要約:私のサイト間の接続が定期的に切れます。手動でリセットすると7.5時間続きます。最終的に自動でリセットされると、その持続時間はまちまちです。
みなさん、こんにちは。サイト間トンネルに問題があり、解決方法がわかりません。
私は自分のメインネットワークとサテライトオフィスを持っています。双方の間にトンネルを設定し、数時間ごとに切断されてしまいます。サテライト側の外部インターフェースは決してダウンしません。常にpingで確認可能です。
私のメイン側は、Panorama管理のPalo Alto(PA-3050 x2(HA))を使用しています。サテライト側はJuniper SRX 100を使用しています。
[Palto Alto] <> [トンネル] <> [Juniper]
これまでに試したのは:
- JuniperのMTUを1350に下げる
- Juniperを別のものに交換(工場出荷時リセット済み)
- Juniperで全ALG検査を無効化
- Palo Alto側の設定を削除して再作成
他にも何か忘れていることがあるかもしれません。
一番効果的だったのは最後の方法です。
Palo Alto側のトンネル設定を作成していなかったことに気づき、ライフタイム秒数が両側で異なることも発見しました。
これを8時間に設定しました。
ライフタイムの変更は効果があり、1時間おきに切断されるのではなく、約7時間30分持つようになりました。
また、トンネルが稼働してから交通を通すまでに約10分かかることにも気づきました。
例えば、トンネルをリセットしてIKEとIPsecが接続されていると表示されても、その後約10分経つまでpingが通らないのです。
どうやらトンネルは8時間のライフタイム前に死んでしまい、その後再接続されると両側の設定がズレてしまうか、遅かれ早かれズレてしまうようです。
あるいは、そもそも時間が関係していない可能性もあります。
以下にログと設定情報を載せます。
100.50.10.33は私たちの内側ネットワーク(Palo Alto)。
200.1.1.74はリモートネットワーク(Juniper)。
10.20.20.1は内部インターフェースで、連続pingを行っています。
実際のIPはこの投稿のために仮のものに置き換えました。
Palo Altoの設定:https://imgur.com/a/awPM9Ut
Juniperの設定:set version 10.4R4.5set system host-name RemoteOffice_FWset system time-zo - Pastebin.com
Palo Altoのログ:http://devante.org/pa_logs.html
Pingの結果(注意:11MBのテキストファイル):https://drive.google.com/open?id=1SimthgtZaV2eekD6iYWDKndw8dr-eI5s
pingの詳細結果:
04/27 23:34:30 稼働 7時間26分1秒
04/28 07:00:31 ダウン
04/28 07:10:27 稼働 7時間26分29秒
04/28 14:36:56 ダウン
04/28 22:23:21 稼働 7時間26分20秒
04/29 5:49:41 ダウン
04/29 8:08:26 稼働 7時間28分26秒
04/29 15:36:52 ダウン
04/29 16:15:53 稼働 7時間27分26秒
04/29 23:43:19 ダウン
04/29 23:53:19 稼働 7時間26分22秒
04/30 7:19:41 ダウン
04/30 8:09:42 稼働 7時間34分3秒
04/30 15:43:45 ダウン
追記: 問題の原因はJuniper側とPalo Alto側のキープアライブ時間の不一致でした。