Your browser either does not support JavaScript or you have turned JavaScript off.

ZyWALL USG: VPN-Stabilität

KB-3348   |   Konfigurationsbeispiel   |   Erstellt am 23.05.2013   |   Letzte Aktualisierung: 14.09.2018

Mit jedem neuen Major Firmwareupdate der Zyxel USG Firewall-Serie wurden viele grundlegende Funktionen erneuert und erweitert. Trotz ausgiebiger Labor-Tests zeigte sich bei einigen Installationen eine Beeinträchtigung der Stabilität von IPSec- und L2TP-VPN-Verbindungen. Zyxel stellte für viele im Praxisumfeld festgestellten Probleme Patchs bereit, welche jeweils kumulativ im aktuellsten Datecode enthalten sind.


In vielen Fällen liegt die Ursache einer unzuverlässigen oder nicht funktionierenden VPN-Verbindung in der Konfiguration. Folgende Punkte helfen, die Einstellungen zu optimieren:
 

Configuration > VPN > IPSec VPN

  • Deaktivieren der Option "Use Policy Route to Control dynamic IPsec Rule". Dies Option ist seit FW 2.20 nicht mehr notwendig da die benötigten Routing-Einträge automatisch erstellt werden.
  • Die Aktivierung der Option "Ignore Don’t Fragment setting in IP header" erhöht die Übertragungstoleranz auf Strecken mit reduzierten Paketgrössen.
     

Configuration > VPN > IPSec VPN > VPN Gateway (alle VPN-Tunnel mit Ausnahme von L2TP)

  • Deaktivieren der "NAT-Traversal"-Option für alle Site-to-Site Tunnel. Diese Option wird nur bei Client-to-Site und auch bei L2TP benötigt.
  • Aktivieren der "Dead Peer Detection" verbessert den erneuten Tunnelaufbau nach Unterbruch von Internet-Verbindung.
     

Configuration > VPN > IPSec VPN > VPN Connection

  • Die Option "Nailed-Up" bei Site-to-Site Tunnel sollte nur auf einer Seite des Tunnels aktiv sein. Erfahrungsgemäss auf der Seite aktiviertem DynDNS oder der leistungsschwächeren Internet-Anbindung.
  • Bei VPN-Verbindungen via 3G/UMTS die MSS-Option von auto auf "1200" einstellen.
     

Bei Problemen mit der VPN/L2TP-Stabilität empfehlen wir den Update auf den aktuellsten Datecode um von den bekannten Verbesserungen zu profitieren. Den jeweils letzten von uns geprüften  Release finden Sie auf unserem FTP-Server.


Erstellen Sie vor einer Aktualisierung immer ein Backup Ihrer aktuellen Konfiguration!
 

Lassen sich VPN/L2TP-Verbinden weiter nicht zuverlässig aufbauen, hilf zur weiteren Analyse das Diagnostic-File der USG. Die Erstellung erfolgt über "Maintenance > Diagnostic > Collect > Collect Now". Die Erstellung der Datei dauert ca. 15 Minuten, welche dann über die Schaltfläche "Download" unter dem Dateinamen "diaginfo-jahrmonattag-tar.bz2" bereit steht.