我设法设置了一个从 Amazon VPC 到公司网络的站点到站点 VPN 连接经过大量配置后,它工作正常,但现在我意识到每当几分钟内没有流量通过时,VPN 隧道就会关闭。
我发现产生流量的唯一方式是从公司网络到达亚马逊实例,然后隧道再次启动。
我有一个 cronjob 每分钟执行一次 ping,但我认为它应该在某处有一个 keepalive 选项,或者至少有一个隧道日志文件看看到底发生了什么事。
有什么想法可以让隧道保持畅通和/或将其从亚马逊上线吗?
防火墙是 Checkpoint R75.20,它只允许同一个子网一次建立一个隧道,所以我不能让两个隧道都处于活动状态。
谢谢,有任何问题请直接询问。
编辑我忘了补充,ping keepalive 工作得很好(可能产生了一点流量,但没什么可担心的),连接断开是因为我必须重新启动实例,而就在那一小段时间内它把我挂断了。
答案1
添加 SLA 监视器
使用 sla 监视器,我们可以让 ASA 通过隧道连续 ping 以保持其始终处于运行状态。以下是每 5 秒通过隧道 ping 一次 IP 的配置,永远如此。
sla monitor 1
type echo protocol ipIcmpEcho 10.1.2.2 interface OUTSIDE
frequency 5
exit
sla monitor schedule 1 life forever start-time now
这样做的目的只是保持隧道畅通。ping 是否成功并不重要。
参考:http://www.tunnelsup.com/troubleshooting-vpn-between-cisco-asa-and-amazon-aws
答案2
两个想法,
1) 看看您是否可以在检查点端启用重新密钥。这可能是一项漫长而复杂的调查,而且可能真的行不通。
2) 由于您使用的是 VPC,您是否已启用“启用 DNS”功能?默认情况下,此功能处于启用状态。如果启用,则 VPC 内部会有一个始终处于启用状态的 IP 地址 - VPC DNS 服务器。即使您的所有实例都已消失,它仍会存在。从您的实例的 DHCP 租约中很容易找到它的 IP 地址,但它始终是 VPC 子网网络号 + 2。(例如,如果 VPC 为 172.20.0.0/16,则 VPC DNS 服务器 IP 为 172.20.0.2)。您可以从 cron 中执行 dig @abcd whatever.com。
最后,几分钟后连接就断开似乎太短了。您可能能够在检查点端修改隧道寿命(因为检查点是启动隧道的那个,对吧?)
祝你好运!