為什麼VPN吮吸以及如何修復它們
Reddit及其合作夥伴使用餅乾和類似技術為您提供更好的體驗.
吸vpn
Reddit及其合作夥伴使用餅乾和類似技術為您提供更好的體驗.
通過接受所有餅乾,您同意我們使用cookie來提供和維護我們的服務和網站,提高reddit的質量,個性化reddit內容和廣告,並衡量廣告的有效性.
通過拒絕非必需的cookie,Reddit仍然可以使用某些cookie來確保我們平台的正確功能.
有關更多信息,請參閱我們的cookie通知和我們的隱私政策 .
為什麼VPN吮吸以及如何修復它們
這是一天中的中間,您正在解決一個困難的問題,需要一點關注. 用戶與您聯繫,因為他們無法使用VPN. 也許這是一個密碼問題,或者它們處於阻止VPN的位置. 也許,您很幸運,一級將其列出 – 但是在他們升級給您之後,不幸的是.
與VPN相關的問題永遠不會排在我們的待辦事項列表中,因為VPN應該起作用,至少直到他們不做. 這是VPN有時會令人沮喪的原因,以及如何幫助他們更好地工作.
VPN實施中缺乏協議多樣性
即使選項是透明的,並且會自動協商. 缺乏這些選擇會引起問題. IPSEC有時會在酒店互聯網服務上存在問題,尤其是在使用低端或家庭路由器時. 如果您沒有替代選項,您的最終用戶根本無法連接. 當最終用戶必須退房並找到與您的VPN更兼容的互聯網時,它看起來不會使它看起來不錯.
例如,Palo Alto Global Protect和Cisco AnyConnect支持IPSEC和SSL VPN. OpenVPN是另一個非常適合擁有UDP和TCP選項以及默認選擇這些選項的透明選擇. 傳統思科VPN客戶端主要使用IPSEC,但允許使用TCP選項.
IPSEC仍然是首選協議之一,尤其是S2s,也是P2S. 它在OSI層上工作較低,因此開銷較少. 這是一個標準化協議,因此在供應商之間具有互操作性. 話雖如此,NAT和DS-Lite通常會遇到一些困難(IPv6雙堆棧Lite). 這些問題的範圍從性能到不起作用.
另一方面,SSL VPN傾向於與NAT更好地工作. 他們認為流量與任何其他TLS流量相同,通常不會干擾.
修復程序:有一些選擇
確保您的解決方案在適用時提供一些VPN協議的選項. 在傳統思科VPN客戶端的時代,這涉及打開TCP端口並手動配置客戶端的連接. 如今,許多VPN解決方案自動協商了幾個協議,這只是確保打開適當端口的問題.
許多組織對其VPN終止點有廣泛的ACL,應涵蓋開放任何必要的端口. 如果您確實限制了對該IP的訪問,請確保允許正確的端口和協議連接. 對於IPSEC,請至少確保UDP/500(對於IKE)和Internet協議50(ESP)和Internet協議51(AH)開放. 互聯網協議通常與TCP/UDP端口相混淆.
確保您在其使用的端口上閱讀供應商的文檔,並允許協議. 另外,嘗試手動測試每個允許的協議以確保其有效. 如果您的VPN解決方案自動失敗了不同的協議,則可能需要進行連接以驗證.
VPN上的數據包尺寸和封裝
網絡管理員有時會在新的VPN部署上遇到的一組問題與最大傳輸單元(MTU)和最大段尺寸(MSS)有關. 默認情況下,MTU和MSS通常設置為適當的設置,並能夠容納VPN隧道. MTU是最大幀大小,通常為1500個字節. MSS不包括IP和TCP標頭,IPv4每個都有20個字節. 為了與MTU匹配,傳統上將設置為1460字節以符合1500字節MTU
因為我們將IP數據包封裝到IPSEC數據包中,所以由於額外的IPSEC標頭,它們可能會超過1500個字節限制. 為了說明開銷和各種情況,思科ASA默認為1380的MSS. 其他供應商允許您每個接口(例如VPN接口)設置此此設置,或者足夠聰明,可以動態地執行IPSEC流量或其他封裝的流量.
