none
site to site zyxel ras, drop connessione dopo 100MB? RRS feed

  • Domanda

  • Ciao a tutti,

    sto tunnel RRAS <-> zyxel è più problematico di quanto pensassi.

    ho appena finito con i tecnici di zyxel che mi dicono che il firewall è configurato a dovere per il site to site verso l'ip della mia VM windows server con RRAS. il tunnel è stabile e la velocità è ok (10MB/s U/D). mi dicono di controllare la parte windows.

    la cosa strana è che la connessione cade ogni 100MB di transfer da/verso il sito.

    qualche idea? :)

    martedì 21 maggio 2019 12:29

Tutte le risposte

  • il problema sembra riguardare il rekey della phase 2 di ipsec c'è il limite di tempo ma c'è anche quello di dati.

    su zyxel (almeno nell'interfaccia web) non c'è, su windows server posso modificare il limite di dati del rekey?

    mercoledì 22 maggio 2019 08:53
  • Ciao a tutti,

    sto tunnel RRAS <-> zyxel è più problematico di quanto pensassi.

    ho appena finito con i tecnici di zyxel che mi dicono che il firewall è configurato a dovere per il site to site verso l'ip della mia VM windows server con RRAS. il tunnel è stabile e la velocità è ok (10MB/s U/D). mi dicono di controllare la parte windows.

    la cosa strana è che la connessione cade ogni 100MB di transfer da/verso il sito.

    qualche idea? :)

    io ti avevo detto "comprati un apparato" ma ti sei voluto intestardire perchè qualcuno ti ha detto "il RAS funziona bene" ed ora ti trovi comunque ad avere dei problemi..quindi ti rinnovo il consiglio "comprati un bell'apparato che faccia ipsec di una qualsiasi marca, magari Zyxel anche lui e fatti una VPN site to site" così in 5 minuti metti in piedi il tunnel e smetti di perdere tempo prezioso sul RRAS...vedi tu..

    A.

    mercoledì 22 maggio 2019 08:59
    Moderatore
  • :) Ciao alessandro :)

    alla fine pare sia un problema a livello più basso. il cap data di ipsec. su cisco so che si può modificare ma su zyxel manca l'opzione... ma su windows server come si fa? sto trovando qualcosa in giro, sempre abbastanza laborioso :)

    comunque non posso mettere un apparato tra locale -> zyxel <- internet -> VM su Vultr
    mercoledì 22 maggio 2019 09:05
  • ah la macchina ce l'hai in datacenter...in quel caso mi avvalgo sempre dei loro tunnel anche se costano un po. Troppo sbattimento le interazioni. Su Azure ad esempio uso i VPN Gateway e sono una bomba per i site to site. In alcuni casi ho usato delle VM Watchguard che è come metterci un firewall hardware, ma è costosetta come soluzione.

    Non ho mai modificato il "limite dati" su Windows Server, soprattutto perchè ho imparato ora che esiste un "limite dati" il che mi sembra molto strano visto che su tutte le VPN che ho usato in passato (client to site) col RRAS a monte non ha mai dato questa anomalia..non credo che sulle site to site esista...mi sembra una cosa con poco senso....100MB non sono nulla..ed uno non dovrebbe preoccuparsi di modificare delle regkey in fase di instaurazione del tunnel...

    resto perplesso..

    vedrai comunque che come nel film "e alla fine arriva Polly" arriverà qualcuno a tirarti fuori la più recondita regkey esistente piuttosto di confutare la mia tesi che "col RRAS non funziona". :-) 

    Nel mentre se vuoi provare a chidere se hanno un servizio loro di VPN diretta per me è meglio...tutti i datacenter seri ce l'hanno..penso usino open VPN al massimo metti su un tunnel tra 2 openvpn..quello funziona senza problemi.

    ciao!

    A.

    mercoledì 22 maggio 2019 09:33
    Moderatore
  • ho trovato dov'è in windows server, firewall with advanced security -> proprieties -> ipsec settings -> customize ipsec default -> data protection -> life time / data

    e il cap ora è aumentato e il tunnel non si chiude (o almeno non si chiude fino a quando non arriva all'altro cap che ho messo... ora a 200 per prova).

    ma devo dire che nemmeno io l'ho mai notato il cap dei dati, ma anche cisco ha il cap da inserire oltre il lifetime...

    sì Azure avevo dato un occhio però sai, da smanettone devo provare, questo è un progetto dai tempi lunghi quindi mi tolgo qualche dubbio :)

    mercoledì 22 maggio 2019 09:40
  • più che altro non dovrebbe esserci un cap limit sui dati su un tunnel, è come una rete locale. 
    mercoledì 22 maggio 2019 09:51
    Moderatore
  • magari son newbbo io, ma nella configurazione del tunnel ti trovi di default questo:

    ed il cap dati è obbligatorio. se aumenti quello (e sul firewall hardware non fai niente) fa fede il cap di RRAS.

    che comunque è impostabile a 2147483647KB che per una sessione da 480 min media non è poca roba.

    mercoledì 22 maggio 2019 09:58
  • No no, non sto dicendo che sei newbbo. Sto dicendo che su un tunnel permanente sempre aperto avere un limite di traffico è una cosa senza senso considerato che il 99% delle volte è fatto da due connessioni a forfait.

    Su Zyxel infatti non c'è..su nessun apparato c'è in default. Qui invece sembra attivo DI default.

    Non capisco l'impostazione. Ma è anche vero che non uso il RRAS :-)

    ciao.

    A.

    mercoledì 22 maggio 2019 14:58
    Moderatore