Cisco ASA - 远程 VPN - 双 ISP

网络工程 思科 思科 虚拟专用网
2021-07-12 20:04:58

我正在尝试在 Windows 7 客户端上设置 L2TP/IPSec VPN,以获得 Cisco ASA 5505 SecPlus 许可证。

ASA 有双 WAN 连接:

  • wan1:ISP 路由器后面的移动 3G 连接,用于 Internet 浏览。
  • wan2:具有“静态”DHCP IP 的 DSL 连接,用于传入的防火墙流量。

设置了带有跟踪的静态路由,因此如果 3G 出现故障,它将故障转移到 DSL:

路由 wan1 0.0.0.0 0.0.0.0 192.168.98.1 1 轨道 1

wan2 有这个配置:

dhcp 客户端路由距离 200
ip 地址 dhcp setroute

一切正常。

现在我尝试建立从 Windows 7 客户端到 wan2 接口的 L2TP/IPsec VPN 连接,但出现以下错误:

检测到重复的第一个数据包。忽略数据包。
阶段 1 失败:类组的属性类型不匹配描述:Rcv'd:未知 Cfg'd:组 2

我在使用 ASDM 向导的“旧”Cisco VPN 客户端上也遇到了第一个错误。

ASA 版本为:9.1

问题是:我错过了什么吗?我怀疑双 wan 设置是问题所在。ASA 是否在默认路由 (wan1) 上发回 VPN 回复?

/金

2个回答

您确实有非对称路由,但这不应该是问题。 相反,我怀疑问题是涉及您的 3G 链接的链接延迟。 由于 IPSec IKE 将 UDP/500 或 UDP/4500 与 NAT 穿越一起使用,因此无法保证数据包的传送。您的 VPN 客户端(IKE 发起方)发送第一条 IKE 消息并等待来自您的 ASA 的响应。ASA IKE 响应消息被丢弃或延迟太久以至于您的 VPN 客户端发送另一个 IKE 消息,导致 ASA 记录Duplicate first packet received.

我认为您的 DSL 链接比 3G 移动网络更可靠——延迟更少、抖动更少、丢包更少。有什么原因不是您的默认网关?要将 3G 链接测试为问题,请强制将 DSL 设为您的默认设置。

我也通过为客户端获取静态 IP 解决了这个问题,这也是一个 3G 链接。然后我只能为这个客户端创建那个静态路由。

ISP 还要求两个端点都具有静态 IP 才能进行通信,因为它们都在同一个 ISP 上。

其它你可能感兴趣的问题
上一篇通过点对多点无线安全地跨子网共享访问 下一篇完善3G->4G升级项目中的网络流量文档