O túnel VPN da AWS fica sem tráfego

Question

O túnel VPN da AWS fica sem tráfego

#1 resposta do (1 votos)
#2 resposta do (0 votos)

1

Consegui configurar uma conexão VPN site a site do Amazon VPC para a rede da empresa e, depois de muita configuração, ela estava funcionando bem, mas agora percebi que o O túnel da VPN é ABAIXO toda vez que não há tráfego durante alguns minutos .

A única maneira que encontrei para gerar tráfego é alcançar a instância amazon da rede da empresa e, em seguida, o túnel sobe novamente.

Eu tinha um cronjob fazendo ping a cada minuto, mas acho que deveria ter uma opção keepalive em algum lugar, ou pelo menos um arquivo de log dos túneis para descobrir o que está acontecendo.

Alguma idéia para manter o tunelamento e / ou trazê-lo da amazon?

O firewall é um Ponto de Verificação R75.20, ele só permite um túnel de cada vez para a mesma sub-rede, então eu não posso ter ambos os túneis ativos.

Obrigado, qualquer dúvida é só pedir.

EDIT Eu esqueci de adicionar, o ping keepalive estava funcionando muito bem (talvez gerando um pouco de tráfego, mas nada para se preocupar), a conexão caiu porque eu tive que reiniciar a instância, e isso pouco tempo me deixou.

vpn tunnel amazon-web-services static-routes site-to-site-vpn

por Asfura 14.11.2013 / 00:40

2 respostas

Tags vpn tunnel amazon-web-services static-routes site-to-site-vpn

Pesquisando em um arquivo compactado (.gz) usando java A senha do usuário remoto do Windows não será atualizada

score 1 · Answer 1

Adicione um monitor de SLA

Usando o monitor sla, podemos fazer o ASA fazer um ping contínuo pelo túnel para mantê-lo sempre ativo. Aqui está uma configuração para enviar um IP por todo o túnel a cada 5 segundos, para sempre.

sla monitor 1
    type echo protocol ipIcmpEcho 10.1.2.2 interface OUTSIDE
    frequency 5
exit

sla monitor schedule 1 life forever start-time now

O objetivo disso é apenas manter o túnel. Não importa se os pings são realmente bem sucedidos.

Ref: link

score 0 · Answer 2

Duas ideias,

1) veja se você pode habilitar o rekeying no lado do checkpoint. Essa pode ser uma investigação longa e complicada que realmente pode não funcionar.

2) Como você está usando o VPC, o recurso "Ativar DNS" está ativo? Está ativado por padrão. Se assim for, há um endereço IP que está sempre dentro do VPC - o servidor DNS VPC. Mesmo se todas as suas instâncias se forem, ainda estará lá. Seu endereço IP é fácil de encontrar a partir das concessões DHCP de suas instâncias, mas é sempre o número da rede de sub-redes VPC + 2. (Por exemplo, se o VPC for 172.20.0.0/16, o IP do servidor DNS VPC será 172.20.0.2) . Você pode fazer uma dig @ a.b.c.d whatever.com do seu cron.

Por fim, ter a conexão diminuída depois de alguns minutos parece muito curto. Você pode modificar o tempo de vida do túnel no lado do ponto de verificação (já que o ponto de verificação é o que está iniciando os túneis, certo?)

Boa sorte!