在我的中央办公室,我有一个 SonicWALL NSA-2400 设备,作为多个远程办公室的集线器。它配置为将 DHCP 请求传递到我的内部 DHCP 服务器。VPN 连接工作正常,IP 地址按预期分发到远程办公室,我对结果非常满意 - 除了一个远程办公室。
上周五,我在远程办公室安装了 NSA-2400 的小兄弟 NSA-240。两款防火墙都报告称,连接始终稳定,通过隧道的网络连接各方面都运行良好。我的问题是,到目前为止,远程办公室每天早上都会打电话告诉我他们无法访问网络。每次,他们都丢失了我公司办公室 DHCP 服务器分配的 IP 地址,并被分配了“垃圾”169.xxx 地址。
重启防火墙并更新 DHCP 租约可以立即解决问题。如果不先重启防火墙就更新 DHCP 租约,则会失败。
两个防火墙上均启用了“保持活动”功能。
显然,经过一段时间不活动后,IP 地址就会过期。有人能帮我解释一下吗?
编辑以获取更多信息:此时,我已确定远程站点的 IP 地址在正常运行 8 小时后失效。日志表明此时 ARP 数据包发生故障。重申一下,即使过了 8 小时,隧道在两个防火墙上都是稳定的,只有 DHCP 分配的 IP 地址丢失。我今天早上 7:45 重新启动了远程防火墙,并让他们修复了连接,所以我会在 4:45 接到他们的另一个电话,告诉我他们的互联网断线了。
答案1
169.XYZ APIPA 地址只会在您的计算机与 DHCP 服务器之间缺乏连接时出现。
一个快速的解决方法(但并非没有问题)可能是在诊断问题时简单地配置静态地址。
为了进行诊断,我会抓住一台有问题的计算机,在监控防火墙日志的同时更新 IP 地址。或者在用户到达时或系统更新 DHCP 租约时简单地检查防火墙日志。
答案2
虽然我不知道您的问题为何发生,但我建议您拆分 DHCP,让远程设备处理整个 DHCP 范围的指定部分。如果站点之间出现连接问题,这还可以提供一些备份,至少可以保持远程网络正常运行。
答案3
感谢所有提供故障排除的人。以下是我的问题的解决方案:
远程办公室防火墙的配置存在冲突。一方面,它应该通过防火墙从我的公司 DHCP 服务器获取和分配 IP 地址。另一方面,它被配置为在隧道发生故障时提供本地 IP 地址。
经过进一步调查,我得出结论,远程客户端在我上次重新启动防火墙后恰好 8 小时丢失了其 IP 地址。8 小时是 28,800 秒,或者说是 IPSec 隧道的默认寿命。
基本上,每 8 小时,两个防火墙就会重新协商加密。重新协商需要 2 秒以上,远程防火墙会认为隧道已损坏,并尝试向其客户端分发本地 IP 地址。隧道协商将在几秒钟后成功,隧道两端都稳定,但远程客户端的 IP 地址无效。
答案4
在 Sonicwall 支持站点上有一个文档 site_to_site_vpn_troubleshooting_on_sonicwall_security_appliances.pdf
提供解决此类情况的故障步骤。