AnyConnect отключается и автоматически подключается снова через 60 секунд после подключения macOS Sonoma AC 4...
-
Среда: macOS Sonoma AnyConnect 4.09, ASA, разделенный туннель SSL-VPN.
Симптом: соединение было успешным, только один раз отключилось примерно через 60 секунд → автоматическое повторное подключение через несколько секунд → после этого работало стабильно. Только один конкретный терминал. DTLS нельзя отключить.
Вопрос: Какие настройки необходимо изменить на ASA/клиенте, чтобы навсегда прекратить это «первое 60-секундное отключение» при сохранении DTLS?
Варианты: Доступность UDP/443 и NAT, MTU/MSS и DPD/Keepalive. Какие конкретные значения и процедуры ASDM/CLI сработали в производственной среде? -
Здравствуйте. Если проблема возникает только на определенном терминале, вероятно, что проблема (неисправность) вызвана терминалом. Поэтому, пожалуйста, обратитесь к следующему URL-адресу, чтобы получить файл (DART) для устранения неполадок, а затем свяжитесь с TAC. https://www.cisco.com/c/ja_jp/support/docs/security/secure-client/221919-collect-dart-bundle-for-secure-client.html Кроме того, сообщество, в котором вы публикуете свой пост, является японским, поэтому, если у вас нет действующего соглашения на обращение в службу TAC и вы хотите услышать мнения людей из-за рубежа на английском языке, вам может быть полезно опубликовать свой пост в английской версии сообщества VPN по ссылке ниже. [)
-
■
Среда — клиент AnyConnect: 4.09
— ОС: macOS Sonoma
— VPN-шлюз: Cisco ASA —
Подключение: SSL-VPN (AnyConnect), включенный разделенный туннель ■
Симптом — VPN подключается успешно, и клиент получает правильный IP-адрес
.— Ровно через ~60 секунд после подключения сеанс всегда разрывается один раз.
— Он автоматически переподключается в течение нескольких секунд, а затем остается стабильным в течение более 20 минут. —
Это «одно разрывание примерно через 1 минуту» происходит каждый раз. Я хочу устранить эту проблему. ■ Объем
— происходит
только на одном конкретном клиентском конечных устройстве.— Другие пользователи с тем же профилем работают стабильно (без отключений).
— На ASA пользователь допускается правильно, нет проблем с лицензией и нет никаких отклонений, кроме отключения примерно через 60 секунд. ■
Журналы — в истории сообщений AnyConnect регистрируется отключение ровно через ~1 минуту после подключения
.— Журналы конечной точки в /opt/cisco/anyconnect/logs/ (vpn.log, acvpnagent.log) показывают отключение туннеля через ~60 секунд → немедленное повторное подключение. —
Это не проблема стабильности сети (воспроизводится как при подключении по кабелю, так и по Wi-Fi). ■ Уже проверено
— сети назначения включены в разделенный туннель; маршрутизация правильная.
— Никакие правила брандмауэра ASA не блокируют этого пользователя.
— Системный журнал ASA не показывает никаких аномалий, кроме события разрыва соединения. ■ Вопросы (DTLS нельзя отключить; ищем конкретные решения) 1) Постоянное исправление с сохранением DTLS в включенном состоянии
— чтобы устранить отключение в первую минуту, какие настройки ASA, связанные с DTLS (с рекомендуемыми значениями), мы должны проверить/настроить?
Примеры: лучшие практики для доступности UDP/443 и прохождения NAT, настройка MTU/MSS (рекомендуемый диапазон), допустимые фрагменты, необходимые правила ACL/NAT и значения DPD/Keepalive, которые работали в полевых условиях.- Для macOS Sonoma + AnyConnect 4.09, известны ли проблемы, при которых DTLS-рукопожатие/keepalive сбоит примерно через 1 минуту и переключается на TCP?
Если да, поделитесь, пожалуйста, рекомендуемой версией клиента (цели обновления/понижения версии) и любыми параметрами профиля, которые решают эту проблему (
DTLS должен оставаться включенным; нам нужно решение, которое продолжает использовать DTLS). 2) Обходной путь для каждого пользователя (сохранение DTLS в глобальном масштабе)
— без изменения глобальных настроек, существует ли лучшая практика, чтобы только определенный пользователь/группа предпочитали TLS (или принудительно использовали TLS)?
Если да, что рекомендуется — профиль XML клиента, групповая политика или группа туннелей — и можете ли вы предоставить точные шаги ASDM/CLI?
(Глобальное отключение DTLS невозможно; нам нужен обходной путь с ограниченным охватом). 3) Доказательства, подтверждающие DTLS в качестве основной причины (что нужно фиксировать)
— при включенном DTLS, какие идентификаторы syslog ASA/коды причин и какие сообщения журнала клиента (например, «DTLS negotiation failed», «handshake timeout», «DPD failed») являются решающими индикаторами?
— После фиксации этих доказательств, какие настройки (и какие значения) необходимо изменить, чтобы предотвратить повторное возникновение проблемы? Особенно полезны реальные примеры. 4) План действий с приоритетами (запрошенный)
— Учитывая, что DTLS должен оставаться включенным, можете ли вы предложить план действий с приоритетами, который помог устранить эту проблему в реальных условиях? Например:
(1) Оптимизация MTU/MSS (рекомендуемые значения) → (2) Проверка UDP/443, NAT, фрагментации → (3) Настройка DPD/Keepalive (рекомендуемые интервалы) → (4) Обновление версии клиента / параметров профиля, ...
Пожалуйста, укажите фактические значения, которые позволили решить проблему. Цель: определить точные настройки/значения и шаги (ASA и/или клиент), которые навсегда предотвращают однократное отключение примерно через 60 секунд при продолжении использования DTLS. Приветствуются пути команд или скриншоты/пути ASDM.
- Для macOS Sonoma + AnyConnect 4.09, известны ли проблемы, при которых DTLS-рукопожатие/keepalive сбоит примерно через 1 минуту и переключается на TCP?
-
Я хочу решить проблему, которая будет отключена после первых 60 секунд. Воспроизведение: то же самое, что и для проводного/беспроводного соединения. Сторона ASA полностью заполнена, и события отключения происходят только через ~60 секунд. Лог туннеля вниз → немедленное повторное подключение к клиенту /opt/cisco/anyconnect/logs через 60 секунд. Я хочу продолжать использовать DTLS. Хочу узнать основную причину и решения:
- Путь DTLS/UDP: UDP/443/NAT/фрагмент, оптимальное значение MTU/MSS (например, MSS 1350±), место настройки на стороне ASA (policy-map/class-map, tcpmss, sysopt, mtu, ACL/NAT) и примерное значение.
- Keepalive/DPD: рекомендуемое значение, чтобы избежать потери в течение первых 60 секунд (ASA webvpn / group-policy / AnyConnect профиль, конкретное название элемента и значение).
- Со стороны клиента: известные проблемы с macOS Sonoma×AC 4.09 (если доступен ID ошибки), рекомендуемая версия для обновления/понижения и элементы профиля (приоритет DTLS/TLS, AutoConnect и т. д.).
- Определение журнала: ASA syslog ID/код причины, строка журнала клиента (например, «DTLS negotiation failed», «handshake timeout», «DPD failed»). Пример → конвергенции, когда это происходит. Пожалуйста, предоставьте пример (ASDM/CLI) «Что нужно изменить и что исправить».
-
Привет
[, @Akira Muranaka.]
По-моему, это уже было опубликовано здесь несколько недель назад. Спасибо!
]
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти