Cisco ASAVPNで一貫性のないSSL障害が発生する原因

週末にかけて、Cisco ASA 5512のインストールとテストを完了して、古いルータ/ファイアウォールを交換しました。今日、私はブラウザが一貫してSSL経由で接続してVPN経由でOWAを交換できないという問題に取り組んできました。コンピュータが正常に起動し、VPNに接続し、Exchange OWAに正常に接続する場合もあれば、接続しない場合もあります。接続されているかどうかに関係なく、コンピュータが再起動されるまで、それらは一貫してそのように機能しているように見えます。

ASAでパケットキャプチャを実行すると、成功した場合は以前に確立されたSSLセッションを使用し、失敗した場合はセッションの確立中のように見えますが、ネットワーク診断スキルが完全に完璧ではないことを認める必要があります。 。障害時のパケットキャプチャには、サーバーから送信されているパケットのACKは表示されません。ただし、サーバーはクライアントのパケットのACKを送信しています。

成功した接続と失敗した接続を含む単純なpcapファイルが見つかります ここ 。原因の私の評価は正確ですか？問題の原因は何であり、問​​題をトラブルシューティングするためのさらなる手順の解決策は何でしょうか？

編集：2日目の更新。

この問題は、MTUサイズ、VPN、およびデータをフラグメント化する必要があるができない場合にICMP到達不能パケットを送信しないASAに関連して発生します。

Do n't Fragmentビットを設定してさまざまなサイズのpingを使用し、インターネットに面したポートでASAのMTUを変更すると、次のことがわかりました。

インターネットとVPN接続の両方のコンピューターに小さなパケットで問題なくpingできます。

ルーターのインターネットに面したポートが1500のMTUに設定されている場合、最大1472のパケットでインターネット上のコンピューターにpingを実行できます。 。これは私がこれまでに期待した通りです。

ルーターのインターネットに面したポートが1500のMTUに設定されている場合、VPNに接続されているコンピューターにpingできるのは1356までのパケットのみで、その後はパケットがタイムアウトします。これは私が期待するものではありません。パケットサイズが大きすぎた場合でも、フラグメント化する必要があり、DFビットが設定されたため、パケットがドロップされたことを示すICMP応答が返されます。

ルーターのインターネットに面したポートをMTU1400まで下げると、インターネット上のコンピューターに1372へのパケットでpingを実行できます。その後、パケットはタイムアウトします。繰り返しますが、問題があります。私は1372までのパケットしか送信できないと予想しますが、1373（コンピューターのMTUの下で、28バイトのヘッダーを持つルーターのMTUの下）では、ルーターはパケットが必要であるという応答を返送する必要があります。フラグメント化されますが、DFビットが設定されます。

VPN経由で接続されているコンピューターにpingを実行しようとすると、対応する1256へのドロップもあり、バイト数が多いpingには応答しません。

パケットを転送できない場合、ASAはICMPパケットで応答するべきではありませんか。ルーターの設定中に、誤ってアクティブにしてこの機能を無効にした設定はありますか？