BOVPN IKE Keep-alive ja Dead Peer Detection asetukset

Yksi suurimmista pätkimien aiheuttajista BOVPN:ssä on IKE keep-Alive ja DPD asetuksien sotku!

Suositus on vain ja ainoastaan käyttää DPD asetusta, jos toisessa päässä on Watchguard  XTM / e-sarjan muuri tai joku muu merkkinen muuri.

IKE Keep-alive käytetään vain jos vastapäässä on vanha Firebox, Soho tai Edge (ei e-sarja) muuri. Lukekaa lisää Ike and DPD.pdf PDF:stä.

Versioista 10.2.2 lähtien sekä Edge:n että Core:n VPN asetukset on oletuksena samoja, ja näillä asetuksilla BOVPN pitäisi toimia hyvin:

Phase1: SHA1 / 3DES / DHG=2
Phase2: SHA1 / AES (256-bit) / PFS=off

Muutamia vinkkejä.

• jos mahdollista pyrkikää käyttämään kaikissa phase1 asetuksissa samoja asetuksia, esim. SHA1 / 3DES / DHG=2
• PFS pois, (on oletuksena off) jos vastapäässä on e-sarjan Edge.
• VPN Keep-alive (ei saa sekoittaa IKE keep-alive:n) asetus.
  Jos tunnelissa menee ”windows domain verkko” liikennettä, niin yleensä VPN keep-alive:n ei tarvi laittaa mitään
  Jos tonne jotain laittaa, niin antakaa sinne IP-osoite tunnelin takana olevasta verkosta, esim. palvelin, kytkin tai kirjoitin.
  eli IP joka on aina päällä.
• Core External portin Advanced välilehdellä “DF bit for IPSec” Clear-tilaan.
• Muurien päivitys uusimpiin softa versioin.