Este artigo tem como finalidade informar algumas boas práticas de configurações dos recursos de “DPD” e “Inicialização do Túnel” da VPN IPSEC, para que o serviço tenha uma melhor eficiência, principalmente quando temos alguma topologia que contenha um Blockbit NGFW como Concentrador de VPN conectados a várias filiais, gerando diversos túneis no sistema.
Modo de Inicialização do Túnel
Nas configurações do túnel VPN IPSEC, temos o campo chamado “Inicialização do Túnel"(dentro da aba "Gerais"). Esse parâmetro nos indica a ação que será tomada em determinado túnel assim que o serviço da VPN for iniciado ou quando um determinado túnel for ativado.
![](https://forum.blockbit.com/assets/files/2024-02-15/1708011661-893271-geral.png)
A recomendação é que em uma das pontas ele esteja configurado como “Automática”, para que ele possa iniciar a conexão e estabelecer o túnel.
![](https://forum.blockbit.com/assets/files/2024-02-15/1708008336-296606-automatica.png)
Já na outra ponta a recomendação é que esteja configurado como “Aguardar”, para que ele suba as configurações no sistema e esteja pronto a estabelecer o túnel assim que receber a requisição da ponta remota, que estará configurada em “Automática”.
![](https://forum.blockbit.com/assets/files/2024-02-15/1708007975-965999-aguardar.png)
Caso ambos os lados tenham IP fixo para o estabelecimento da VPN, não existe uma recomendação técnica de qual lado deverá ficar como “Aguardar” e qual lado deverá ficar como “Automática”. Porém, normalmente deixamos o lado do concentrador como “Aguardar”, visto que na maioria dos casos teremos túneis com IP’s dinâmicos do lado de algumas filias, e dessa forma padronizaríamos as configurações, deixando que o concentrador receba as solicitações de estabelecimento de túnel.
Já caso um dos lados esteja utilizando IP dinâmico, este lado deverá ser configurado como “Automática” e o lado que tenha IP fixo deverá ser configurado como “Aguardar”. A ideia é que o lado dinâmico sempre inicialize a conexão.
DPD (Dead Peer Detection)
Esse recurso é utilizado para monitoramento do túnel, onde ele é o responsável pelas tarefas de keep alive, assim como estabelecimento/reestabelecimento de cada túnel.
O próprio tráfego entre as redes estabelecidas dentro da fase 2 do túnel já é utilizado para validar que aquele determinado túnel está online. Porém caso ele pare de receber esse tráfego, o DPD mandará pacotes para a ponta remota de tempos em tempos, para validar se o túnel ainda está no ar. Caso ele não receba nenhuma resposta, após exceder o tempo de time out da conexão, ele deletará as políticas do sistema e tentará renegociar o túnel.
Nas configurações da VPN IPSEC temos 4 campos relacionados ao DPD (dentro da aba "Avançado").
![](https://forum.blockbit.com/assets/files/2024-02-15/1708011922-743038-avancado.png)
DPD Delay
Recomendável manter o padrão de 30 segundos
![](https://forum.blockbit.com/assets/files/2024-02-15/1708008118-617657-delay.png)
DPD timeout
Recomendável manter o padrão de 120 segundos
![](https://forum.blockbit.com/assets/files/2024-02-15/1708008157-854269-timeout.png)
DPD Action
Ação que o DPD irá realizar quando ele identificar que o Peer Remoto não está mais respondendo aos pacotes de keep alive.
Recomendável que no Concentrador esteja selecionado como "Clear", e na filial esteja como "Restart", que fará com que a filial tente reestabelecer o túnel quando ela detectar que esse perdeu a comunicação com o Peer Remoto.
Não recomendável deixar como "Restart" ou "Clear" em ambos os lados.
![](https://forum.blockbit.com/assets/files/2024-02-15/1708008233-683590-action.png)
DPD Close Action
Ação que o DPD irá realizar quando o Peer Remoto enviar uma solicitação de encerramento do túnel.
Recomendável que no Concentrador esteja selecionado como "None", e na filial esteja selecionado como "Start", que fará com que ele tente reestabelecer o túnel quando o Peer Remoto enviar a solicitação de encerramento de túnel.
Não recomendável deixar como "Start" ou "None" em ambos os lados.
![](https://forum.blockbit.com/assets/files/2024-02-15/1708008195-130957-close.png)
Resumo das Configurações Recomendadas
Concentrador
Inicialização do Túnel
Aguardar
DPD Close Action
None
DPD Action
Clear
Filiais
Inicialização do Túnel
Automática
DPD Close Action
Start(Padrão)
DPD Action
Restart