Должен ли я увеличить значение таймаута для UDP на нашем маршрутизаторе VPN?

У нас есть SonicWALL NSA 2400. У нас есть множество (100+) сотрудников в разных офисах в разных физических местах, которые ежедневно устанавливают сеансы VPN. Некоторые из этих клиентских компьютеров находятся за маршрутизаторами. В одном из этих офисов сообщается, что с четырьмя офисными компьютерами они иногда не могут подключить некоторые или все из своих четырех сеансов VPN.

Когда я проверяю наши журналы SonicWALL, я вижу, что наш NSA 2400 получает пакеты от своего офисного маршрутизатора. Затем наша NSA пытается подтвердить эти пакеты, но это приводит к сообщению о тайм-ауте для ack. (К сожалению, у меня нет конкретных сообщений об ошибках.)

Я проверил наши настройки, и наше значение таймаута UDP для этого соединения (LAN-> VPN) составляет 30 секунд. Это кажется низким, и я хотел бы увеличить его, пытаясь исправить проблему с сообщениями тайм-аута, но я не знаю, какое влияние это окажет на остальные сеансы подключения VPN. Наше TCP-тайм-аут составляет 900 минут, кстати, для справки. Я подозреваю, что предыдущий администратор изменил настройки TCP, но забыл /проигнорировал настройки UDP.

В журналах NSA также есть сообщения об отбрасываемых пакетах UDP, как входящих, так и исходящих. Сообщения предназначены для различных номеров портов и служб (DNS, IKE (Transversal) и т. Д.), Поэтому изменение настроек UDP может помочь в удалении этих сообщений.

Я боюсь, что изменение этих настроек повлияет на существующие VPN-соединения. Тем не менее, NSA имеет 512 МБ оперативной памяти, и наше максимальное использование соединений составляет около 6200 соединений из 32000 макс. В среднем мы запускаем около 1500 соединений.

Я исследовал это в Интернете, но нашел общие рекомендации по устранению неполадок, чтобы «увеличить тайм-аут UDP и посмотреть, исправляет ли он это».

Таким образом, увеличение тайм-аута UDP до 300 секунд отрицательно повлияет на другие существующие VPN-соединения? Это не похоже на то, что мы близки к пределу связи.

3 голоса | спросил Disco 8 +03002015-10-08T22:16:02+03:00312015bEurope/MoscowThu, 08 Oct 2015 22:16:02 +0300 2015, 22:16:02

1 ответ


1
  

точно знать, почему он должен заменить маршрутизатор

Поскольку его маршрутизатор вмешивается в операции клиента vpn.

IPSec VPN использует udp /500 для обмена ключами (ISAKMP, иначе IKE) и, как правило, udp /4500 для обхода NAT. После согласования ключей и настроек фактический туннельный транспорт является либо ESP (IP-протокол 50), либо AH (IP-протокол 51), но AH несовместим с NAT.

Пока ваш брандмауэр не отстает от какого-либо другого NAT, изменение таймеров соединения брандмауэра будет делать абсолютно ничего ; эти настройки предназначены для сеансов через брандмауэра, а не для подключения к /из брандмауэра. Наиболее вероятной причиной проблемы является маршрутизатор удаленного офиса.

ответил Ricky Beam 8 +03002015-10-08T23:26:06+03:00312015bEurope/MoscowThu, 08 Oct 2015 23:26:06 +0300 2015, 23:26:06

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132