當該值設置得太低時,例如IPv4流量的1280,它會導致發送更多數據包. 例如,如果您有一個1300字節的數據包,現在將變成兩個數據包,而1380年的MSS可以保留一個數據包. 如果將其設置得太高,某些到達MTU的數據包將被刪除,因為它們太大了. 在實施VPN解決方案或接管一個管理方案時,建議始終為您使用的供應商和平台研究MTU和MSS的最佳實踐.
修復程序:使用最佳實踐
從VPN或防火牆產品的最佳實踐開始. Cisco ASA默認為IPv4的TCP MSS為1380,這通常是假設1500字節MTU的最佳選擇,而Palo Alto和其他較新的生成解決方案可能會自動執行此操作,或者可能只要求隧道界面MTU為1460.
我們要避免的是錯誤地將其設置為禁用或非常低的數字,例如1280. 但是,您要確保將其設置得太高,例如1460,當它需要更多的開銷時,並且該設備不會自動“夾住”數據包.
VPN與業務設計決策
一些最大的VPN問題與業務決策有關. 這些決定的一個示例是將VPN終止點放在哪裡. 很多時候,這些都與預算限制有關. 如果您有一個單數數據中心,則該決定通常使自己對主要位置進行.
您有災難恢復(DR)網站嗎? 是那裡的VPN還是沒有預算的? 您在另一個國家 /地區是否有用戶,但是將其VPN置於數據中心中途的終止點?
解決方案:存在點
理想情況下,我們希望為用戶提供一個VPN終止點,該點在某種程度上與他們接近. 有時這被稱為存在點(pop). 檢索和延遲可以陷入VPN協議和基礎封裝流量. 這確實需要進行某種反修,通常是通過私人電路. 它可以通過IPSEC S2進行重複,但應採取措施,例如確保POP很好地凝視到S2S隧道的另一端. 建議將故障轉移載體由於凝視或其他延遲問題而引起的能力.
如果您有冷DR網站,請嘗試使VPN解決方案處於活動狀態,以便用戶可以將其用作備份. 這允許對主要VPN解決方案進行維護,並且用戶在必要時仍能連接. 它還為首先應用更新提供了一個很好的測試床.
VPN培訓和自助服務
密碼問題不應該存在,對? 沒有什麼比最終成為密碼問題的不斷支持請求更糟糕的了. 密碼到期的化合物. 最終用戶通常會收到看起來像網絡問題的模糊消息,但最終會成為一個不好的密碼,過期的密碼或鎖定帳戶.
由於VPN客戶端向他們提供的有限反饋,他們無法分辨出差異. 多次為用戶提供了帶有VPN客戶端的筆記本電腦. 其他時候,他們只是向他們發送了一些有關如何安裝和使用的簡短說明,僅此而已.
修復程序:文檔
應該為用戶提供文檔,以幫助他們解決問題. 電力使用者和道路戰士通常會接受文件,因為他們的時間表通常不會給他們很多時間來預留其支持IT支持. 此類文檔應包括如何安裝/重新安裝和重新配置VPN軟件.
好的文檔還包括一些常見錯誤以及如何糾正它們. 通過電子郵件或聊天與用戶脫機時,請參考您的文檔以幫助他們意識到這一點. 直接與它們合作時,總結並指向片段或報價,而不是僅發送鏈接並告訴他們閱讀它. 這對於使他們意識到文檔有很長的路要走,這很有幫助. 他們更有可能在下一次閱讀.
實施自助門戶. 自助服務門戶是幫助減輕密碼問題的理想方式. 他們可以通過提前警告用戶採取主動方法來到期密碼. 確保他們有足夠的通知可以做些事情. 理想情況下,這將提前七天以上,以解釋通知熄滅時度假的用戶.
最後的想法
通常,VPN可以正常工作,但是如果您的環境有反復出現的問題,請考慮以上一些情況和解決方案. 有時,這只是一種感知和最終用戶培訓問題. 其他時候有次要的配置問題需要調整. 您可以簡化VPN服務越好,您將不得不集中精力至關重要的任務的時間越多