Всем привет, надеюсь, вы сможете помочь мне с проблемой, с которой я недавно столкнулся.
У нас есть клиент с Sonicwall TZ215, который использует Global VPN для удаленного доступа к сети, чтобы они могли подключаться к рабочим станциям через RDP. Однако у нас возникают проблемы с периодической потерей пакетов по VPN-соединению. Хотя это так регулярно, что кажется странным. Соединение никогда не прерывается, и ни одна из сторон не регистрирует проблем, но пинги и другие коммуникации становятся недоступны примерно на 10 секунд. Оно происходит очень регулярно, на моей тестовой машине это происходит каждые 10 минут точно. Однако у некоторых клиентов оно срабатывает каждые 2 минуты.
Пинги к WAN-интерфейсу Sonicwall в то же время идут нормально с того же устройства. Других сетевых проблем в обоих местах, кроме VPN, нет. Есть идеи?
Какую прошивку вы используете на TZ215?
Я бы начал с захвата пакетов на TZ215 и на ПК с помощью Wireshark (выберите VPN NIC, а не локальный NIC). Захватите, когда возникают эти проблемы, затем экспортируйте захват TZ215 как .pcap и сравните их в Wireshark. Обязательно настройте фильтр на TZ215, иначе буфер быстро заполнится. Это даст хорошую отправную точку.
Еще одно, с чем я сталкивался — отключения RDP при использовании VPN. Я месяцами бился головой об стену, пока не выяснил, что локальная политика на сервере, к которому подключаются, слишком низкий тайм-аут сеансов терминальных служб.
У меня тоже были похожие проблемы. Я запустил непрерывный пинг к серверу через VPN, он отвечал каждый раз. Остановил пинг, через 3 секунды начал снова, и все запросы провалились. Удачи в поиске причины. В логах я ничего не видел, и в итоге сделал VPN site-to-site, чтобы решить проблему. Обычно это не подходит для ситуации, когда используется глобальный VPN-клиент, но в моем случае сработало. Следите за тем, что вы узнаете.
Прошивка SonicOS Enhanced 5.9.0.7-17o
Я пытался настроить Wireshark в тестовой среде, но он не видел интерфейс клиента GlobalVPN. Я следовал инструкциям ниже, но безуспешно. Вики Wireshark сообщает о проблемах с этим и клиентом Global VPN:
https://support.software.dell.com/kb/sw12737
Обновление: все получилось после переустановки Wireshark. Посмотрим, что из этого получится.
Интересный результат: разрыв соединения начинается с DHCP-ACK одновременно. Время аренды DHCP гораздо больше 10 минут, на самом деле — несколько дней.
Вы нашли хороший гайд по site-to-site? Нашел несколько, но хотел бы услышать мнение человека, который делал это с TZ215.
Спасибо!
Предполагаю, что подсети разные на обеих сторонах (без конфликтующих DHCP-серверов)? Я с этим не сталкивался, лучше гугл, пока никто не ответит :"
Это был доктор, которому нужны были надежные доступы к офису из нескольких штатов. Я выбрал для него маршрутизатор VPN в Micro Center, он его забрал, а я настроил стандартный IPsec site-to-site VPN удаленно. Если вы впервые настраиваете site-to-site VPN, это довольно просто — главное, чтобы настройки совпадали на обеих сторонах. Только будьте осторожны при использовании двух разных производителей на концах, потому что они любят по-разному называть одни и те же вещи. Например, один говорит об группах Diffie-Hellman, а другой — только о PFS.
Настройки SonicWall тоже очень просты — есть мастер-руководство для настройки site-to-site VPN. Чем лучше шифрование, тем больше нагрузка на VPN, но комбинация SHA1 и AES — хорошее сочетание.
Спасибо, да, каждый сайт будет подключаться к главному, где хранятся данные. Мне нравится, что у них есть собственный DHCP и возможность работать независимо, если что-то случится. Ищу что-то быстрое и надежное. Меньше 5 пользователей на спутниковых офисах, около 25 — в основном офисе, еще десять — удаленные соединения из дома.
Запомните, что удаленные сайты независимы по DHCP, но если они в домене, то первичным DNS должно быть контроллер домена. Можно добавить вторичный DNS — например, Google, чтобы интернет работал при сбое VPN, а первичный DNS всё равно должен быть контроллером.
Да, они в своем домене. Наверное, есть некоторые детали, которые я должен уточнить, но единственное централизованное в основном офисе — это общий сетевой диск через VPN. Я хочу сделать всё правильно и очень ценю ваши советы, брат.