Мне удалось настроить VPN-соединение типа "сеть-сеть" от Amazon VPC к сети компании, и после долгой настройки он работал нормально, но теперь я понял, что VPN-туннель ВЫКЛЮЧАЕТСЯ каждый раз, когда в течение пары минут не проходит трафик.
Единственный способ, который я нашел для генерации трафика, - это добраться до экземпляра Amazon из сети компании, а затем туннель снова поднимется.
У меня была задача cron, выполняющая пинг каждую минуту, но я думаю, что у нее должна быть опция поддержки активности где-то, или, по крайней мере, лог-файл туннелей чтобы узнать, что происходит.
Есть идеи сохранить туннель в рабочем состоянии и / или поднять его с Amazon?
Межсетевой экран - это Checkpoint R75.20, он разрешает только один туннель для одной и той же подсети, поэтому я не могу активировать оба туннеля.
Спасибо, любые вопросы просто задавайте.
ИЗМЕНИТЬ Я забыл добавить, ping keepalive работал отлично (возможно, генерировал небольшой трафик, но не о чем беспокоиться), соединение прервалось, потому что мне пришлось перезапустить экземпляр, и в это короткое время он меня сбросил.
Добавить монитор SLA
Используя sla-монитор, мы можем заставить ASA выполнять непрерывный эхо-запрос по туннелю, чтобы он всегда был в рабочем состоянии. Вот конфигурация, позволяющая пинговать IP-адрес через туннель каждые 5 секунд без ограничений.
sla monitor 1
type echo protocol ipIcmpEcho 10.1.2.2 interface OUTSIDE
frequency 5
exit
sla monitor schedule 1 life forever start-time now
Смысл этого лишь в том, чтобы поддерживать туннель в рабочем состоянии. Не имеет значения, успешны ли эхо-запросы.
Ссылка: http://www.tunnelsup.com/troubleshooting-vpn-between-cisco-asa-and-amazon-aws
Две идеи,
1) посмотрите, можно ли включить смену ключей на стороне КПП. Это может быть долгое и сложное расследование, которое действительно может не сработать.
2) Поскольку вы используете VPC, активна ли у вас функция «включить DNS»? По умолчанию он включен. Если да, то внутри VPC всегда есть IP-адрес - DNS-сервер VPC. Даже если все ваши экземпляры исчезнут, он все равно будет там. Его IP-адрес легко найти в аренде DHCP ваших экземпляров, но это всегда номер сети подсети VPC + 2 (например, если VPC - 172.20.0.0/16, IP-адрес DNS-сервера VPC - 172.20.0.2) . Вы можете сделать копание @ a.b.c.d независимо от вашего сайта cron.
Наконец, отключение соединения через пару минут кажется слишком коротким. Вы можете изменить время жизни туннеля на стороне контрольной точки (поскольку контрольная точка является той, которая запускает туннели, верно?)
Удачи!