srv-img Virtual Private Network

Как я могу предотвратить прерывание VPN-соединения?

Параметры VPN-соединения могуть быть пересогласованы, когда период действия текущих параметров IPsec SA подходит к окончанию или объем данных, переданных через VPN-соединение, превышает 20 ГБ. Обычно пересогласование параметров не прерывает VPN-соединения.

Большинство прерываний вызвано несогласованными настройками параметров с обеих сторон VPN-соединения или сбоем их пересогласования из-за проблем с интернетом.

Наиболее распространенными причинами прерывания соединения являются:

  • Значение списков доступа (ACL) на устройствах с обеих сторон VPN-соединения не совпадают между собой.

  • Периоды действия параметров SA с обеих сторон VPN-соединения не совпадают.

  • Механизм проверки состояния и доступности смежных устройств (Dead Peer Detection) не настроен в аппаратном ЦОД.

  • Параметры IKE и IPsec были некорректно изменены во время использовании VPN.

  • Фрагментация IP-пакетов, поскольку размер данных превышает допустимый MTU.

  • Вариации задержок при передаче пакетов в сети оператора.

Поэтому убедитесь, что выполнены следующие настройки для успешного VPN-соединения:

  • Описание локальной подсети одной площадки совпадает с удаленной подсетью другой и наоборот.

  • Периоды действия параметров SA с обеих сторон VPN-соединения согласованы.

  • Механизм DPD включен на устройстве аппаратного ЦОД, и количество попыток обнаружения смежного устройства больше или равно 5.

  • При необходимости параметры протоколов IKE и IPsec изменяются согласовано с обеих сторон VPN-соединения во время его использования.

  • Для параметра TCP MAX-MSS установлено значение 1300 для устройства в аппаратном ЦОД.

  • Доступная пропускная способность VPN-шлюза в аппартном ЦОД достаточно велика для использования VPN-соединения.

  • Установка VPN-соединения может быть инициирована обеими площадками, и активный режим включен на VPN-шлюзе в аппаратном ЦОД.

  • Проверьте установку VPN-соединения (утилита ping) между площадками с помощью файл-скрипта:

    #!/bin/sh
    host=$1
    if [ -z $host ]; then
        echo "Usage: `basename $0` [HOST]"
        exit 1
    fi
    log_name=$host".log"
    

    while :; do
        result=`ping -W 1 -c 1 $host | grep 'bytes from '`
        if [ $? -gt 0 ]; then
            echo -e "`date +'%Y/%m/%d %H:%M:%S'` - host $host is down"| tee -a $log_name
        else
            echo -e "`date +'%Y/%m/%d %H:%M:%S'` - host $host is ok -`echo $result | cut -d ':' -f 2`"| tee -a $log_name
        fi
    sleep 5 # avoid ping rain
    done
    #./ping.sh x.x.x.x >>/dev/null &
Примечание

  1. С помощью редактора vi скопируйте вышеприведенный список команд в созданный файл с названием ping.sh.

  2. Чтобы предоставить права доступа к файлу на выполнение, запустите chmod 777 ping.sh.

  3. Запустите ./ping.sh x.x.x.x >>/dev/null &. В качестве x.x.x.x необходимо указать IP-адрес для проверки VPN-соединения.

  4. После выполнения команд из скрипта создается дополнительный файл x.x.x.x.log. Чтобы просмотреть результат непрерывного использования утилиты ping в реальном времени, запустите tail -f x.x.x.x.log.

Была ли статья полезной ?
Предыдущая статья
Поддерживается ли SSL VPN?
Следующая статья
Какова максимальная пропускная способность VPN-шлюза?
/ DOCS
Advanced