我们的 SonicWall NSA 2400 防火墙出现了问题。我们有一个通过 IPSec 设置的辅助网关,以防主 ISP 发生故障(不幸的是,这种情况很常见)。辅助网关是通过 Verizon 的 4G 连接,费用会随着数据使用量的增加而增加。
防火墙正确切换到辅助网关,但随后有时当主服务器恢复时,不会重新协商并切换回主服务器。在两边都点击“重新协商”似乎可以解决这个问题,但我想知道我是否遗漏了什么,这可能会导致它停留在辅助服务器上。
我认为这与设置无关,因为它似乎有 50% 的时间有效,但无论如何,它们都在这里,以防有人有一些关于如何确保在连接恢复时切换回主连接的提示。
策略类型:站点到站点
身份验证方法:使用预共享密钥的 IKE
IKE 第 1 阶段提案:
Exchange:主模式
DH 组:第 1 组
加密:AES-256
认证:SHA1
寿命:3600(秒)
第二阶段提案:
协议:ESP
加密:AES-256
认证:SHA1
寿命:900(秒)
启用“保持活动”功能,并以 120 秒的间隔启用“抢占辅助网关”功能。
答案1
要检查三件事:
- 即使在远程对等体上,抢占到辅助网关选项也必须处于活动状态
- 在启用 4G 的防火墙上,编辑您的 WWAN 连接配置文件并将其设置为“持久连接”或“数据拨号”
- 在负载平衡页面中,编辑 LB 组并检查您的 WWAN 连接是否被选为“最终备份接口”
答案2
您可以通过选中“抢占辅助网关”框并指定故障回复尝试所需的间隔,让您的 VPN 故障回复至主网关。
