<症状>
WindowsXP と Windows7 のPCから Cisco ASA に L2TP IPSec 接続を行うと、接続開始から
51分30秒経過した時点でL2TP IPSec 接続が切断されてしまいます。
<発生条件>
・毎回、症状が発生します。
・時間帯に関係なく症状が発生します。
・パソコン側のネットワークデバイスを変えても症状が発生します(WiFi、3G通信カードで確認)。
<確認状況>
L2TP IPSec 接続が切断されたタイミングでは、ASA側に不正なL2TP セッションが残存している
状況となってしまいます。
Cisco社に調査を依頼しましたところ、下記の見解が得られました。
===============================================================
本問題の発生するまでの流れはクライアントからの Rekey が開始されずに一度 IPSec SA が削除された
際に、クライアント側からの IPSec SA のネゴシエーションは実施されるものの、以降の L2TP のネゴシ
エーションが開始されないことに起因しているように見受けられます。
L2TP のネゴシエーションが完了していない状態にも関わらず、L2TP のデータパケットを送信している
ように見え、こちらのパケットが破棄されているログが出力されておりました。
こちらの動作につきましては、クライアント側の問題である可能性もございますので
一度 Windows native の l2tp クライアント側の実装につきまして、ご確認頂ければと存じます。
===============================================================
<再接続時の動作について>
この症状が発生している状態(ASA側に不正なセッションが残存している状態)で、
パソコンから再接続を行った場合、OSによって挙動が異なっています。
Windows7 の場合
下記のエラーが発生し接続に失敗します。
エラー789 リモートコンピュータと最初にネゴシエートするときに、セキュリティ層で接続エラーが検出
されたため、L2TP接続に失敗しました。
ASAのセッションタイムアウト時間が経過するまで、不正なセッションがクリアされません。
WindowsXPの場合
エラーは発生しませんが接続に失敗します。
Windows7よりも短い時間(1分~2分)で不正なセッションがクリアされます。
