В моей сети два шлюза, один - это ящик pfSense, который все используют. Другой - брандмауэр TP-Link, предназначенный, по сути, для тестов.
Некоторым машинам в моей сети требуется доступ к VPN через клиент Cisco VPN. Если одна из этих машин использует блок pfSense в качестве шлюза, я испытываю случайные разрывы подключения к VPN. Если я использую шлюз TP-Link, этого не произойдет.
Я попытался изменить MTU в поле pfSense, и это немного улучшило ситуацию, но на самом деле не решило проблему. Я также следовал рекомендациям по формированию трафика в pfSense, и соединения по-прежнему обрываются довольно часто.
Идеи?
Для всех, кто может отслеживать эту же проблему. Я использую openconnect (версия AnyConnect с открытым исходным кодом) для подключения к сети, и время ожидания соединения истекает довольно быстро. При использовании маршрутизатора dd-wrt он останется подключенным.
Корень проблемы в том, что брандмауэр с отслеживанием состояния довольно быстро прерывает бездействующее VPN-соединение на основе UDP. Если вы используете Консервативный настройка оптимизации брандмауэра, она должна помочь вам оставаться на связи. Параметр «пытается избежать разрыва любых законных незанятых соединений за счет увеличения использования памяти и загрузки ЦП».
Измените параметр оптимизации брандмауэра (из pfSense 2.1.4)
Вы также можете поддерживать соединение, используя что-то, что имеет постоянное соединение, которое имеет какой-то механизм поддержки активности, или просто пингует сервер на другом конце VPN-соединения, чтобы поддерживать его в рабочем состоянии.