こんにちは
ASA5540 + OS:9.16(11) + AnyConnect:3.1.08009の構成で、エンドユーザにSSL-VPNサービスを提供しています。
6/15以降、急に接続できないユーザが増え始めました。
・タイミング的には、Windows Updateの後から接続不良多発とのエンドユーザからの申告が多い
・1~2時間後に再度テストすると接続できるようになります。
・特定のPCで発生するわけではなく、ランダムに発生する。
・接続に問題が発生するPCは、同時接続中の接続数のうち1%程度
・しかし、ランダムにいろいろなPCで事象が発生するので、
接続不具合を経験したPCの台数ののべ数は増加傾向
どなたか、類似の事象を経験している方はいますでしょうか。
■状況
1.中途半端な接続
ASDMのモニタリングや、show vpn-sessiondb anyconnectコマンドの出力でみると
親トンネルのみ存在して、TLSトンネル/DTLSトンネルが生成されていない接続が複数存在する。
とりあえず接続開始から30分以上経過したものは、見込みがないと判断してログオフ(切断)しています。
(親トンネルという言い方は、↓を参照しました。
「AnyConnect に関する FAQ: トンネル、再接続動作、および非アクティビティ タイマー」
http://www.cisco.com/cisco/web/support/JP/112/1120/1120375_116312-qanda-anyconnect-00.html)
2.クライアントPCでのAnyConnect Downloaderに関するエラー
エンドユーザへの確認や、エンドユーザに取得してもらったDARTログを確認すると、
PCで実行したAnyConnect Downloader(acvpndownloader.exe)が ASA5540と通信するところで
エラーを起こしているパターンが多いです。
(DARTログの抜粋を添付します)
仮にAnyConnect Downloaderの動作が原因とすると、切り分けとして、一時的にAnyConnect Downloaderを止めることが考えれます。
手順としてはAnyConnectLocalPolicy.xml→Bypass Downloaderの設定をfalseからtrueに変更すればよく、
自分のPCで試すとバイパスするようにはなりましたが、これをエンドユーザに展開していいものか気になっています。
(AnyConnectLocalPolicy.xmlについては↓を参照しました。
Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1の
Chapter: Enabling FIPS and Additional Security in the Local Policy
http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect31/administration/guide/anyconnectadmin31/ac09localpolicy.html#88035
)
3.show asp dropの結果
show asp dropでは、
SVC Module does not have a session for reinjection (mp-svc-no-channel)
SVC Module is does not have a session (mp-svc-no-session)
など気になる項目のヒット件数が数万以上あるのが気になりますが(前回の再起動から3か月経過)、
まだ、captureコマンドで調べられていない状況です。(本番稼働機のため、承認をもらうのに手続きが必要)
■環境
・1台のASA5540での同時接続数500~700と結構多い環境です。(セッションタイムアウト時間を長く設定しているためです。)
・ASA5540・PCともに、AnyConnectのバージョンは同一で3.1.08009です。
・エンドユーザーは、プロキシがないネットワーク環境(家庭用と大差ない環境)から接続してくるパターンが多いです。
VPN接続時に、エンドユーザの社内NWのプロキシの接続情報が、クライアントPCに設定されます。
・AnyConnect Downloaderは内部でWinHTTPを使用しているようですが、PCにはWinHTTP用のプロキシは設定されていません。
(コマンドプロンプトのnetsh winhttp show proxyコマンドで確認)
よろしくお願いします。
