購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
28748
閲覧回数
4
いいね!
2
返信

VPN Clientの接続が途中遮断されてしまう。

解決策を見る
yoshinori-mori
Level 1
Level 1

‎2012-09-20 01:57 PM

ASA5500シリーズでリモートアクセスVPNを構築しているのですが、

接続後20分~30分ぐらいで接続が切れてしまいます。

以下のコマンドを流していて、

デフォルトのグループポリシーを引き継ぐ設定をしています。

そのデフォルトグループポリシーでも、何か通信を遮断してしまうようなものの

設定はありません。

vpn-session-timeout none

vpn-idle-timeout none

crypto ipsec security-association lifetime 86400

何かコンフィグを変更する必要があるか、他のネットワーク機器が動作して遮断をしているか

原因がわかりません。

同じ事象が色々ウェブに掲載されていますが、これという解決策が見当たりません。

教えてください。

宜しくお願いします。

1 人 がこの問題に直面しました。
1 件の受理された解決策

受理された解決策

解決策を見る
Yuko Baba
Level 1
Level 1

‎2012-10-08 01:04 PM

VPN Client でタイムアウトせずに切断して、VPN 接続を行うためには、ご認識の通り

group-policy に、"vpn-session-timeout none"、"vpn-idle-timeout none" が設定されている

必要がございます。こちらの設定が VPN Client で接続した VPN セッションに正常に適用

されている場合、 ASA 側で "show vpn-sessiondb detail ra-kev1-ipsec" を表示した場合、

以下のような結果が出力されます。

-----

ASA5520# sh vpn-sessiondb detail ra-ikev1-ipsec

(中略)

IPsec:

  Tunnel ID    : 3.2

  Local Addr   : 0.0.0.0/0.0.0.0/0/0

  Remote Addr  : 10.168.0.1/255.255.255.255/0/0

  Encryption   : 3DES                   Hashing      : SHA1

  Encapsulation: Tunnel

  Rekey Int (T): 28800 Seconds          Rekey Left(T): 28599 Seconds

  Idle Time Out: 0 Minutes              Idle TO Left : 0 Minutes

  Bytes Tx     : 0                      Bytes Rx     : 5965

  Pkts Tx      : 0                      Pkts Rx      : 42

-----

IPsec セクションの Idle Time Out の項目の値が 0 Minutes と表示され、VPN 接続の

残り時間はカウントされません。

一度、VPN 接続を確立させた後、show vpn-sessiondb detail ra-kev1-ipsec をご確認

いただき、Idle Time Out の項目や Conn Time Out 項目にて、タイムアウトの時間が

設定されていないかご確認いただけますでしょうか。

弊社に報告されております類似事例においては、ユーザ認証を Radius サーバで

行っており、Radius サーバの Authentication で session timeが設定されていたため、

"vpn-session-timeout none"、"vpn-idle-timeout none"の設定があるにも関わらず、Radius の

設定が VPN 接続のタイムアウトに影響を与えていた、という事例もございます。

http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/ref_extserver.html#wp1773489

(IETF-Radius-Session-Timeout)

以上、よろしくお願いいたします。

何かご不明な点がございましたら、ご返信いただければと思います。

元の投稿で解決策を見る

2件の返信2

解決策を見る
Yuko Baba
Level 1
Level 1

‎2012-10-08 01:04 PM

VPN Client でタイムアウトせずに切断して、VPN 接続を行うためには、ご認識の通り

group-policy に、"vpn-session-timeout none"、"vpn-idle-timeout none" が設定されている

必要がございます。こちらの設定が VPN Client で接続した VPN セッションに正常に適用

されている場合、 ASA 側で "show vpn-sessiondb detail ra-kev1-ipsec" を表示した場合、

以下のような結果が出力されます。

-----

ASA5520# sh vpn-sessiondb detail ra-ikev1-ipsec

(中略)

IPsec:

  Tunnel ID    : 3.2

  Local Addr   : 0.0.0.0/0.0.0.0/0/0

  Remote Addr  : 10.168.0.1/255.255.255.255/0/0

  Encryption   : 3DES                   Hashing      : SHA1

  Encapsulation: Tunnel

  Rekey Int (T): 28800 Seconds          Rekey Left(T): 28599 Seconds

  Idle Time Out: 0 Minutes              Idle TO Left : 0 Minutes

  Bytes Tx     : 0                      Bytes Rx     : 5965

  Pkts Tx      : 0                      Pkts Rx      : 42

-----

IPsec セクションの Idle Time Out の項目の値が 0 Minutes と表示され、VPN 接続の

残り時間はカウントされません。

一度、VPN 接続を確立させた後、show vpn-sessiondb detail ra-kev1-ipsec をご確認

いただき、Idle Time Out の項目や Conn Time Out 項目にて、タイムアウトの時間が

設定されていないかご確認いただけますでしょうか。

弊社に報告されております類似事例においては、ユーザ認証を Radius サーバで

行っており、Radius サーバの Authentication で session timeが設定されていたため、

"vpn-session-timeout none"、"vpn-idle-timeout none"の設定があるにも関わらず、Radius の

設定が VPN 接続のタイムアウトに影響を与えていた、という事例もございます。

http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/ref_extserver.html#wp1773489

(IETF-Radius-Session-Timeout)

以上、よろしくお願いいたします。

何かご不明な点がございましたら、ご返信いただければと思います。

解決策を見る
cja56910tf
VIP
VIP
Yuko Babaに対する応答

‎2024-12-12 09:03 AM

こんにちは。

認証サーバ(RADIUS)にNetAttestEPSを使用している環境において同様の事象に遭遇して困っていたところに、本投稿を見つけて解決の糸口になりました。

認証サーバのユーザーに設定されている認証タイムアウト(デフォルト1800秒)をASAが受け取っており、それが最大接続時間に反映されていました。こちらを無効化することで、"vpn-session-timeout"に設定した値が反映されるようになりました。

本当に助かりました。ありがとうございました。

Customers Also Viewed These Support Documents