Виходячи з попереднього питання щодо захоплення пакетів на ASA5505, у мене виникають певні труднощі у визначенні того, який трафік надходить через VPN та який генерується із самого брандмауера.
Щоб окреслити проблему, у мене є додаток, який підключається до сервера telnet через vpn, і він отримує пакети скидання, коли він надсилає дані після того, як з'єднання деякий час не працює. Я хотів би розібратися, звідки беруться ці скиди; чи це сервер маршрутизатора / telnet з іншого боку VPN, чи це насправді ASA5505 моя сторона, що сервер додатків позаду. Я читав про припинення з'єднань серії ASA через малий час очікування за замовчуванням і сподіваюся, що це проблема.
Я захопив пакети на сервері додатків, щоб визначити скидання. Зараз я захопив пакети на внутрішньому інтерфейсі брандмауера, і скидання також є. Що я не можу зробити - це захопити пакети, що виходять з тунелю VPN, щоб побачити, чи є вони теж. Я спробував зафіксувати всі пакети на зовнішньому інтерфейсі, але пакетів взагалі немає, тому я здогадуюсь, що дані VPN неможливо захопити через зовнішній інтерфейс. Хтось знає, як я можу захопити пакети, як тільки вони виходять з тунелю VPN?
Для захоплення пакетів зсередини я зіставив на сервері telnet як джерело:
capture capture1 interface Inside match tcp 171.28.18.50 255.255.255.255 any
Намагаючись захопити пакети зовні, я зіставив будь-яке джерело / dest, яке не є ssh-з'єднанням, встановленим для моніторингу захоплення:
capture capture2 interface Outside match tcp any neq 22 any neq 22
Рядок з'єднання тайм-аута в налаштуваннях:
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
Оновлення: За пропозицією Шейна Маддена я захопив пакети ESP і тепер встановив, що скидання безумовно генерується ASA. Зараз я намагаюся збільшитиtimeout conn
Оновлення: я ще не збільшував, timeout conn
але відстежував VPN-з'єднання, використовуючи графік в ASDM, і, здається, що в режимі очікування протягом 30 хвилин тунель закритий. Я підозрюю, що коли закрито, з'єднання TCP розривається і після надсилання додаткової кількості даних про з'єднання через годину ASA реагує на скидання. 30 хвилин за замовчуванням для vpn-idle-timeout
. Коли я бігаю, show run | include vpn-idle-timeout
я нічого не повертаю, тому, сподіваюся, просто потрібно розробити, як встановити vpn-idle-timeout
змінну.