Dva hlavní problémy: IPSEC VPN se neobnovují a vzdálené reboosty způsobují restart jádra

Pozadí: Nedávno jsme aktualizovali náš starší hlavní směrovač NSA 4600 a pobočkové směrovače TZ300 na NSa 4700 a 26 TZ370 směrovačů pro pobočky. Každá pobočka a HQ mají různé internetové připojení - AT&T DIA Fiber nebo Broadband fiber, Spectrum DIA Fiber atd. Každý pobočkový směrovač má VPN IPsec z pobočky do HQ (kde máme datové centrum), čtyři pobočky (každá pro “okres”) mají sekundární VPN IPsec ke svým okresním pobočkám a mezi sebou, takže vše může komunikovat, pokud HQ selže. To fungovalo docela dobře v době v6. Bohužel jsme měli dva hlavní (a jeden méně hlavní) problémy s novější firmwarou.

Firmware: Když byly dodány, měly verzi 7.0.1-5111, věřím. Aktualizovali jsme je téměř ihned na 7.1.1-7047, která byla vydána právě když jsme je nasazovali. Poté, co jsme si všimli výše zmíněných chyb, pokusil jsem se aktualizovat na 7.1.1-7058, bez změny. Nyní jsou všechny na 7.1.2-7019 a stále máme tyto problémy. Jakékoliv tipy, ukazatele, stopy atd. by byly oceněny. Momentálně používáme RIPv2 napříč vším, ale plánuju co nejdříve přejít na OSPF a naučit ho sám.

Problém 1: Někdy, po přerušení spojení kvůli bagru nebo jiné poruše, VPN IPsec se sama neobnoví, dokud ji nevypnu a nezapnu, obvykle na straně 4700. Pak se okamžitě znovu naváže a funguje dobře. Ne vždy, ale když ano, nezdá se, že by se to samo spravilo - je nutná manuální intervence.

Problém 2: Ještě vážnější. Při restartu jednoho z pobočkových směrovačů (například po aktualizaci firmwaru) se někdy - a toto bylo mnohem vážnější při nasazení, protože to bylo během otevřených hodin - 4700 spontánně restartuje samo, odpojuje všechny a vrhá naši HQ do chaosu (nemluvě o odpojení připojení ostatních poboček k HQ). Nyní, když jsou všechny nové směrovače nasazeny, to není tak velký problém, protože aktualizace firmwaru mohu dělat v údržbových intervalech a restart jádra není tak hrozivý - ale vše to prodlužuje dobu provozu.

Problém 3: Tento nás momentálně neovlivňuje, protože jsem podle svých zjištění část problému deaktivoval. Zakoupili jsme licenci NSM Essential pro všechny tyto zařízení. Plánoval jsem ji používat na aktualizace firmwaru a na whitelisty/uživatelskou konfiguraci/filtry obsahu, což jsou věci, které se většinou shodují na všech místech. Avšak jsem si všiml, že občas dojde ke ztrátě spojení - a když jsem přišel do pobočky zjistit, co je špatně, zasraný TZ370 se resetoval na tovární nastavení. Naštěstí mám zálohy konfigurací z mysonicwall. Deaktivoval jsem Cloud Management na všem a zatím se to neopakovalo. Přemýšlím, jestli cloudové řízení náhodou neposílalo prázdné konfigurace těmto směrovačům. Má někdo dobré zkušenosti s NSM správou?

Někdo, prosím, řekněte mi, že nejsem sám. Viděl jsem spoustu příspěvků komentujících problémy s verzi 7, jen se ptám, jestli jsou to známé problémy.

Všechny tyto problémy by měly být nahlášeny podpoře SNWL.

Jen čtení těchto mi říká, že potřebuji mnohem více informací, stopové logy (aktuální + všechny) a událostní logy z okamžiků, kdy tyto problémy nastanou.

Nemám žádnou představu, jestli jste na to sám nebo ostatní mají stejné problémy.

Začněte s tímto a pracujte na těchto otázkách se SNWL. Čekání na cokoli jiného odtud nebo na veřejných fórech je jako mlácení hlavou o zeď.

Takže pro hub a spoké konfiguraci by měly mít pobočky povolenou udržovací dobu s jádrem NSA, který ji má zakázanou. Další je potvrdit vaše síťové objekty na obou stranách tunelu. Buďte konkrétní, protože je to hloupé neudělat. Geo filtrování by mělo být povoleno, pokud je správa dostupná zvenčí, problém je známý.

Pro produkční zařízení je firmware 7.1.2 spíše funkce než hlavní verze.

Mám v nasazení jen jedno zařízení s tímto firmware, a to bylo kvůli úplnému sestavení, takže jsem nenačetl konfigurační soubor. Což může být i váš problém, starý bug s ghostem firmware.

Prohlédněte si logy, abyste nalezli selhání. Hodně štěstí.

NSA jsou firewally. Ne směrovače. Nepoužívejte je jako jádro. Získejte Cisco 9000 nebo dokonce 3850 a ty budou dělat váš RIP a OSPF. Doufám také, že máte NSA s HA členem.

Také nejlepší způsob pro verzi 7 je dát na ni 7.1.2 a resetovat na tovární nastavení a nakonfigurovat ručně (ano, vážně). Podívejte se do historie a podívejte se, jaké problémy jsem měl s přesným TZ370, když jsem importoval konfiguraci z generace 6 a zkoušel stejnou cestu aktualizace, co ty. Zjistil jsem, že SonicWall má známý problém s importem konfigurací.

Ne, přestaňte, fakt, shromážďte všechny logy a stopy, včetně TSR od všech postižených, a nahlaste to SNWL.

Zajímalo by mě, proč byste chtěli mít udržovací dobu zakázanou na straně HQ tunelů. Je to nejlepší praxe nebo něco?

TOHLE! Všechno, co tento člověk řekl, by mělo být vaším dogmatem ohledně vaší situace.

Používám NSAs v prostředích s provozem 99.999 a více, již téměř 15 let, a TZ všude jinde. Obvykle jsou bezchybná. Ano, mohou fungovat jako směrovače. To je staré myšlení. Respektuji váš názor, ale nesouhlasím.

Ano, tunel s nejnižším zatížením (satelitní) by měl mít udržovací dobu povolenou.

Je to ta figurativní hodnota sedmi devítek?

+1, ale velikost je extrémně důležitá.

Mohou. Ale neměli by. Nebudu vás nudit detaily o tom, jak je správa routingu na hardwaru lepší než na softwaru (což SonicWall dělají). u/nccon1, ty a všichni vaši SonicWall šarkani se můžete hádat, jak chcete, používám SonicWall přes 20 let, živím se jako síťový inženýr a mohu vás ujistit, že se mýlíte. Také odpírám vaši poznámku o 99.99999 % dostupnosti na NSA. To je zcela mylné.

On je jen troll tady. Nedávno šířil nesmysly v jiném příspěvku o nastavení Failover/LB, takže pochybuji, že vůbec zná rozdíl mezi firem a směrovačem.

Určitě jsem… prosím, nepat se

Vím, co mohou a nemohou dělat. Mohou to dělat a většinou to dělají dobře. Jasně, jsou prostředí, kde je lepší mít speciálně stavěný směrovač. SonicWall je ale spolehlivý a splní svůj úkol, podle mých zkušeností (které přesahují mnoho let).

Posledních 8 let používám pouze SonicWall. Síť provozuji už přes 25 let a až na problémy, které jsem zažil minulý týden, jsou SonicWall stabilní.
NSA firewally jsou docela stabilní, proč si myslíte, že nejsou?