相關文章
網路工程師無腦方式查修有線和無線區域網路方式,VPN 最好 ping 5個點
會斷線原因太多了
VPN 不是只有查單邊
兩端都要查
LAN to LAN
Site to Site
第一個優先原因兩端點之間斷線了
不管是實體斷線
頻寬滿載斷線
被中華電信資安艦隊斷線
被IDP設備切斷
被平行接的設備搶走頻寬,例如DVR/NVR/iOT
通通都算
重點是在怎麼監測
怎麼得知
怎麼改善
剛剛相關的文章已經有說明偵測方法了
還可以讓他更自動一點
停用來自網際網路的PING運作
系統維護
管理
打開遠端Ping功能
WAN IP 可以 Ping
可以限制 VPN IP 可以 管理 和 Ping 比較嚴謹
WAN Port 偵測
改為 Ping 遠端IP
這樣當Ping不到VPN 另一端 IP 就知道斷線,也會在 syslog 留下紀錄
syslog 怎麼做
相關文章
1.Vigor USB syslog 設定方法 下載 download
2.使用Synology NAS日誌中心接收Vigor Route Syslog
3.QNAP NAS QTS Syslog 伺服器 Syslog 檢視器 一樣可以收 Vigor syslog
如果因為WAN斷線造成
syslog
VPN
syslog 由下往上看
DrayTek: IKE_RELEASE VPN : L2L Dial-out, Profile index = 1, Name = to2962, ifno = 26
DrayTek: DropVPN() VPN : L2L Dial-out, Profile index = 1, Name = to2962, ifno = 27
DrayTek: Drop VPN ifno:27 because of WAN ifno:3 is down
儀表板 資訊為何需要抓整頁
原因就是要看這三個時間
系統上線時間
WAN連線時間
VPN連線時間
這些都是需要判讀的資訊
也可以調整VPN加密協定的強度
都可以試試
如果還是有疑問
請洽本公司 @LINE 或是工程師
syslog 由下往上看,VPN profile 有三個,VPN-1,VPN-2,VPN-3
[IPsec][ERR][conn:comm_parse_isakmpxchg()][remote:59.125.9.159]main mode: unknown exchange
main mode 交換失敗,改用 aggressive mode 試試
[IPsec][INFO][Site][3@VPN-3] drop pre #447
[IPsec][INFO][Site][2@VPN-2] drop pre #447
在收到一個新的 IKE 協商請求(New Proposal)時,發現系統中已經存在一個「看似相同」但尚未完成或已經失效的舊連線(編號 #447),為了避免衝突或資源佔用,本機決定把舊的「砍掉重練」
[IPsec][INFO][remote:61.222.87.241][Site][@VPN-1] Initiating IKE Main Mode
[IPsec][INFO][Site][1@VPN-1] initiate connection