf 1 metric 20 subnets route-map BRANCH-To-LAN
passive-interface default
no passive-interface Vlan2
default-information originate metric 20
...
ip route 10.0.4.0 255.255.255.0 Null0
...
ip prefix-list SSLVPN-To-LAN seq 10 permit 10.0.4.0/24
ip prefix-list SSLVPN-To-LAN seq 100 deny 0.0.0.0/0 le 32
...
route-map SSLVPN-To-LAN permit 10
match ip address prefix-list SSLVPN-To-LAN
Списки доступа:
Код:
ip access-list extended SSLVPN_ACL_ASP
permit ip object-group SSLVPN_IPPOOL_ASP object-group TEST_HOSTS
permit ip object-group SSLVPN_IPPOOL_ASP object-group HOSTS
deny ip any any log
ip access-list extended SSLVPN_ACL_GSA
permit ip object-group SSLVPN_IPPOOL_GSA any
deny ip any any log
ip access-list extended SSLVPN_ACL_MAIN
permit ip object-group SSLVPN_IPPOOL_MAIN object-group SSLVPN_MAIN_ALLOWED
deny ip any any log
ip access-list extended SSLVPN_ACL_VIT
permit ip object-group SSLVPN_IPPOOL_VIT object-group SSLVPN_VIT_ALLOWED
deny ip any any log
ip access-list extended ZFW_ACL_SSLVPN-DMVPN
permit ip object-group SSLVPN_IPPOOL_GSA any
permit ip object-group SSLVPN_IPPOOL_MAIN object-group SSLVPN_BRANCH_HOSTS
ip access-list extended ZFW_ACL_SSLVPN-TRANSIT
permit ip object-group SSLVPN_IPPOOL_GSA any
permit ip object-group SSLVPN_IPPOOL_MAIN object-group SSLVPN_MAIN_ALLOWED
permit ip object-group SSLVPN_IPPOOL_VIT object-group SSLVPN_VIT_ALLOWED
permit ip object-group SSLVPN_IPPOOL_ASP object-group TEST_HOSTS
permit ip object-group SSLVPN_IPPOOL_ASP object-group HOSTS
WEBVPN
Код:
ip local pool SSLVPN-IPPOOL-ASP 10.0.4.220 10.0.4.254
ip local pool SSLVPN-IPPOOL-VIT 10.0.4.170 10.0.4.219
ip local pool SSLVPN-IPPOOL-MAIN 10.0.4.31 10.0.4.169
ip local pool SSLVPN-IPPOOL-GSA 10.0.4.2 10.0.4.30
...
webvpn gateway SSLGate
ip address xx.xx.xx.xx port 443
http-redirect port 80
ssl trustpoint xxx.xxx.xx
logging enable
inservice
!
webvpn context ASP
title "SSLVPN"
virtual-template 4 tunnel
aaa authentication list SSLVPN
gateway SSLGate domain asp
max-users 5
!
ssl authenticate verify all
inservice
!
policy group ASP
functions svc-enabled
functions svc-required
filter tunnel SSLVPN_ACL_ASP
svc address-pool "SSLVPN-IPPOOL-ASP" netmask 255.255.255.0
svc keep-client-installed
svc profile ASP
svc rekey method new-tunnel
svc split include 172.17.1.0 255.255.255.0
svc split include 172.17.2.0 255.255.255.0
!
!
webvpn context MAIN
color white
secondary-color silver
title-color black
text-color black
virtual-template 4 tunnel
aaa authentication list SSLVPN
gateway SSLGate domain main
max-users 20
!
ssl authenticate verify all
inservice
!
policy group MAIN
functions svc-enabled
functions svc-required
filter tunnel SSLVPN_ACL_MAIN
svc address-pool "SSLVPN-IPPOOL-MAIN" netmask 255.255.255.0
svc keep-client-installed
svc profile MAIN
svc rekey method new-tunnel
svc split include 192.168.0.0 255.255.0.0
svc split include 10.0.0.0 255.0.0.0
svc split include 172.17.0.0 255.255.0.0
svc dns-server primary 192.168.0.16
svc dns-server secondary 192.168.0.20
!
policy group GSA
functions svc-enabled
functions svc-required
filter tunnel SSLVPN_ACL_GSA
svc address-pool "SSLVPN-IPPOOL-GSA" netmask 255.255.255.0
svc keep-client-installed
svc profile MAIN
svc rekey method new-tunnel
svc split include 192.168.0.0 255.255.0.0
svc split include 10.0.0.0 255.0.0.0
svc split include 172.17.0.0 255.255.0.0
svc dns-server primary 192.168.0.16
svc dns-server secondary 192.168.0.20
!
policy group VIT
functions svc-enabled
functions svc-required
filter tunnel SSLVPN_ACL_VIT
svc address-pool "SSLVPN-IPPOOL-VIT" netmask 255.255.255.0
svc keep-client-installed
svc profile MAIN
svc rekey method new-tunnel
svc split include 172.17.2.5 255.255.255.255
svc split include 192.168.0.16 255.255.255.255
svc split include 192.168.0.20 255.255.255.255
svc dns-server primary 192.168.0.16
svc dns-server secondary 192.168.0.20