哪些设置会导致站点到站点 VPN 失败(例如由于断电)并尝试尽快恢复

tag-icon tag-icon firewall site-to-site-vpn
哪些设置会导致站点到站点 VPN 失败(例如由于断电)并尝试尽快恢复

哪些设置会告诉硬件防火墙尝试重新建立站点到站点 VPN尽快地故障原因已得到纠正之后?

我们有一个站点到站点 VPN(防火墙到防火墙),我的应用程序依赖它。多年来,每当 VPN 因断电等原因而出现故障时,它都会在电力恢复后一两分钟内恢复,而无需我采取任何措施。两边的防火墙都会设法让握手再次进行。

我们安装了新的防火墙,新的 IT 顾问正在支持我们的网络基础设施。如今,无论是电气故障还是其他故障,VPN 在问题修复后(例如恢复供电后,或 ISP 修复了影响 IP 地址的问题后)都不会恢复。

两个防火墙中,其中一个的设置已发生某种改变,而另一个防火墙的设置未发生改变。

我想告诉 IT 顾问确保 ____ 设置正确,以便防火墙尽快恢复正常运行。

答案1

一旦发起任何流量,VPN 就应该协商并启动。如果您希望它启动并一直保持启动状态,您可以设置一个 keepalive 来定期发送流量,但这实际上没有必要。这实际上取决于应用程序。单个站点到站点可能希望它一直处于启动状态(当流量与其匹配时可以节省一点时间),但如果您有一个带有大量 VPN 的中央集线器,您可能希望它们在超时时断开连接以节省资源。

答案2

人openvpn:

   --keepalive n m
          A helper directive designed to simplify the expression of --ping
          and --ping-restart in server mode configurations.

          The server timeout is set twice the value of  the  second  argu‐
          ment.   This  ensures  that a timeout is detected on client side
          before the server side drops the connection.

          For example, --keepalive 10 60 expands as follows:

               if mode server:
                 ping 10
                 ping-restart 120
                 push "ping 10"
                 push "ping-restart 60"
               else
                 ping 10
                 ping-restart 60

相关内容