Buongiorno a tutti ragazzi,
questo è il mio primo post in questa bellissimo forum, e sono qui x chiedervi un parere su un problema alquanto strano, ovvero:
Gestisco una LAN abbastanza complessa che ha come frontend una coppia di ASA-5540 in failover, una coppia di ASA-5510 sempre in failover ed un PIX-515 dal quale esce la navigazione degli utenti verso Internet.
In sede abbiamo due utenti che devono lavorare in VPN con gli USA, e che quindi hanno installato il Client CISCO VPN Ver.5.0.01.0600 con sistema operativo WinXP.
Il problema è che la connessione VPN si connette, ma dopo un periodo di tempo alquanto variabile (possono essere 10m oppure 3ore), la VPN si disconnette. La loro connessione Internet esce dal PIX-515, come tutti gli altri utenti della LAN. La versione del PIX è la 6.3.4 (lo so...è antica!!!).
Il provider è Fastweb e la banda che abbiamo è 20Mbit SDH in Fibra.
Se provo a connettere questi utenti direttamente sullo switch pubblico (gli assegno quindi 2 IP Pubblici), la connessione sembra essere più stabile, ma non ho fatto prove più approfondite su questo segmento di rete.
Sapete se bisogna aggiungere qualche riga di configurazione sul PIX? C'è qualche bug da qualche parte?
I due utenti, quando sono connessi in LAN, sono attestati su uno switch di centro stella composto da 6 Catalyst 3750 in stack sulla stessa VLan degli altri utenti... Non so proprio che pesci prendere.
Qualcuno ha esperienza o suggerimenti in merito?
Grazie a tutti per le eventuali risposte.
Felice.
Disconnessione Client CISCO VPN
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Beh, i time out possono essere sia da te che sul concentratore vpn remoto (+ probabile), hai già chiesto a loro?
Cmq sul pix ci sn i timeout per il traffico idle, li hai a default?
Cmq sul pix ci sn i timeout per il traffico idle, li hai a default?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
EOSman
- n00b
- Messaggi: 3
- Iscritto il: lun 27 apr , 2009 8:33 am
Guarda...il problema è combattere con gli americani...voglione sempre aver ragione loroWizard ha scritto:Beh, i time out possono essere sia da te che sul concentratore vpn remoto (+ probabile), hai già chiesto a loro?
Cmq sul pix ci sn i timeout per il traffico idle, li hai a default?
In ogni caso ieri ho sostituito il PIX con un ASA-5510, ora sto monitorando la situazione, ieri non ci sono state disconnessioni sospette. Vediamo ora cosa succede.
Intanto ti ringrazio per il consiglio.
A presto.
Felice.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Sul ASA per vedere i timeout assoluti prova a fare un bel "sh run timeout" e guarda se i valori combaciano
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
