2016年10月29日
このエントリーをはてなブックマークに追加
VPNに接続し ping などの確認をしていました。1人で接続しているときにはなんの問題も無く順調でした。
しかしテストで数名が接続するようになると、VPNサーバーを経由した外部への ping が timeout になったり、Webサーバーへのアクセスができなくなったりと、不安定な状態になりました。これは、MTUの問題や、IPアドレスが重複しているとき、通信が安定しないないときに似たような症状に見えました。

いくつかの項目をチェックしても、なんの問題もありませんでした。またローカルのVPNサーバーへの ping はどのような状態であっても順調で、一度も timeout しませんでした。

このことから、VPNサーバーまでの通信には問題はなく、そこから先の問題だと思いました。
そして結局のところ、SecureNAT のNATセッション数が4,096ということなので、これに該当しているのでは無いかと思います。実際、NATセッションを無効にすると、IPアドレスのセグメントはともかくとして、Webページなどへの通信はずっと安定しました。

かつてYamahaのルーター、RTX1000 / RTX1100 を利用していたとき、規模の大きな環境ではトラブルになることがよくありました。それがNATセッション数が少ないために、枯渇していたのです。
YAMAHA RTX1100 とセッション数制限

そのため、SecureNATを利用する場合、実際の運用には以下の工夫が必要だと思われます。
・セッションタイムアウトの設定値を短くする
・セッション数を制限する
VPNFAQ025. SecureNAT 機能の仮想 NAT におけるセッション数の制限方法
> ・ SecureNAT_MaxTcpSessionsPerIp
> ・ SecureNAT_MaxTcpSynSentPerIp
> ・ SecureNAT_MaxUdpSessionsPerIp
> ・ SecureNAT_MaxDnsSessionsPerIp
> ・ SecureNAT_MaxIcmpSessionsPerIp

・該当するサーバーへの通信のみをSecureNAT経由にする
・・・オープンソース版では静的NATの配布はできないようでした。そのため、コマンドプロンプトで個別に設定する必要があります。
・アクセスリストで外部へのWebアクセスを遮断する
・・・VPN接続した場合に外部へのWebアクセスができなくなります。が、通信は安定します。
・DHCPサーバーでDNSを配布しない。
・・・上記同様にWebアクセスができなくなります。


stock_value at 12:20│Comments(0)TrackBack(0)技術:2016年 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