Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2410 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Drops under load

Brian Buchanan
Hello,

I've got a ASG320 in Toronto and and ASG220 in London UK connected via SSL VPN.

Toronto has an E10 from Allstream and London UK has a DSL connection.

The SSL VPN comes up and works for the most part, until I put significant load on it, then it drops and stays down for about 5 minutes.

To me it seems like a MTU issue, although I could be way off base.  The London UK DSL interface is set with an MTU of 1492, and tun0 has a MTU of 1500.  Could that be the problem?

It's a star topology with Toronto as the center, and the other SSL connections are unaffected when London UK goes down.  The ASG remains available, and PPTP connections to the London UK ASG remain up.  I actually PPTP into the London UK ASG, Remote Desktop to a server, then push a backup to Toronto across the SSL VPN and only the SSL vpn goes down.

All ASGs are on 7.501.

Attached is a log before and after the drop.  The reset at 2009:11:21-20:36:04 is when it came back up.

Thanks,

Brian

As per http://www.wandin.net/dotclear/index.php?post/2009/01/08/OpenVPN-MTU-Size does the ASG OpenVPN config use mssfix?


This thread was automatically locked due to age.
  • 0
    I think it turns out to be a DNS issue, and it's been stable for just over a day so far.  I edited the Client side SSL config and selected to "Override peer hostname" and created an appropriate host object.

    I think that when the VPN was down, it got the correct IP address for the DNS lookup, but was getting the wrong ip (or a lookup failure) for the same lookup when the VPN was up.
  • 0
    Followup: Today the VPN connections went down again. ASG Tech Supp was able to take a look and recommend a switch from TCP to UDP. (Site-to-Site VPN -> SSL -> Settings).  They warned me that I'd have to delete and rebuild ALL connection information, and that's what I had to do.

    I also typed in the Server's IP address into "Override hostname" so that I wouldn't have to do that on each client.

    I deleted all Server configs, recreated and downloaded them. I then connected to each branch deleted the Client config and re-uploaded it.  All the sites came up and have stayed up so far.  I had a few issues with the DNS cache needing to be flushed as I have different IPs for the same name on and off the VPN and the clients were getting the "Off" vpn ips.
  • 0
    Brian, Thank you very much for posting the resolution... That's the kind of thing that helps to make this such an effective community.

    Cheers - Bob