Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2219 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-IPSec Site-to-Site - Wer soll der Master sein?

Jailerbe
Ich habe seit einiger Zeit eine IPSec-VPN Verbindung zwischen zwei ASGs aufgebaut und habe leider täglich Probleme mit der Zwangstrennung des ISP. Die eine ASG "hängt" an einem SDSL-Anschluss mit fester IP-Adresse und ohne Zwangstrennung. Das andere ASG "hängt" hinter einem ADSL-Anschluss zwar mit fester IP-Adresse, aber mit einer täglichen Zwangstrennung. Leider hab ich nach dieser Trennung immer das Problem, dass es sehr lange dauert bis die VPN-Verbindung wieder automatisch aufgebaut ist. Momentan ist es so konfiguriert, dass die ASG am ADSL (mit Zwangstrennung) die Verbindung initialisiert und die ASG am SDSL (ohne Zwangtrennung) "antwortet". Wäre es sinnvoll bzw. würde es meine Aufbauzeiten nach der Zwangstrennung minimieren, wenn man die ASG genau andersrum konfiguriert oder ist das in diesem Fall völlig egal?


This thread was automatically locked due to age.
  • 0
    Eigentlich, da jede ASG eine festgestellte IP-Addresse hat, würde ich beide Remote Gateways auf "Initiate Connection" stellen.

    Wenn wir wüssten was die Zwangstrennung verursacht, dann hätten wir vielleicht sagen können ob die Aufbauzeit kürzer sein würde. Mal seh'n!

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Die Zwangstrennung wird von ISP initialisiert, da laut Vertragsbedingungen trotz einer festen IP-Adresse beim ADSL einmal pro Tag eine Trennung dieser Art erfolgen muss. Kann man beide Seiten auf Initiate Connection stellen? Dachte es muss immer die eine ASG initialisieren und die andere muss antworten!?
  • 0
    die option des Respond Only gibts erst seit v8 afaik
  • 0
    Respond only ist in Astaro immer da gewesen. Wenn man festen IPs hat ist es immer besser Initiate Connection zu nehmen. 

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
     Nach eine kurze Frage zu meinem VPN Site-to-Site Problem. Kann man denn, wenn feste IP-Adressen vorliegen, auf beiden ASG den Modus -Verbindung initialisieren- einstellen? D.h. es muss nicht die eine ASG initialisieren und die andre nur antworten. Oder muss man hier zwei Verbindungen pro ASG konfigurieren, einmal mit nur antworten und die andre mit initialisieren??? Danke im Voraus!

    "Verbindung initialisieren" heißt nur daß man die IP der anderen Seite kennen kann; es ist entweder festgestellt oder eine DynDNS Addresse ist vorhanden.

    Genau wie mit dem Telefonsystem, wenn ich Deine Nummer nicht weiß, muss ich auf Deinen Anruf warten (Respond only), aber wenn ich die Nummer habe, kann ich Dich anrufen (Verbindung initialisieren). 

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA