SonicWALL NSA-2400和NSA-240之间的VPN over VPN每晚都会失去连接

在我的中心办公室,我有一台SonicWALL NSA-2400设备作为几个远程办公室的中心。 它被configuration为将DHCP请求传递给我的内部DHCP服务器。 VPN连接工作正常,IP地址分配给远程办公室,我对结果非常满意 – 除了一个远程办公室。

上周五,我在远程办公室安装了NSA-2400的小兄弟,NSA-240。 两个防火墙都始终能够坚如磐石地连接在一起,通过隧道进行networking连接的各个方面都运行良好。 我的问题是,到目前为止,远程办公室每天早上都会打电话告诉我他们没有任何networking接入。 在每种情况下,他们都丢失了由我的公司办公室DHCP服务器发出的IP地址,并被给予“垃圾”169.xxx地址。

重新启动防火墙并更新DHCP租约可以立即解决问题。 在不首先重新启动防火墙的情况下更新DHCP租约将失败。

Keep Alive在两个防火墙上都启用。

很明显,经过一段时间的不活动后,IP地址即将过期。 有没有人可以为我说明这一点?

编辑更多信息 :在这一点上,我已经确定,远程站点的IP地址在8小时的正常运行时间后失败。 这些日志显示了这个时候的ARP包故障。 重申一下,即使在8小时之后,隧道在两个防火墙上都是稳定的,只有DHCP分配的IP地址丢失。 我今天早上七点四十五分重新启动了远程防火墙,让他们修复了连接,所以我会在四点四十五再接到他们的电话,告诉我他们的networking已经closures了。

169.XYZ APIPA地址只会出现在您的计算机和DHCP服务器之间缺乏连接。

快速的解决方法(但不是没有问题)可能是在诊断问题时简单地configuration静态地址。

为了诊断,我会抓住一个有问题的计算机,并在监视防火墙日志的同时更新IP地址。 或者只需检查用户到达时的防火墙日志,或者系统更新其DHCP租用时。

虽然我不知道为什么你的问题开始发生,但我build议通过让远程设备处理整个DHCP范围的指定段来分割你的DHCP。 这也可以在站点之间发生连接问题时提供一些备份,至less就远程networking的运行而言。

感谢所有提供疑难解答的人。 这是我的问题的解决scheme:

远程办公室防火墙configuration了冲突的设置。 一方面,它应该通过防火墙从我的企业DHCP服务器获取和分配IP地址。 另一方面,它被configuration为在隧道出现故障的情况下提供本地IP地址。

经过更多的调查,我断定远程客户端在上次重启防火墙后的8个小时内就丢失了IP地址。 8小时为28,800秒,即IPSec隧道的缺省生存时间。

基本上每隔8个小时,两个防火墙就会重新协商encryption。 这种重新协商需要2秒多的时间,远程防火墙会认为隧道已经坏了,试图把一个本地IP地址发给客户端。 隧道协商会在几秒钟后成功,隧道两端都会强壮,但是远程客户端的IP地址是无效的。

在Sonicwall支持网站上有一个文档site_to_site_vpn_troubleshooting_on_sonicwall_security_appliances.pdf

提供了解决这种情况的步骤。