私は世界中に多数の Cisco ASA 5505 と PIX 506e を所有しており、これらは VPN エンドポイントとして機能しています。これらは、HQ の Cisco VPN コンセントレータ 3000 に接続します。私は Easy VPN を使用して VPN を設定しています (つまり、ほとんどの設定は VPN コンセントレータに集中しています)。エンドポイントの大部分はまったく問題なく動作しています。
ただし、接続できないものが 3 つあります。2 つの ASA と 1 つの PIX が、ネットワーク上の VLAN の 1 つから切断されます。これは、監視サーバーが稼働している VLAN であるため、これらのエンドポイントはダウンしたように見えます。ただし、ユーザー VLAN からエンドポイントに ping することはできます。その後、エンドポイントに SSH で接続し、監視サーバーに ping を実行すると、接続が回復します。その後、約 10 分後に再び動作しなくなります。
エンドポイントの構成を確認しましたが、大きな違いは見当たりません。共通点の 1 つは、影響を受けるエンドポイントが市販品質のルーターを介してインターネットに接続していることです。ただし、これが VPN トンネル内のトラフィックにどのように影響するかはわかりません。
何かアイデアや提案はありますか?シスコのフォーラムにもスレッドがあります。https://supportforums.cisco.com/thread/344638他にも同じ問題が報告されています。
答え1
「VLAN」があるすべての場所で「サブネット」と言うことを意味していると思います。vpn3k は、vlan への vpn トンネルの割り当てをサポートしていなかったと思います。スプリット トンネリングを使用して、各サブネットに 2 つの異なるルートをプッシュする場合、pix ではサブネットごとに 1 つの ipsec セキュリティ アソシエーションになります。
何らかの理由でタイムアウトになっているようです。
なぜそうなるのかは分かりませんが、この構成を何年も問題なく使用してきたことは確かです。
vpnclient server server1 server2
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup group password ********
vpnclient username user password ********
vpnclient management tunnel mana.geme.nt.subnet 255.255.255.0
vpnclient enable
それは実行している構成と異なりますか?