Tenho vários Cisco ASA 5505 e PIX 506e em todo o mundo atuando como terminais VPN. Eles se conectam a um Cisco VPN Concentrator 3000 na sede. Estou usando o Easy VPN para configurar a VPN (ou seja, a maior parte da configuração é central no VPN Concentrator). A maioria dos endpoints funciona perfeitamente bem.
No entanto, existem três que não o fazem. 2 ASAs e 1 PIX são desconectados de uma das VLANs da nossa rede. Esta é a VLAN em que meu servidor de monitoramento é executado - portanto, esses endpoints parecem ter caído. No entanto, ainda posso executar ping nos endpoints da nossa VLAN de usuário. Se eu fizer SSH no endpoint e fizer um ping no meu servidor de monitoramento, a conexão retornará. Depois de uns 10 minutos ele para de funcionar novamente.
Examinei a configuração dos meus endpoints e não consigo ver nenhuma diferença significativa. Uma característica comum é que os endpoints afetados estão se conectando à Internet por meio de roteadores de qualidade comercial. No entanto, não vejo como isso poderia afetar o tráfego dentro de um túnel VPN.
Alguma idéia ou sugestão? Também tenho um tópico nos fóruns da Cisco emhttps://supportforums.cisco.com/thread/344638. Uma outra pessoa relatou o mesmo problema.
Responder1
Acho que você quer dizer "sub-rede" em todos os lugares onde há "vlan". Não acho que o vpn3k suporte a atribuição de túneis VPN a vlans. se você estiver usando túnel dividido e enviando 2 rotas diferentes para cada uma dessas sub-redes, no pix você terá 1 associação de segurança ipsec por sub-rede.
Parece que o tempo limite está esgotado por algum motivo.
Não sei por que isso aconteceria, mas sei que uso essa configuração há anos sem problemas:
vpnclient server server1 server2
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup group password ********
vpnclient username user password ********
vpnclient management tunnel mana.geme.nt.subnet 255.255.255.0
vpnclient enable
Isso é diferente da configuração que você está executando?