取消
显示结果 
搜索替代 
您的意思是: 
cancel
1758
查看次数
1
有帮助
7
回复

使用 Cisco Secure Client 无法连接企业VPN 显示“Authentication attempt timed out”

shakespace
Level 1
Level 1

最近搬家后,在家里连接公司vpn,始终显示 authentication attempt timed out

ISP是中国电信,

使用手机热点可以连接,搬家前使用路由或者光猫的wifi都可以连接,搬家后,换了个新光猫,使用旧的路由器A,无论是连接光猫还是路由A,都是 time out。 

但是使用路由器B,可以连接。 

想请教的是,远程连接企业VPN 时,需要光猫或者路由器支持某些功能?比如 VPN协议?

7 条回复7

ilay
VIP
VIP

路由器B是个啥角色?

尝试把ipv6禁用掉试试?

ipv6 没有启用

设备信息

1. 旧光猫 华勤 HGU421N V3 GE版本
2. 新光猫 悦me网关 E140W-P
3. 路由器 两个, 华为 AX3Pro 和 TPLINK TL-WDR5620
 
用旧的光猫,不管是直接连光猫还是连接路由,VPN都可以连上
用新的光猫,直接连光猫不行,用TP 路由不行,用华为路由才可以。
 
猜测,连接VPN 需要设备支持某种功能,只要光猫或者路由某一个支持就可以。 
查了下 华为路由是支持 VPN协议的, TP这个不支持,但是光猫的信息查不到。

anyconnect 一般是dtls或者ipsec的协议,路由器应该不会影响这个东西啊,路由器支持vpn是支持从路由器直接建立vpn连接吧,这两者应该是不相关的。

authentication attempt timed out是在什么阶段出现的?点击连接之后还是在输完用户名密码之后呢?

如果有公司设备的权限,可以检查一下问题时段的log信息,web portal如果可用的话,可以同时测试一下web的登录情况,

没有设备管理权限的话可以试试在本机抓包分析一下情况。

我们是在Mac 使用 Cisco Secure Client,它的窗口上会有“AnyConnect VPN”,不太确定这和其他所说的“AnyConnect VPN”是不是同一个东西。 

现在出现问题,是在输入用户名和passcode之后 。自带的日志显示:

For the success cases :

    23:17:23    User credentials entered.

    23:17:56    Hostscan scanning complete // about 30s, sometimes very fast , few seconds 

    23:17:59    Please respond to banner.  // a banner shows something like  TNC

    23:18:01    User accepted banner.      // user click Accept

    23:18:01    Establishing VPN session...

 

 

For the failure cases :

    23:05:01    User credentials entered.

    23:08:24    Hostscan scanning complete // takes more than 3mins , then get “Authentication attempt timed out” alert

    23:10:27    Contacting XXXX(company name) VPN - Standard.

anyconnect 一般是dtls或者ipsec的协议,路由器应该不会影响这个东西啊,路由器支持vpn是支持从路由器直接建立vpn连接吧,这两者应该是不相关的。 --> 按我的理解也是这样, 但从实际测试的结果来看, 连接VPN时使用不同的光猫或者路由是有区别的,或许我们可以描述为好像某种feature或者说功能,需要这种硬件的支持。

如果有公司设备的权限,可以检查一下问题时段的log信息,web portal如果可用的话,可以同时测试一下web的登录情况,

没有设备管理权限的话可以试试在本机抓包分析一下情况。---> 这两个都没办法,TI 反正搞不定,也没法获得local Cisco的support,公司的Mac也不能随便装其他的软件,所以才来这里提问。

anyconnect 5.x之后的版本更名为secure client,4.x还是anyconnect,暂时没有太大的差异

就你前面的信息来看,在fail的时候是hostscan的阶段卡了很长时间。

在输入passcode 到 弹出TNC之间 可能有 download profile/rules , perform scan , return scan result三个环节,在当前的情况下无法通过log信息或者抓包来看到更细的消息,从猜测的角度来看,有可能的是在pc和vpn gateway之间数据传输有异常,可能存在大量重传的情况。而导致这种重传的根源有可能是你本地的光猫、路由器的系统参数的问题或者硬件软件bug导致数据一直在重传直至超时。

暂时想到两种可能的方法;

1.修改网卡的的MTU值,硬件的MTU默认是1500,将其修改1300左右,然后测试一下是否能够改善(WIFI点开详细信息-选择硬件-配置改为手动,然后再设置MTU即可)测试完之后恢复成默认就行

2.找运营商升级光猫固件/恢复默认设置 或更换光猫等操作(慎用恢复功能,光猫需要一个运营商给的一个token id注册到网内,恢复默认有可能会直接清掉这个设置)

感谢回复

<1>MTU 的值之前改过,最小的1280 1300+ 1400+都试过,没有什么区别。  

<2> 可能有点难,这个悦me网关 E140W-P 就是最近装的,设置页面也没有看到可以升级固件。 

需要注意的是之前 TPLINK TL-WDR5620 + 华勤 HGU421N V3 光猫,连接TP的Wi-Fi是成功,但是 TPLINK TL-WDR5620 + E140W-P 光猫,连接TP的Wi-Fi就不行 。 

Cisco 自带的DART 可以协助分析么? 试过运行DART ,在input passcode之前,但是不知道怎么看结果。 也不确定它能否诊断输入passcode后的连接过程。

着实是匪夷所思,改成路由器拨号的形式有可能好么?想来想去还是觉得光猫的可能性大于路由器。

cisco的诊断工具应该执行一系列的收集日志的动作,最后打一个包,其他的故障可能有点帮助,这个问题估计有点悬。没在macos上测试过这个诊断

快捷链接