約3ヶ月前から私たちのネットワークで奇妙な現象が起こり始めました。
まず、ネットワークレイアウトを説明します(公開できる詳細のみ説明します)。
- 我々は、インターネットを介してクライアントネットワークへのVPN接続を確立するルータを持っています。
- VPN接続用のチェックポイント
- ルータの特定のモデルがわかりません。しかし、私たちのIT管理者はこれを「Nokiaファイアウォール」と呼びます。
- ワークステーションには、インターネットとVPNにアクセスできるように、ゲートウェイがルーターのIPアドレスに設定されています。
だからここに質問があります:
約4ヶ月前、LinuxワークステーションのインターネットとVPN接続が断続的に切断されました。 Windowsワークステーションではこれは発生しません。この問題は、Linuxで実行されているシステムにのみ影響を与えるようです。
パケットがゲートウェイに送信されたが応答が受信されないことがわかります。これは約3〜5分間続いた後、インターネットとVPN接続が再確立されます。私たちはこの出来事にパターンを見ません。上記の問題は数秒から数時間ごとに繰り返されます。
Linuxワークステーションの問題を解決するために、私たちはそれらのいくつかを他のゲートウェイに切り替えました。一般ルーター(GateWay-Bと呼びます)。他のゲートウェイを使用してもこの問題は発生しません。
私がしたことの1つは、次のようにIPテーブルを設定することでした。
- VPNを介してワークステーションにバインドされたすべてのパケットは、「Nokia / checkpoint」ゲートウェイを使用します。
- 他のすべてのパケットは異なるゲートウェイ-Bを使用します。
これにより、もはやインターネット接続が切断されなくなります。しかし、VPN接続は依然として不安定でした。
質問:
何が問題なのかご存知ですか?ゲートウェイは、受信パケットが入ってくるオペレーティングシステムを確認できますか?
答え1
これは潜在的にarpキャッシュの混乱のように聞こえます。
1つの可能性は、Nokia Firewallが高可用性(HA)ペアの一部である場合、いくつかのフェイルオーバーまたはロードバランシングイベントが発生する可能性があることです。 HAペアが存在し、そのうちの1つがアクティブファイアウォールになっている場合、Linuxワークステーションは誤ったarpキャッシュエントリのために誤ったファイアウォールに要求を送信できます。
次回VPNサイトの接続が失われた場合は、簡単にテストできます。 Linuxワークステーションにiprouteパッケージがインストールされていることを確認してください。実行しますip neigh flush dev eth0(正しいインターフェイスの交換)。これにより、トラフィックを正しく転送するファイアウォールのハードウェアアドレスを使用して再入力されるまで、arpキャッシュは一時的に消去されます。
どのハードウェアアドレスがトラフィックを正しく転送しているかがわかっている場合は、静的arpマッピングとして追加できます(これにより、ファイアウォールで実行されるHAまたはロードバランシングが中断される可能性があります)。
最終的に、この問題はファイアウォールのメンテナンスと設定を担当するグループに指摘され、問題を解決できるようにする必要があります。