Hvorfor VPN’er suger og hvordan man fikser dem
Reddit og dets partnere bruger cookies og lignende teknologier til at give dig en bedre oplevelse.
Suge vpn
Reddit og dets partnere bruger cookies og lignende teknologier til at give dig en bedre oplevelse.
Ved at acceptere alle cookies, accepterer du vores brug af cookies til at levere og vedligeholde vores tjenester og websted, forbedre kvaliteten af Reddit, personalisere Reddit -indhold og reklame og måle effektiviteten af reklame.
Ved at afvise ikke-væsentlige cookies kan Reddit stadig bruge visse cookies for at sikre den rette funktionalitet på vores platform.
For mere information, se vores cookie -meddelelse og vores privatlivspolitik .
Hvorfor VPN’er suger og hvordan man fikser dem
Det er midt på dagen, og du arbejder på et vanskeligt problem, der kræver lidt opmærksomhed. En bruger kontakter dig, fordi de ikke kan komme på VPN. Måske er det et adgangskodeproblem, eller de er på et sted, der blokerer VPN’er. Måske er du heldig og niveau 1 feltede det – men blev så uheldig, efter at de eskalerede til dig.
VPN-relaterede problemer er aldrig øverst på vores opgavelister, fordi VPN’er skal fungere, i det mindste indtil de ikke gør det. Her er et kig på, hvorfor VPN’er til tider er frustrerende – og hvordan du kan hjælpe dem med at arbejde bedre.
Mangel på protokoldiversitet i VPN -implementering
En god point-to-site (P2S) eller bruger VPN-implementering giver slutbrugere et par tilslutningsmetoder, selvom indstillingerne er gennemsigtige og automatisk forhandlet. Manglende disse muligheder kan forårsage problemer. IPSEC har undertiden problemer med hotelinternet-tjenester, især når de bruger lavere ende eller hjemme-routere. Hvis du ikke har en alternativ mulighed, vil dine slutbrugere simpelthen ikke være i stand til at oprette forbindelse. Det får det ikke til at se godt ud, når en slutbruger skal tjekke ud af et hotel og finde et med internettet, der er mere kompatibelt med din VPN.
Som et eksempel understøtter Palo Alto Global Protect og Cisco AnyConnect både IPSEC og SSL VPN. OpenVPN er en anden, der er stor ved at have UDP- og TCP -muligheder og gennemsigtig udvælgelse af disse som standard. Legacy Cisco VPN -klienten brugte primært IPSEC, men tilladte en TCP -mulighed.
IPSEC er stadig en af de foretrukne protokoller, især for S2’er, men også for P2S. Det fungerer lavere på OSI -laget, så det har mindre overhead. Det er en standardiseret protokol, så den har interoperabilitet mellem leverandører. Med det sagt har det ofte nogle vanskeligheder med NAT og DS-Lite (IPv6 Dual Stack Lite). Disse problemer kan variere fra ydeevne til at flade ud ikke fungerer.
På den anden side har SSL VPN’er en tendens til at arbejde bedre med NAT, da statslige inspektionsenheder som firewalls forstår trafikken og har i nogen tid. De opfatter trafikken som værende den samme som enhver anden TLS -trafik og forstyrrer typisk ikke.
Fixen: har et par muligheder
Sørg for, at din løsning giver et par muligheder for VPN -protokoller, når det er relevant. I dagene med arven Cisco VPN -klient involverede dette at åbne en TCP -port og manuelt konfigurere en forbindelse i klienten. I dag forhandler mange VPN -løsninger automatisk et par protokoller, og det er bare et spørgsmål om at sikre, at de relevante porte åbnes.
Mange organisationer har brede åbne ACL’er til deres VPN -termineringspunkt, der skal dække åbning af de nødvendige porte. Hvis du begrænser adgangen til denne IP, skal du sikre dig, at de rigtige porte og protokoller får lov til at oprette forbindelse. For IPSEC skal du sikre dig, at i det mindste UDP/500 (for IKE) og Internet Protocol 50 (ESP) og Internet Protocol 51 (AH) er åbne. Internetprotokoller forveksles ofte med TCP/UDP -porte.
Sørg for, at du læser din sælgers dokumentation om de havne, den bruger – og protokol tilladt. Prøv også at manuelt teste hver tilladt protokol for at sikre, at den fungerer. Hvis din VPN -løsning automatisk mislykkes til forskellige protokoller, skal du muligvis Wireshark forbindelsen for at validere.
Pakkestørrelse og indkapsling over VPN’er
Et sæt problemer, som en netværksadministrator undertiden løber ind i nye VPN -implementeringer, er relateret til maksimal transmissionsenhed (MTU) og maksimal segmentstørrelse (MSS). Som standard er MTU og MSS normalt indstillet korrekt og i stand til at rumme VPN -tunneler. MTU er den maksimale rammestørrelse og er typisk 1500 byte. MSS udelukker IP- og TCP -overskrifterne, som hver er 20 byte til IPv4. For at matche op til MTU ville en MSS traditionelt indstilles til 1460 byte for at møde 1500 byte MTU
Fordi vi indkapsler IP -pakker i en IPsec -pakke, kunne de overstige den 1500 byte -grænse på grund af den ekstra IPsec -header. For at redegøre for overhead og forskellige scenarier er Cisco ASA standard til en MSS på 1380. Andre leverandører giver dig mulighed for at indstille denne pr. Interface, såsom en VPN -interface, eller er smart nok til at gøre dette dynamisk til IPsec -trafik eller anden indkapslet trafik.
