Perdida de paquetes a traves de vpn ipsec

[morfeoreyes]

Buenas tardes, hace dos días comencé a tener problemas con perdida de paquetes entre mi sede central y una sede remota. le hago ping a la ip publica de la interfaz wan del firewall remoto y responde correctamente, pero le hago ping a las ip de las interfaces internal1 e internal2 y se pierden paquetes. ya realice pruebas desde un equipo conectado a las interfaces internas de la sede remota y no tiene perdida de paquetes hacia internet.

las caracteristicas de los equipos son:

1. Firewall Central 300 C v4.0, MR3 Patch 12
2. Firewall Remoto 40C v5.0 GA Patch 3

la vpn esta configurada de la siguiente manera:

fase 1.
Mode Main
Accept any peer ID
IKE version 1
Encryption 3DES Authentication SHA1
Encryption AES128 Authentication SHA1
DH Group 2
Keylife 28800
Dead Peer Detection Disable

fase 2.
Encryption 3DES Authentication SHA1
Encryption AES128 Authentication SHA1
Enable replay detection
Disable perfect forward secrecy (PFS)
Autokey Keep Alive Disable

[gabyrossi]

Hola, mmm dificil de detctar el problema.
igualmente para descartar cosas, actualizaria el 40c al ultimo parch de 5.0

[morfeoreyes]

Buenos días Gaby, haciendo monitoreo me di cuenta que la perdida de paquetes de la vpn se daba cuando el firewall procesaba mas de 2000kbps debido a que el ancho de banda contratado con el proveedor es de 2 Mps, aplique traffic shaper sobre la política que da salida a internet para limitar el ancho de banda a 400kps de la siguiente manera:

set máximum-bandwith 400

tengo dudas si esta bien o hay que hacer alguna conversión en Kbytes

[Dexter]

buen dia

no crees que es mas facil aplicarle esa politica a tu vpn y asegurarle un trafico de 1 mb por lo menos , si es que solo pasa datos , ya que estas poniendo limitante al internet, pero no estas atacando el problema , mi recomendacion es que se la pongas a la politica del a vpn, y sugerencia aumenta tu velocidad , al igual actualiza el otro equipo

saludos.

[morfeoreyes]

OK, pero mi duda es si quisiera configurar 1M el comando quedaría como sigue?

set máximum-bandwith 1000

[Dexter]

aqui te mando el dato

config firewall shaper traffic-shaper
edit <shaper_name>
...
set priority {high | medium | low}
set maximum-bandwidth <rate>
set guaranteed-bandwidth <rate>


seria 1024


[Debes identificarte para poder ver enlaces.]


pagina 9-10


espero te sea util

saludos

[morfeoreyes]

Buenos días, después de aplicar traffic shaper sobre la interfaz de internet para el trafico de entrada como de salida quisiera saber como hago para deshabilitar este traffic shaper en la política para un Firewall 40C.

Gracias

[gabyrossi]

hola, editando la politica...

o por cli

saludos.

[morfeoreyes]

Buenas tardes gabyrossi, el dia de hoy he vuelto a tener inconvenientes con la perdida de paquetes sobre la vpn. tengo una duda sobre la sugerencia del usuario dexter respecto a que política le aplico el traffic shaper si tengo un enlace de 2MB o si es indiferente, las politicas serian.

1. Politica de salida hacia internet: internal1 ----> wan1
2. Politica de entrada VPN -----> ZonaVPN -----> internal1
3. Politica de salida VPN -------> internal1 ------> ZonaVPN


El máximo de trafico del traffic shaper seria 1024MB

Gracia por la respuesta.

[gabyrossi]

hola, si usas ese como maximo podran usar 1mb en la politivca que lo declares