最近搬家后,在家里连接公司vpn,始终显示 authentication attempt timed out
ISP是中国电信,
使用手机热点可以连接,搬家前使用路由或者光猫的wifi都可以连接,搬家后,换了个新光猫,使用旧的路由器A,无论是连接光猫还是路由A,都是 time out。
但是使用路由器B,可以连接。
想请教的是,远程连接企业VPN 时,需要光猫或者路由器支持某些功能?比如 VPN协议?
ipv6 没有启用
设备信息
anyconnect 一般是dtls或者ipsec的协议,路由器应该不会影响这个东西啊,路由器支持vpn是支持从路由器直接建立vpn连接吧,这两者应该是不相关的。
authentication attempt timed out是在什么阶段出现的?点击连接之后还是在输完用户名密码之后呢?
如果有公司设备的权限,可以检查一下问题时段的log信息,web portal如果可用的话,可以同时测试一下web的登录情况,
没有设备管理权限的话可以试试在本机抓包分析一下情况。
我们是在Mac 使用 Cisco Secure Client,它的窗口上会有“AnyConnect VPN”,不太确定这和其他所说的“AnyConnect VPN”是不是同一个东西。
现在出现问题,是在输入用户名和passcode之后 。自带的日志显示:
For the success cases :
23:17:23 User credentials entered.
23:17:56 Hostscan scanning complete // about 30s, sometimes very fast , few seconds
23:17:59 Please respond to banner. // a banner shows something like TNC
23:18:01 User accepted banner. // user click Accept
23:18:01 Establishing VPN session...
For the failure cases :
23:05:01 User credentials entered.
23:08:24 Hostscan scanning complete // takes more than 3mins , then get “Authentication attempt timed out” alert
23:10:27 Contacting XXXX(company name) VPN - Standard.
anyconnect 一般是dtls或者ipsec的协议,路由器应该不会影响这个东西啊,路由器支持vpn是支持从路由器直接建立vpn连接吧,这两者应该是不相关的。 --> 按我的理解也是这样, 但从实际测试的结果来看, 连接VPN时使用不同的光猫或者路由是有区别的,或许我们可以描述为好像某种feature或者说功能,需要这种硬件的支持。
如果有公司设备的权限,可以检查一下问题时段的log信息,web portal如果可用的话,可以同时测试一下web的登录情况,
没有设备管理权限的话可以试试在本机抓包分析一下情况。---> 这两个都没办法,TI 反正搞不定,也没法获得local Cisco的support,公司的Mac也不能随便装其他的软件,所以才来这里提问。
anyconnect 5.x之后的版本更名为secure client,4.x还是anyconnect,暂时没有太大的差异
就你前面的信息来看,在fail的时候是hostscan的阶段卡了很长时间。
在输入passcode 到 弹出TNC之间 可能有 download profile/rules , perform scan , return scan result三个环节,在当前的情况下无法通过log信息或者抓包来看到更细的消息,从猜测的角度来看,有可能的是在pc和vpn gateway之间数据传输有异常,可能存在大量重传的情况。而导致这种重传的根源有可能是你本地的光猫、路由器的系统参数的问题或者硬件软件bug导致数据一直在重传直至超时。
暂时想到两种可能的方法;
1.修改网卡的的MTU值,硬件的MTU默认是1500,将其修改1300左右,然后测试一下是否能够改善(WIFI点开详细信息-选择硬件-配置改为手动,然后再设置MTU即可)测试完之后恢复成默认就行
2.找运营商升级光猫固件/恢复默认设置 或更换光猫等操作(慎用恢复功能,光猫需要一个运营商给的一个token id注册到网内,恢复默认有可能会直接清掉这个设置)
感谢回复
<1>MTU 的值之前改过,最小的1280 1300+ 1400+都试过,没有什么区别。
<2> 可能有点难,这个悦me网关 E140W-P 就是最近装的,设置页面也没有看到可以升级固件。
需要注意的是之前 TPLINK TL-WDR5620 + 华勤 HGU421N V3 光猫,连接TP的Wi-Fi是成功,但是 TPLINK TL-WDR5620 + E140W-P 光猫,连接TP的Wi-Fi就不行 。
Cisco 自带的DART 可以协助分析么? 试过运行DART ,在input passcode之前,但是不知道怎么看结果。 也不确定它能否诊断输入passcode后的连接过程。