Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-2-Site VPN Verbindungen - sehr instabil

Hallo Gemeinde!

Ich habe drei Astaros im Einsatz um zwei externe Standorte zu verbinden. Diese Astaros machen nix anderes ausser der Site-to-Site-Verbindung.

Astaro 1, Hauptstandort - ASG 120 Ver. 7.405 (SDSL 2.000)
Astaro 2, Aussenstelle 1 - ASG 110 Ver. 7.405 (ADSL 16.000)
Astaro 3, Aussenstelle 2 - ASG 110 Ver. 7.405 (ADSL 16.000)

Folgende Tunnel sind konfiguriert:

Astaro 1 zu Astaro 2 mit 2 SA's:
SA:  10.68.66.0/24=xx.xx.xx.xx    xx.xx.xx.xx=10.0.64.0/23
VPN ID: xx.xx.xx.xx
IKE: Auth PSK / Enc AES_CBC_256 / Hash MD5 / Lifetime 7800s / DPD
IPSec: Enc AES_256 / Hash HMAC_MD5 / Lifetime 3600s / COMPRESSED

SA:  10.68.66.0/24=xx.xx.xx.xx    xx.xx.xx.xx=10.64.8.0/21
VPN ID: 93.208.14.204
IKE: Auth PSK / Enc AES_CBC_256 / Hash MD5 / Lifetime 7800s / DPD
IPSec: Enc AES_256 / Hash HMAC_MD5 / Lifetime 3600s / COMPRESSED

Astaro 1 zu Astaro 3 mit 1 SA:
SA:  10.68.80.0/24=xx.xx.xx.xx    xx.xx.xx.xx=10.64.8.0/21
VPN ID: xx.xx.xx.xx
IKE: Auth PSK / Enc AES_CBC_256 / Hash MD5 / Lifetime 7800s / DPD
IPSec: Enc AES_256 / Hash HMAC_MD5 / Lifetime 3600s / COMPRESSED

Die Verbindungen klappen zeitweilig sehr gut, dann brechen Sie jedoch wieder so ein, dass es Verbindungsabbrüche der eingesetzen Software auf den Clients gibt.

Ich meine Subjektiv, dass diese Probleme begonnen haben, seit der 2 Standort, also die Verbindung Astaro 1 zu 3 dazugekommen ist.

Wäre es denkbar, dass Astaro 1 mit der SDSL2000er Leitung bereits mit zwei VPN's überfordert ist?
Besteht die Möglichkeit, den VPN's eine feste Bandbreite zu verpassen, sodass eine Verbindung der anderen nicht die gesamte Bandbreite klauen kann?
Ist die Konfiguration so richtig, oder würdet ihr sagen, dass man das so nicht machen sollte?
In den Logs der VPN's habe ich leider nichts auffälliges finden können, aber falls das hilfreich sein könnte, kann ich sie auch nochmal Posten.

Viele Grüße

mordy


This thread was automatically locked due to age.
Parents
  • lokales LAN am Hauptstandort ist 10.64.8.0/21

    Verflixt, ich hatte mich verguckt. Ich dachte der erste Teil wäre das lokale LAN, und hinten steht das remote LAN...
    Sorry !! [:(]

    Nur, damit ich es richtig verstanden habe:
    Die Tunnel sind und bleiben aktiv und haben selbst keinen Abbruch.
    Die Client-Software macht Probleme und hängt sich auf. -> Ist das Ding sehr datenintensiv ? Citrix ? Kann man vielleicht an Timeouts was drehen ??

    Grüsse, Karsten
Reply
  • lokales LAN am Hauptstandort ist 10.64.8.0/21

    Verflixt, ich hatte mich verguckt. Ich dachte der erste Teil wäre das lokale LAN, und hinten steht das remote LAN...
    Sorry !! [:(]

    Nur, damit ich es richtig verstanden habe:
    Die Tunnel sind und bleiben aktiv und haben selbst keinen Abbruch.
    Die Client-Software macht Probleme und hängt sich auf. -> Ist das Ding sehr datenintensiv ? Citrix ? Kann man vielleicht an Timeouts was drehen ??

    Grüsse, Karsten
Children
  • Die Tunnel sind und bleiben aktiv und haben selbst keinen Abbruch.


    Ja, der Tunnel bleibt aktiv, aber man kann den Client zu dem Zeitpunkt wo die Verbindung einbricht auch nicht mehr anpingen.

    Die Client-Software macht Probleme und hängt sich auf. -> Ist das Ding sehr datenintensiv ? Citrix ? Kann man vielleicht an Timeouts was drehen ??


    Das ist eine Mischung aus Citrix und einem DMS, welches doch recht Datenintensiv ist, aber immer nur kurzzeitig, also sprich bei der Übertragung der Daten des DMS. Man kann die während der Übtragung auch deutlich sehen das die Ping-Zeiten hochgehen, aber das führt normalerweise nicht zu einem Verbindungsabbruch, bzw. Zeitüberschreitungen.

    Gruß

    mordy