Este artigo tem como finalidade informar algumas boas práticas de configurações dos recursos de “DPD” e “Inicialização do Túnel” da VPN IPSEC, para que o serviço tenha uma melhor eficiência, principalmente quando temos alguma topologia que contenha um Blockbit NGFW como Concentrador de VPN conectados a várias filiais, gerando diversos túneis no sistema.
Modo de Inicialização do Túnel
Nas configurações do túnel VPN IPSEC, temos o campo chamado “Inicialização do Túnel"(dentro da aba "Gerais"). Esse parâmetro nos indica a ação que será tomada em determinado túnel assim que o serviço da VPN for iniciado ou quando um determinado túnel for ativado.
A recomendação é que em uma das pontas ele esteja configurado como “Automática”, para que ele possa iniciar a conexão e estabelecer o túnel.
Já na outra ponta a recomendação é que esteja configurado como “Aguardar”, para que ele suba as configurações no sistema e esteja pronto a estabelecer o túnel assim que receber a requisição da ponta remota, que estará configurada em “Automática”.
Caso ambos os lados tenham IP fixo para o estabelecimento da VPN, não existe uma recomendação técnica de qual lado deverá ficar como “Aguardar” e qual lado deverá ficar como “Automática”. Porém, normalmente deixamos o lado do concentrador como “Aguardar”, visto que na maioria dos casos teremos túneis com IP’s dinâmicos do lado de algumas filias, e dessa forma padronizaríamos as configurações, deixando que o concentrador receba as solicitações de estabelecimento de túnel.
Já caso um dos lados esteja utilizando IP dinâmico, este lado deverá ser configurado como “Automática” e o lado que tenha IP fixo deverá ser configurado como “Aguardar”. A ideia é que o lado dinâmico sempre inicialize a conexão.
DPD (Dead Peer Detection)
Esse recurso é utilizado para monitoramento do túnel, onde ele é o responsável pelas tarefas de keep alive, assim como estabelecimento/reestabelecimento de cada túnel.
O próprio tráfego entre as redes estabelecidas dentro da fase 2 do túnel já é utilizado para validar que aquele determinado túnel está online. Porém caso ele pare de receber esse tráfego, o DPD mandará pacotes para a ponta remota de tempos em tempos, para validar se o túnel ainda está no ar. Caso ele não receba nenhuma resposta, após exceder o tempo de time out da conexão, ele deletará as políticas do sistema e tentará renegociar o túnel.
Nas configurações da VPN IPSEC temos 4 campos relacionados ao DPD (dentro da aba "Avançado").
DPD Delay
Recomendável manter o padrão de 30 segundos
DPD timeout
Recomendável manter o padrão de 120 segundos
DPD Action
Ação que o DPD irá realizar quando ele identificar que o Peer Remoto não está mais respondendo aos pacotes de keep alive.
Recomendável que no Concentrador esteja selecionado como "Clear", e na filial esteja como "Restart", que fará com que a filial tente reestabelecer o túnel quando ela detectar que esse perdeu a comunicação com o Peer Remoto.
Não recomendável deixar como "Restart" ou "Clear" em ambos os lados.
DPD Close Action
Ação que o DPD irá realizar quando o Peer Remoto enviar uma solicitação de encerramento do túnel.
Recomendável que no Concentrador esteja selecionado como "None", e na filial esteja selecionado como "Start", que fará com que ele tente reestabelecer o túnel quando o Peer Remoto enviar a solicitação de encerramento de túnel.
Não recomendável deixar como "Start" ou "None" em ambos os lados.
Resumo das Configurações Recomendadas
Concentrador
Inicialização do Túnel
Aguardar
DPD Close Action
None
DPD Action
Clear
Filiais
Inicialização do Túnel
Automática
DPD Close Action
Start(Padrão)
DPD Action
Restart
