Hei alle,
Jeg har problemer med flere VPN-tilkoblinger mellom Sophos UTM (og XGS) og AWS.
Alle tilkoblinger er festet til en transit-gateway.
På den ene siden av en VPN kjører det et SAP-system.
Brukere rapporterer at tilkoblingen deres blir terminert (SAP) etter 10-15 minutter med inaktivitet. Jeg har allerede prøvd å pinge SAP parallelt, og den kjører uten tidsavbrudd.
Først trodde jeg det var en SAP-innstilling, men jeg fikk beskjed om at annen programvare med en MSSQL-server har akkurat samme problem.
DPD er satt til å restarte (clear hadde samme effekt)
På Sophos-siden bruker jeg aws VPN-veiviseren.
Ingen NAT på klient-siden.
Noen ideer?
Det som får meg til å tenke at det er et klientproblem: De fleste klienter (rundt 98 %) kjører Win10 Pro.
Alle Win10-klienter har dette problemet.
Noen klienter har oppdatert til Win 11 (mer ved et uhell…). Alle klienter som kjører Win11 rapporterer at de ikke har dette problemet! (så vidt jeg har fått svar ennå!)
Tunnelen går ikke ned. Bare økten blir drept. Det er for eksempel 50 brukere som kjører SAP. Én er ikke i gang i 15 minutter. Han blir kastet ut, mens de andre (samme tunnel) fortsatt er koblet til.
Jeg lurer på om du opplever IKE inaktivitetstimeout. Hvis det ikke er trafikk, kan forbindelsen bli brutt.
Hvis du ikke konfigurerer IKE-initiering fra AWS-siden for VPN-tunnelen din, og VPN-tilkoblingen opplever en periode med inaktivitet (vanligvis 10 sekunder, avhengig av konfigurasjonen din), kan tunnelen gå ned. For å forhindre dette kan du bruke et nettverksmonitoreringsverktøy for å generere keepalive-ping.
Bruk i utgangspunktet et par servere på lokal siden som konstant pinger tunnelen hver få sekunder.
Alternativt kan du endre oppstartsaksjonen til å starte? Denne innstillingen er versjons- og implementasjonsavhengig.