DHCP по VPN между SonicWALL NSA-2400 и NSA-240 теряет возможность соединения каждую ночь
В дополнение к ответу David аутентификация Kerberos может создать некоторые проблемы.
Благодаря всем, кто обеспечил поиск и устранение неисправностей. Здесь было решение моей проблемы:
Удаленный офисный брандмауэр был настроен с конфликтующими настройками. С одной стороны, это, как предполагалось, получало и распределяло IP-адреса с моего корпоративного сервера DHCP на брандмауэр. С другой стороны, это было настроено для предоставления локальных IP-адресов в конечном счете отказавший туннель.
После большего количества расследования я пришел к заключению, что удаленные клиенты потеряли свои IP-адреса точно спустя 8 часов после прошлого раза, когда я перезагрузил их брандмауэр. 8 часов составляют 28 800 секунд или время жизни по умолчанию туннеля IPSec.
В основном, каждые 8 часов, эти два брандмауэра пересмотрели бы свое шифрование. Этот пересмотр занял бы больше чем 2 секунды, и удаленный брандмауэр будет думать, что туннель был поврежден, и попытайтесь раздать локальный IP-адрес его клиентам. Туннельное согласование успешно выполнилось бы несколько секунд спустя, туннель будет силен на обоих концах, но у удаленных клиентов были бы недопустимые IP-адреса.
В то время как я не знаю, почему Ваша проблема начала происходить, я предложу развестись, Ваш DHCP при наличии удаленных устройств обрабатывают обозначенный сегмент Вашего полного объема DHCP. Это также обеспечило бы некоторое резервное копирование в случае проблем возможности соединения между сайтами, по крайней мере, до поддерживания в рабочем состоянии удаленных сетей.
169. X.Y.Z адреса APIPA только появился бы в результате отсутствия возможности соединения между Вашими компьютерами и сервером DHCP.
Быстрое обходное решение (но не без проблем) могло бы быть для простого конфигурирования статических адресов при диагностировании проблемы.
Для диагностирования я захватил бы один из компьютеров с проблемой и возобновил бы IP-адрес при контроле журнала брандмауэра. Или просто проверьте журнал брандмауэра вокруг, когда пользователи прибывают, или когда системы возобновляют свой арендный договор DHCP.
На сайте поддержки Sonicwall существует документ site_to_site_vpn_troubleshooting_on_sonicwall_security_appliances.pdf
Обеспечивает шаги в troublshooting этот тип сценария.