Добрый день, Помогите разобратся.
Есть задача: в сети компании запрещен трафик GRE и UDP, надо из сети компании ходить на
удаленные сайты через IPSec. Для решения на хостинге установлен файрвол Cisco ASA 5510,
настроены IPSec туннели на сайты и удаленный доступ до файрвола из-вне (т.е. не из сети компании) при помощи клиентов Cisco VPN Client и Cisco AnyConnect.
Из-вне все успешно работает, клиенты коннектятся, получают адрес из общего, для обоих
клиентов, пула адресов и далее их трафик натится на внешнем интерфейсе в существующие туннели. При попытке установки SSL туннеля из сети компании (Cisco AnyConnect), файрвол устанавливает клиента, выдает приглашение к выбору профиля для подключения и вводу
пароля, но после ввода пароля сообщает о невозможности инициализации туннеля (снаружи
все работает без проблем!).
Все логи выставлены в Debug, но после сообщения об успешном завершении "руковожатия" и следующим сообщением идет сообщение об обрыве сессии (2 верхних). До сообщений о выдаче
IP адреса из пула не доходит. Судя по приходящему флагу TCP Reset-I, сессия разрывается
по инициативе клиента, но никак не удается понять чего именно ему не хватает.
Часть лога:
725007|11.22.33.44|35384|||SSL session with client wan:11.22.33.44/35384 terminated.
725002|11.22.33.44|45898|||Device completed SSL handshake with client wan:11.22.33.44/45898
725003|11.22.33.44|45898|||SSL client wan:11.22.33.44/45898 request to resume previous session.
725001|11.22.33.44|45898|||Starting SSL handshake with client wan:11.22.33.44/45898 for TLSv1 session.
302013|11.22.33.44|45898|ASA_IP_ADDRESS|443|Built inbound TCP connection 116 for wan:11.22.33.44/45898 (11.22.33.44/45898) to identity:ASA_IP_ADDRESS/443 (ASA_IP_ADDRESS/443)
716038|||||Group <ssl_group> User <my_user_name> IP <11.22.33.44> Authentication: successful, Session Type: WebVPN.
716001|||||Group <ssl_group> User <my_user_name> IP <11.22.33.44> WebVPN session started.
734001|||||DAP: User my_user_name, Addr 11.22.33.44, Connection AnyConnect: The following DAP records were selected for this connection: DfltAccessPolicy
734003|||||DAP: User my_user_name, Addr 11.22.33.44: Session Attribute aaa.cisco.tunnelgroup = SSLGroup
734003|||||DAP: User my_user_name, Addr 11.22.33.44: Session Attribute aaa.cisco.username = my_user_name
734003|||||DAP: User my_user_name, Addr 11.22.33.44: Session Attribute aaa.cisco.grouppolicy = ssl_group
113008|||||AAA transaction status ACCEPT : user = my_user_name
113009|||||AAA retrieved default group policy (ssl_group) for user = my_user_name
113012|||||AAA user authentication Successful : local database : user = my_user_name
725002|11.22.33.44|45839|||Device completed SSL handshake with client wan:11.22.33.44/45839
725003|11.22.33.44|45839|||SSL client wan:11.22.33.44/45839 request to resume previous session.
725001|11.22.33.44|45839|||Starting SSL handshake with client wan:11.22.33.44/45839 for TLSv1 session.
302013|11.22.33.44|45839|ASA_IP_ADDRESS|443|Built inbound TCP connection 115 for wan:11.22.33.44/45839 (11.22.33.44/45839) to identity:ASA_IP_ADDRESS/443 (ASA_IP_ADDRESS/443)
302014|11.22.33.44|45802|ASA_IP_ADDRESS|443|Teardown TCP connection 114 for wan:11.22.33.44/45802 to identity:ASA_IP_ADDRESS/443 duration 0:00:00 bytes 154 TCP Reset-I
725007|11.22.33.44|45802|||SSL session with client wan:11.22.33.44/45802 terminated.
725002|11.22.33.44|45802|||Device completed SSL handshake with client wan:11.22.33.44/45802
725003|11.22.33.44|45802|||SSL client wan:11.22.33.44/45802 request to resume previous session.
725001|11.22.33.44|45802|||Starting SSL handshake with client wan:11.22.33.44/45802 for TLSv1 session.
Также замечена следующая странность: в групповой политике явно указано svc, но при
подключении извне сессия появляется в списке сессий на файрволе как SSL VPN Client и
работает, а изнутри как Clientless SSL VPN и не работает.
Из сети компании трафик по портам 80 и 443 идет через прокси.
Подскажите в какую сторону можно копать дальше.
Спасибо. Дмитрий.