哪些设置会告诉硬件防火墙尝试重新建立站点到站点 VPN尽快地故障原因已得到纠正之后?
我们有一个站点到站点 VPN(防火墙到防火墙),我的应用程序依赖它。多年来,每当 VPN 因断电等原因而出现故障时,它都会在电力恢复后一两分钟内恢复,而无需我采取任何措施。两边的防火墙都会设法让握手再次进行。
我们安装了新的防火墙,新的 IT 顾问正在支持我们的网络基础设施。如今,无论是电气故障还是其他故障,VPN 在问题修复后(例如恢复供电后,或 ISP 修复了影响 IP 地址的问题后)都不会恢复。
两个防火墙中,其中一个的设置已发生某种改变,而另一个防火墙的设置未发生改变。
我想告诉 IT 顾问确保 ____ 设置正确,以便防火墙尽快恢复正常运行。
答案1
一旦发起任何流量,VPN 就应该协商并启动。如果您希望它启动并一直保持启动状态,您可以设置一个 keepalive 来定期发送流量,但这实际上没有必要。这实际上取决于应用程序。单个站点到站点可能希望它一直处于启动状态(当流量与其匹配时可以节省一点时间),但如果您有一个带有大量 VPN 的中央集线器,您可能希望它们在超时时断开连接以节省资源。
答案2
人openvpn:
--keepalive n m A helper directive designed to simplify the expression of --ping and --ping-restart in server mode configurations. The server timeout is set twice the value of the second argu‐ ment. This ensures that a timeout is detected on client side before the server side drops the connection. For example, --keepalive 10 60 expands as follows: if mode server: ping 10 ping-restart 120 push "ping 10" push "ping-restart 60" else ping 10 ping-restart 60