VPN Clientの接続が途中遮断されてしまう。

yoshinori-mori · ‎2012-09-20

ASA5500シリーズでリモートアクセスVPNを構築しているのですが、

接続後20分～30分ぐらいで接続が切れてしまいます。

以下のコマンドを流していて、

デフォルトのグループポリシーを引き継ぐ設定をしています。

そのデフォルトグループポリシーでも、何か通信を遮断してしまうようなものの

設定はありません。

vpn-session-timeout none

vpn-idle-timeout none

crypto ipsec security-association lifetime 86400

何かコンフィグを変更する必要があるか、他のネットワーク機器が動作して遮断をしているか

原因がわかりません。

同じ事象が色々ウェブに掲載されていますが、これという解決策が見当たりません。

教えてください。

宜しくお願いします。

Yuko Baba · ‎2012-10-08

VPN Client でタイムアウトせずに切断して、VPN 接続を行うためには、ご認識の通り

group-policy に、"vpn-session-timeout none"、"vpn-idle-timeout none" が設定されている

必要がございます。こちらの設定が VPN Client で接続した VPN セッションに正常に適用

されている場合、 ASA 側で "show vpn-sessiondb detail ra-kev1-ipsec" を表示した場合、

以下のような結果が出力されます。

-----

ASA5520# sh vpn-sessiondb detail ra-ikev1-ipsec

(中略)

IPsec:

Tunnel ID : 3.2

Local Addr : 0.0.0.0/0.0.0.0/0/0

Remote Addr : 10.168.0.1/255.255.255.255/0/0

Encryption : 3DES Hashing : SHA1

Encapsulation: Tunnel

Rekey Int (T): 28800 Seconds Rekey Left(T): 28599 Seconds

Idle Time Out: 0 Minutes Idle TO Left : 0 Minutes

Bytes Tx : 0 Bytes Rx : 5965

Pkts Tx : 0 Pkts Rx : 42

-----

IPsec セクションの Idle Time Out の項目の値が 0 Minutes と表示され、VPN 接続の

残り時間はカウントされません。

一度、VPN 接続を確立させた後、show vpn-sessiondb detail ra-kev1-ipsec をご確認

いただき、Idle Time Out の項目や Conn Time Out 項目にて、タイムアウトの時間が

設定されていないかご確認いただけますでしょうか。

弊社に報告されております類似事例においては、ユーザ認証を Radius サーバで

行っており、Radius サーバの Authentication で session timeが設定されていたため、

"vpn-session-timeout none"、"vpn-idle-timeout none"の設定があるにも関わらず、Radius の

設定が VPN 接続のタイムアウトに影響を与えていた、という事例もございます。

(IETF-Radius-Session-Timeout)

以上、よろしくお願いいたします。

何かご不明な点がございましたら、ご返信いただければと思います。