第一次发帖,所以如果我缺少了服务器故障礼仪,请温柔地纠正我。
我们在站点 A 和 B 拥有两台 CheckPoint 边缘设备,独立管理,连接到两个 Amazon 私有云。在这两种情况下,两个 Amazon VPC 都位于 CheckPoint 设备上的同一个社区中。两台 CheckPoint 设备之间也存在 VPN 隧道。
在站点 A 和 B 以及弗吉尼亚州北部的 Amazon VPC 之间,我们无法保持一条以上的隧道畅通。两条隧道都可以畅通,但隧道 2 会在启动一小时后断开,并且在隧道 1 畅通时不会恢复畅通。我们认为 1 小时的时间间隔是由于 IPsec 第 2 阶段重新协商,但不能确定。在我们这边,我们看到隧道 2 远程端点没有响应第 2 阶段协商。
在站点 A 和 B 以及俄勒冈州的 Amazon VPC 之间,我们没有遇到任何问题。两条隧道均已启动,并可正常进行故障转移。
CheckPoint 网关使用基于域的 VPN。根据 CheckPoint 向亚马逊提出的建议,这种方法行不通。然而,在俄勒冈州,这种方法行得通。
我们已经向亚马逊反映过这个问题,尽管它在俄勒冈州可以正常工作,但他们拒绝进一步与我们一起排除故障。
有人能建议我们做些什么来尝试稳定这种情况吗?使用基于路由的 VPN 对我们来说不是一个选择。
答案1
我发现 Checkpoint Edges 需要在远程站点上定义/建立两个隧道(与 Linux 系统互操作)。一个用于网关本身,一个用于网关后面的子网。如果网关的隧道丢失,它将断开连接。