Conexão VPN do Cisco Secure Client Redefinida pelo Peer com Interferência de Descriptografia SSL/TLS Zscaler

Opções de download

  • PDF     (251.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (89.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (75.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de junho de 2026
ID do documento:225998

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Contents

Problema

Um usuário enfrenta falhas de conexão VPN ao tentar estabelecer uma conexão usando o Cisco Secure Client.

Ambiente

  • Tecnologia: Cisco Secure Access - Acesso remoto seguro ao cliente (VPN, postura, recurso privado)
  • Linha de produtos: SECACCS
  • Sistema operacional: macOS (com base nos caminhos do arquivo de log mostrando /Users/admin/workspace/secure-client-macos_Raccoon_MR15/)
  • Software de terceiros: Zscaler instalado no sistema cliente
  • Protocolo VPN: CSTP (Cisco SSL Tunnel Protocol)
  • Versão TLS: TLS 1.3 com codificação TLS_AES_256_GCM_SHA384

Resolução

A resolução envolve a identificação e a resolução do conflito entre o Cisco Secure Client e a funcionalidade de descriptografia SSL/TLS da Zscaler.

Passo 1: Análise e diagnóstico de registros

Capture e analise os registros do Cisco Secure Client DART para identificar o padrão de falha de conexão. Os registros mostrarão o estabelecimento bem-sucedido de uma sessão TLS, seguido por uma reinicialização imediata da conexão.

Principais indicadores de diagnóstico nos registros:

  • Estabelecimento de conexão TLS 1.3 com codificação TLS_AES_256_GCM_SHA384

  • O cálculo de MTU e a negociação de HTTP continuam normalmente

  • Conexão redefinida por erro de mesmo nível (Código de retorno: 54) durante a operação de leitura do soquete

A sessão TLS 1.3 é estabelecida com êxito usando a codificação TLS_AES_256_GCM_SHA384, mas imediatamente após o estabelecimento da sessão, um pacote de redefinição é enviado, o que encerra a conexão, resultando no encerramento do túnel VPN. O erro específico observado nos logs mostra "Connection reset by peer" (Conexão redefinida pelo peer) com código de retorno 54 (0x00000036) durante a operação de leitura do soquete.

A seguinte sequência de erros ocorre durante tentativas de conexão:

2026-03-11 10 vpnagentd: (libvpncommon.dylib) [com.cisco.secureclient.vpn:csc_vpnagent] A TLS 1.3 connection has been established using cipher TLS_AES_256_GCM_SHA384
2026-03-11 vpnagentd: (libvpncommon.dylib) [com.cisco.secureclient.vpn:csc_vpnagent] Function: calculateTunnelMTU File: /Users/admin/workspace/secure-client-macos_Raccoon_MR15/vpn/Agent/CstpProtocol.cpp Line: 2923 The candidate MTU (1299) is derived from the physical interface MTU.
2026-03-11 17:01:48. vpnagentd: (libvpncommon.dylib) [com.cisco.secureclient.vpn:csc_vpnagent] Function: startHTTPNegotiation File: /Users/admin/workspace/secure-client-macos_Raccoon_MR15/vpn/Agent/CstpProtocol.cpp Line: 1027 Proposed base MTU is 1400.
2026-03-11 17:01:48.356 vpnagentd: (libvpncommon.dylib) [com.cisco.secureclient.vpn:csc_vpnagent] Function: internalReadSocket File: /Users/admin/workspace/secure-client-macos_Raccoon_MR15/vpn/Common/IPC/UdpTcpTransports_unix.cpp Line: 570 Invoked Function: ::read Return Code: 54  Description: Connection reset by peer

Passo 2: Identificação de software de terceiros

Investigue a presença de software de segurança de terceiros que possa estar executando inspeção ou descriptografia SSL/TLS no sistema cliente. Nesse caso, Zscaler foi identificado como o aplicativo que interfere.

Passo 3: Resolução de conflitos de descriptografia SSL/TLS

Resolva o conflito entre o tráfego do Cisco Secure Client VPN e a funcionalidade de descriptografia SSL/TLS do Zscaler. O tráfego VPN parece estar passando por descriptografia SSL/TLS por Zscaler, o que interfere no estabelecimento do túnel VPN e causa a redefinição da conexão.

As possíveis abordagens de resolução incluem:

  • Configurar o Zscaler para excluir o tráfego de VPN do Cisco Secure Client da inspeção de SSL/TLS

  • Crie regras de desvio em Zscaler para os pontos de extremidade do servidor VPN

  • Desabilite temporariamente o Zscaler durante o teste de conexão VPN para confirmar o conflito

  • Coordenar-se com a equipe de segurança de rede para estabelecer exclusões apropriadas

Causa

A causa raiz desse problema é um conflito entre o tráfego do Cisco Secure Client VPN e a funcionalidade de descriptografia SSL/TLS da Zscaler. Quando o Zscaler tenta descriptografar ou inspecionar o tráfego TLS da VPN, ele interfere no processo de estabelecimento de túnel seguro. Essa interferência se manifesta como uma redefinição de conexão imediatamente após o estabelecimento da sessão TLS, impedindo que o túnel VPN conclua sua fase de negociação. A temporização do pacote de reinicialização (que ocorre logo após o estabelecimento bem-sucedido do TLS, mas antes da conclusão do túnel) é característica da interferência de inspeção SSL/TLS dos dispositivos de segurança ou software.

Conteúdo relacionado

Histórico de revisões

Revisão Data de publicação Comentários
1.0
02-Jun-2026
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • TAC

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos