DHCP sobre VPN entre o SonicWALL NSA-2400 e o NSA-240 perde conectividade a cada noite

2

No meu escritório central, tenho um dispositivo SonicWALL NSA-2400 atuando como o hub para vários escritórios remotos. Está configurado para passar solicitações DHCP para o meu servidor DHCP interno. A conexão VPN funciona bem, os endereços IP são distribuídos para escritórios remotos como deveriam e estou muito satisfeito com os resultados - com exceção de um escritório remoto.

Última sexta-feira eu instalei o irmão mais novo da NSA-2400, o NSA-240 em um escritório remoto. Os dois firewalls reportam conectividade sólida e sólida e todos os aspectos da conectividade de rede através do túnel estão funcionando bem. Meu problema é que até agora, todas as manhãs, o escritório remoto liga e me diz que não tem acesso à rede. Em cada caso, eles perderam seus endereços IP fornecidos pelo servidor DHCP do escritório corporativo e receberam endereços 169.xxx "inúteis".

Reiniciar o firewall e renovar a concessão do DHCP corrige o problema imediatamente. Renovar a concessão do DHCP sem primeiro reiniciar o firewall falhará.

O Keep Alive está ativado em ambos os firewalls.

Claramente após alguma quantidade de inatividade, os endereços IP estão expirando. Alguém pode lançar alguma luz sobre isso para mim?

EDITAR MAIS INFORMAÇÕES : Neste ponto, determinei que os endereços IP no site remoto falham após 8 horas de funcionamento. Os logs indicam falhas de pacotes ARP por volta dessa época. Para reiterar, mesmo após a marca de 8 horas, o túnel é estável em ambos os firewalls, apenas os endereços IP atribuídos por DHCP são perdidos. Eu reiniciei o firewall remoto esta manhã às 7:45 e pedi que eles reparassem suas conexões, então eu vou receber outra ligação deles às 4:45, dizendo que a internet deles está inoperante.

    
por Kyle Noland 27.05.2009 / 16:23

4 respostas

1

Obrigado a todos que forneceram a solução de problemas. Aqui estava a solução para o meu problema:

O firewall do escritório remoto foi configurado com configurações conflitantes. Por um lado, deveria adquirir e distribuir endereços IP do meu servidor DHCP corporativo através do firewall. Por outro lado, foi configurado para fornecer endereços IP locais em caso de falha no túnel.

Após mais investigação, concluí que os clientes remotos perderam seus endereços IP precisamente 8 horas após a última vez que reiniciei o firewall. 8 horas é 28.800 segundos ou a duração padrão de um túnel IPSec.

Basicamente, a cada 8 horas, os dois firewalls renegociariam sua criptografia. Essa renegociação levaria mais de dois segundos, e o firewall remoto pensaria que o túnel estava quebrado e tentaria distribuir um endereço IP local para seus clientes. A negociação do túnel seria bem sucedida alguns segundos depois, o túnel seria strong em ambas as extremidades, mas os clientes remotos teriam endereços IP inválidos.

    
por 09.06.2009 / 18:12
2

Os endereços APIPA 169.X.Y.Z só apareceriam como resultado da falta de conectividade entre seus computadores e o servidor DHCP.

Uma solução rápida (mas não sem problemas) pode ser simplesmente configurar endereços estáticos enquanto você diagnostica o problema.

Para diagnosticar, eu pegaria um dos computadores com o problema e renovaria o endereço IP enquanto monitorava o log do firewall. Ou simplesmente verifique o log do firewall quando os usuários chegarem ou quando os sistemas renovarem sua concessão do DHCP.

    
por 27.05.2009 / 18:01
1

Embora eu não saiba por que seu problema começou a ocorrer, sugiro que você divida seu DHCP fazendo com que os dispositivos remotos lidem com um segmento designado do escopo geral do DHCP. Isso também forneceria algum backup no caso de problemas de conectividade entre sites, pelo menos no que tange a manter as redes remotas em funcionamento.

    
por 27.05.2009 / 16:34
0

No site de suporte da Sonicwall, há um documento site_to_site_vpn_troubleshooting_on_sonicwall_security_appliances.pdf

Fornece etapas para solucionar esse tipo de cenário.

    
por 06.06.2009 / 14:45