問題概要
Secure Access のリモートアクセスに使用する Resource Connector をデプロイした後に、インターネットへの接続が正常に行われているにも関わらず、Secure Access の画面上で Resource Connector の Status が Setup failed となり正常に動作しない問題が確認されています。
Resource Connector の techsupport から、 Cisco SSE cloud への ping は適切に動作しており IP 到達性自体に問題ないことが確認できます。
2025-04-25 00:00:00.000000000 Pinging Cisco SSE cloud hosts (Tue Apr 25 00:00:00 UTC 2025)
2025-04-25 00:00:00.000000000
2025-04-25 00:00:00.000000000 ###ping self: ping -w 5 -c 3 x.x.x.x
2025-04-25 00:00:00.000000000 PING x.x.x.x (x.x.x.x) 56(84) bytes of data.
2025-04-25 00:00:00.000000000 64 bytes from x.x.x.x: icmp_seq=1 ttl=64 time=0.038 ms
2025-04-25 00:00:01.000000000 64 bytes from x.x.x.x: icmp_seq=2 ttl=64 time=0.091 ms
2025-04-25 00:00:02.000000000 64 bytes from x.x.x.x: icmp_seq=3 ttl=64 time=0.095 ms
2025-04-25 00:00:02.000000000
2025-04-25 00:00:02.000000000 --- x.x.x.x ping statistics ---
2025-04-25 00:00:02.000000000 3 packets transmitted, 3 received, 0% packet loss, time 2025ms
2025-04-25 00:00:02.000000000 rtt min/avg/max/mdev = 0.038/0.074/0.095/0.026 ms
次に、Resource Connector と Secure Access の接続に使用される DTLS tunnel の状態が Disconnected となっていることがわかります。
2025-04-25 00:00:00.000000000 tunnel status
2025-04-25 00:00:00.000000000 Last updated: Tue Apr 25 00:00:00 UTC 2025
2025-04-25 00:00:00.000000000 Connection State: Disconnected
2025-04-25 00:00:00.000000000 Packets Sent: 0
2025-04-25 00:00:00.000000000 Packets Received: 0
2025-04-25 00:00:00.000000000 Control Packets Sent: 0
2025-04-25 00:00:00.000000000 Control Packets Received: 0
2025-04-25 00:00:00.000000000 Protocol: Unknown
2025-04-25 00:00:00.000000000 Cipher: Unknown
根本原因
Resource Connector からインターネットへの経路上の顧客ルータの LAN側/WAN側のインタフェースの MTU が小さく設定されており、これに起因して適切に DTLS Tunnel が確立できないことが原因となります。
Resource Connector の MTU は 1500 固定であり、拠点ルータの設定もこれにあわせて設定するようにしてください。
参考文献
Troubleshoot Resource Connectors and Connector Groups
https://docs.sse.cisco.com/sse-user-guide/docs/troubleshoot-resource-connectors-and-connector-groups
