Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 2519 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-2-Site VPN Verbindungen - sehr instabil

mordy
Hallo Gemeinde!

Ich habe drei Astaros im Einsatz um zwei externe Standorte zu verbinden. Diese Astaros machen nix anderes ausser der Site-to-Site-Verbindung.

Astaro 1, Hauptstandort - ASG 120 Ver. 7.405 (SDSL 2.000)
Astaro 2, Aussenstelle 1 - ASG 110 Ver. 7.405 (ADSL 16.000)
Astaro 3, Aussenstelle 2 - ASG 110 Ver. 7.405 (ADSL 16.000)

Folgende Tunnel sind konfiguriert:

Astaro 1 zu Astaro 2 mit 2 SA's:
SA:  10.68.66.0/24=xx.xx.xx.xx    xx.xx.xx.xx=10.0.64.0/23
VPN ID: xx.xx.xx.xx
IKE: Auth PSK / Enc AES_CBC_256 / Hash MD5 / Lifetime 7800s / DPD
IPSec: Enc AES_256 / Hash HMAC_MD5 / Lifetime 3600s / COMPRESSED

SA:  10.68.66.0/24=xx.xx.xx.xx    xx.xx.xx.xx=10.64.8.0/21
VPN ID: 93.208.14.204
IKE: Auth PSK / Enc AES_CBC_256 / Hash MD5 / Lifetime 7800s / DPD
IPSec: Enc AES_256 / Hash HMAC_MD5 / Lifetime 3600s / COMPRESSED

Astaro 1 zu Astaro 3 mit 1 SA:
SA:  10.68.80.0/24=xx.xx.xx.xx    xx.xx.xx.xx=10.64.8.0/21
VPN ID: xx.xx.xx.xx
IKE: Auth PSK / Enc AES_CBC_256 / Hash MD5 / Lifetime 7800s / DPD
IPSec: Enc AES_256 / Hash HMAC_MD5 / Lifetime 3600s / COMPRESSED

Die Verbindungen klappen zeitweilig sehr gut, dann brechen Sie jedoch wieder so ein, dass es Verbindungsabbrüche der eingesetzen Software auf den Clients gibt.

Ich meine Subjektiv, dass diese Probleme begonnen haben, seit der 2 Standort, also die Verbindung Astaro 1 zu 3 dazugekommen ist.

Wäre es denkbar, dass Astaro 1 mit der SDSL2000er Leitung bereits mit zwei VPN's überfordert ist?
Besteht die Möglichkeit, den VPN's eine feste Bandbreite zu verpassen, sodass eine Verbindung der anderen nicht die gesamte Bandbreite klauen kann?
Ist die Konfiguration so richtig, oder würdet ihr sagen, dass man das so nicht machen sollte?
In den Logs der VPN's habe ich leider nichts auffälliges finden können, aber falls das hilfreich sein könnte, kann ich sie auch nochmal Posten.

Viele Grüße

mordy


This thread was automatically locked due to age.
  • 0
    Also wenn Du keinen Fehler beim Eintippen Deines Problems gemacht hast, zeigen 2 Verbindungen ins selbe Remote-Subnet:
    Astaro 1 zu Astaro 2 mit 2 SA's:
    SA: 10.68.66.0/24=xx.xx.xx.xx xx.xx.xx.xx=10.64.8.0/21

    Astaro 1 zu Astaro 3 mit 1 SA:
    SA: 10.68.80.0/24=xx.xx.xx.xx xx.xx.xx.xx=10.64.8.0/21


    Dann muss es ja schief gehen [;)]
    Gruss, Karsten
  • 0
    Wäre es denkbar, dass Astaro 1 mit der SDSL2000er Leitung bereits mit zwei VPN's überfordert ist?

    Von der Bandbreite her sollte es kein Problem sein.
    Die Aussenstellen haben ja vermutlich 1MBit/s als Upload, also nutzt jeder Standort auch nur 50% der Leitungskapazität in Richtung Zentrale. Umgekehrt kann natürlich jede Aussenstelle die 2MBit/s der Zentrale ausreizen.

    Wie sieht denn die CPU-Auslastung in der Zentrale aus ?
  • 0 in reply to KKnecht
    Moin!

    Erstmal danke für die schnelle Antwort.
    Nein ich habe beim eintippen keinen Fehler gemacht, das ist so gewollt wie es dort steht, lokales LAN am Hauptstandort ist 10.64.8.0/21 und das wird jeweils in die zwei Außenstellen 10.68.80.0/24 und 10.68.66.0/24 geroutet.
    Zusätzlich gibt es für den einen Standort eine zusätzliche Route in das 10.0.64.0er Netz.

    Also was die CPU-Auslastung angeht ist alles im grünen Bereich. Liegt bei etwa 10 - 15 % am Hauptstandort. In den Außenstandorten ist es auch so in dem dreh, wobei an dem neuen Standort sogar schon eine der neuen ASG110 steht, die ja von Hause aus schon mehr RAM und schnellere Hardware haben.

    Ich habe auch mal den Astaro-Support kontaktiert, aber bisher keine Lösung, dort meinte man, dass die Konfiguration in Ordnung sei, und das ich bitte prüfen sollte, ob der IM/P2P-Filter etwas blockt, dieser ist jedoch ausgeschaltet.

    Viele Grüße

    mordy
  • 0
    lokales LAN am Hauptstandort ist 10.64.8.0/21

    Verflixt, ich hatte mich verguckt. Ich dachte der erste Teil wäre das lokale LAN, und hinten steht das remote LAN...
    Sorry !! [:(]

    Nur, damit ich es richtig verstanden habe:
    Die Tunnel sind und bleiben aktiv und haben selbst keinen Abbruch.
    Die Client-Software macht Probleme und hängt sich auf. -> Ist das Ding sehr datenintensiv ? Citrix ? Kann man vielleicht an Timeouts was drehen ??

    Grüsse, Karsten
  • 0 in reply to KKnecht
    Die Tunnel sind und bleiben aktiv und haben selbst keinen Abbruch.


    Ja, der Tunnel bleibt aktiv, aber man kann den Client zu dem Zeitpunkt wo die Verbindung einbricht auch nicht mehr anpingen.

    Die Client-Software macht Probleme und hängt sich auf. -> Ist das Ding sehr datenintensiv ? Citrix ? Kann man vielleicht an Timeouts was drehen ??


    Das ist eine Mischung aus Citrix und einem DMS, welches doch recht Datenintensiv ist, aber immer nur kurzzeitig, also sprich bei der Übertragung der Daten des DMS. Man kann die während der Übtragung auch deutlich sehen das die Ping-Zeiten hochgehen, aber das führt normalerweise nicht zu einem Verbindungsabbruch, bzw. Zeitüberschreitungen.

    Gruß

    mordy
Unfiltered HTML