Når denne værdi er indstillet for lav, såsom 1280 til IPv4 -trafik, fører den til, at flere pakker sendes. For eksempel, hvis du har en 1300-byte-pakke, bliver den nu to pakker, mens en MSS på 1380 ville have givet den mulighed for at forblive en. Hvis du indstiller det for højt, vil visse pakker, der når MTU, blive droppet, fordi de er for store. Undersøgelse af MTU- og MSS -bedste praksis for den leverandør og platform, du bruger, anbefales altid, når du implementerer en VPN -løsning eller overtager administration af en.
Rettelsen: Brug bedste praksis
Start med den bedste praksis til dit VPN- eller Firewall -produkt. Cisco ASA er standard til en TCP MSS på 1380 for IPv4, som normalt er den bedste mulighed, hvis man antager, at 1500 byte MTU, mens Palo Alto og andre nyere generationsløsninger muligvis gør dette automatisk eller bare kræver, at tunnelgrænsefladen MTU er 1460.
Det, vi ønsker at undgå, er forkert at indstille dette til at deaktivere eller et ekstremt lavt antal, såsom 1280. Du ønsker dog at sikre, at den ikke er indstillet for høj, såsom 1460, når den skal have mere overhead, og enheden ikke automatisk “klemmer” pakkerne ned.
VPNS vs Business Design -beslutninger
Nogle af de største VPN -spørgsmål er relateret til forretningsbeslutninger. Et eksempel på disse beslutninger er, hvor man skal sætte VPN -opsigelsespunkter. Mange gange er disse bundet til budgetmæssige begrænsninger. Hvis du har et entydigt datacenter, gør beslutningen typisk om den primære placering.
Har du en katastrofegendannelse (DR) -sted? Er VPN der, eller var der ikke noget budget for det? Har du brugere i et andet land, men gør dem til VPN til et opsigelsespunkt halvvejs over hele kloden i dit datacenter?
Fixen: tilstedeværelse
Ideelt set ønsker vi at give brugerne et VPN -termineringspunkt, der er noget geografisk tæt på dem. Nogle gange kaldes dette et tilstedeværelsespunkt (POP). Forsøg og latenstid kan plage VPN -protokoller og den underliggende indkapslede trafik. Dette kræver en slags backhauling, normalt via privat kredsløb. Det kan backhaules via ipsec S2s, men der skal træffes foranstaltninger, såsom at sikre, at popen er godt kigget til den anden ende af S2S -tunnelen. Evnen til at failover -luftfartsselskaber på grund af peering eller andre latenstidsspørgsmål anbefales.
Hvis du har et koldt DR -sted, kan du prøve at gøre VPN -løsningen aktiv, så brugerne kan bruge den som en sikkerhedskopi. Dette tillader vedligeholdelse af den primære VPN -løsning med brugere, der stadig er i stand til at oprette forbindelse, når det er nødvendigt. Det giver også en god testbed til anvendelse af opdateringer først.
VPN-træning og selvbetjening
Problemer med adgangskode bør ikke eksistere, rigtigt? Der er intet værre end en konstant tilstrømning af supportanmodninger, der ender med at være adgangskodeproblemer. Udløb af adgangskode, der udløber det. Slutbrugere får ofte vage beskeder, der ser ud som et netværksproblem, men ender med at være en dårlig adgangskode, udløbet adgangskode eller låst konto.
De kan ikke fortælle forskellen på grund af den begrænsede feedback, som VPN -klienten giver dem. Mange gange er brugeren blevet leveret en bærbar computer med VPN -klienten allerede på den. Andre gange sendes de simpelthen nogle korte instruktioner om, hvordan man installerer og bruger, men det er det.
Fix: Dokumentation
Dokumentation skal gives for brugeren til at hjælpe dem med at fejlsøge deres problem. Power -brugere og vejkrigere er normalt ret modtagelige for dokumentation, fordi deres tidsplaner typisk ikke giver dem meget tid til at afsætte til at arbejde med it -support. En sådan dokumentation skal omfatte, hvordan man installerer/geninstallerer og konfigurerer VPN -softwaren.
God dokumentation inkluderer også nogle almindelige fejl, og hvordan man korrigerer dem. Når du arbejder offline med brugere via e -mail eller chat, skal du henvise til din dokumentation for at gøre dem opmærksomme på det. Når du arbejder direkte med dem, skal du sammenfatte og pege på uddrag eller citater af det i stedet for bare at sende dem et link og bede dem om at læse det. Dette går langt for at gøre dem opmærksomme på dokumentationen, og at det er nyttigt. De er mere tilbøjelige til at læse det først næste gang.
Implementere en selvbetjeningsportal. Selvbetjeningsportaler er en ideel måde at hjælpe med at afbøde adgangskodeproblemer. De kan tage en proaktiv tilgang til at udløbe adgangskoder ved at advare brugeren på forhånd. Sørg dog for, at de har nok varsel til at gøre noget ved det. Ideelt set ville dette være mere end syv dage i forvejen for at redegøre for brugere på ferie, når meddelelserne går ud.
Sidste tanker
Ofte fungerer VPNS fint, men hvis dit miljø har tilbagevendende problemer, skal du overveje nogle af ovenstående sager og løsninger. Nogle gange er det bare en opfattelse og slutbrugeruddannelsesproblem. Andre gange er der mindre konfigurationsproblemer, der skal justeres. Jo bedre du kan få dine VPN-tjenester strømlinet, jo mere tid bliver du nødt til at fokusere flere missionskritiske opgaver