none
WindowsXP と Windows7 のPCから Cisco ASA に L2TP IPSec 接続を行うと、接続開始から 51分30秒経過した時点で L2TP IPSec 接続が切断されてしまう。 RRS feed

  • 質問

  • <症状>

    WindowsXP と Windows7 のPCから Cisco ASA に L2TP IPSec 接続を行うと、接続開始から

    51分30秒経過した時点でL2TP IPSec 接続が切断されてしまいます。

    <発生条件>

    ・毎回、症状が発生します。

    ・時間帯に関係なく症状が発生します。

    ・パソコン側のネットワークデバイスを変えても症状が発生します(WiFi、3G通信カードで確認)。

    <確認状況>

    L2TP IPSec 接続が切断されたタイミングでは、ASA側に不正なL2TP セッションが残存している

    状況となってしまいます。

    Cisco社に調査を依頼しましたところ、下記の見解が得られました。

    ===============================================================

    本問題の発生するまでの流れはクライアントからの Rekey が開始されずに一度 IPSec SA が削除された

    際に、クライアント側からの IPSec SA のネゴシエーションは実施されるものの、以降の L2TP のネゴシ

    エーションが開始されないことに起因しているように見受けられます。

    L2TP のネゴシエーションが完了していない状態にも関わらず、L2TP のデータパケットを送信している

    ように見え、こちらのパケットが破棄されているログが出力されておりました。

    こちらの動作につきましては、クライアント側の問題である可能性もございますので
    一度 Windows native の l2tp クライアント側の実装につきまして、ご確認頂ければと存じます。
    ===============================================================

    <再接続時の動作について>

    この症状が発生している状態(ASA側に不正なセッションが残存している状態)で、

    パソコンから再接続を行った場合、OSによって挙動が異なっています。

    Windows7 の場合

     下記のエラーが発生し接続に失敗します。

      エラー789 リモートコンピュータと最初にネゴシエートするときに、セキュリティ層で接続エラーが検出

      されたため、L2TP接続に失敗しました。

     ASAのセッションタイムアウト時間が経過するまで、不正なセッションがクリアされません。

    WindowsXPの場合

     エラーは発生しませんが接続に失敗します。

     Windows7よりも短い時間(1分~2分)で不正なセッションがクリアされます。

    2013年3月25日 6:47

すべての返信