Hay un comportamiento por defecto en el firewall Cisco ASA que expira las conexiones SVC y WebVPN en caso de evento de failover. Cuando se produce una conmutación por error, el ASA descarta los paquetes de cliente TCP, a la espera de que vuelvan a establecer las conexiones. Esto provoca desconexiones de la sesión VPN debido al tiempo de espera.

Para evitar esto tenemos que decirle al ASA que responda a los clientes. Hay 2 comandos en el modo de configuración global que son service resetoutside y service resetinbound. Con ellos el ASA enviará paquetes TCP-RST a los clientes, forzándoles a restablecer las conexiones antes de que ocurra el timeout.

Sin embargo, ambos tienen otro uso. Enviar TCP-RST a los hosts que intentan establecer una conexión inicial con el ASA si éste no va a permitir el paso del paquete.

ciscoasa(config)# service resetinbound
ciscoasa(config)# service resetoutside