Вопрос или проблема
Ищу советы, какие параметры изменить/проверить и/или что сделать, чтобы более тщательно диагностировать эту проблему, так как я не являюсь экспертом в сетях, и есть сотни настроек на роутерах и т.д.
Я настроил VPN IPSec туннель DrayTek Lan-to-Lan между 2 сайтами, в основном для управления безопасностью на удаленном сайте (видеонаблюдение / сигнализация / ворота и т.д.).
Всё в основном работает нормально. С локального сайта (192.168.1.X) я вижу все устройства на удаленном сайте (172.19.0.X), я могу подключаться к веб-интерфейсам устройств, стримить видеопотоки с камер, управлять устройствами и т.д.
Однако одно, что не работает, это удаленное обновление прошивки устройств. Например, обновление прошивки камеры, которое включает загрузку 75 МБ, всегда просто не удается.
Если я открою порт на роутере, я могу удаленно обновить камеру через интернет, используя тот же файл прошивки, так что я знаю, что с этой стороны всё в порядке. Это просто не работает через IPSec туннель, и я хотел бы это исправить.
ЛОКАЛЬНЫЙ САЙТ:
WAN: Оптоволоконный интернет
DrayTek Vigor2926
DrayTek Lan to Lan принимает входящие подключения:
IPSec туннель (IKEv1/IKEv2)
Предварительно заданный ключ / Средний (AH) AES
УДАЛЕННЫЙ САЙТ:
WAN: 3G/4G LTE Модем
DrayTek Vigor2865
DrayTek Lan to Lan выход:
IPSec туннель IKEv2
Предварительно заданный ключ / Автошифрование Предложения
Настройки IKE Фаза 2: ESP (Высокий) AES256
Предложение аутентификации: Все
ИЗМЕНЕНИЕ 1 – Настройки MTU на роутерах:
WAN локального сайта в Доступ в интернет -> Статика или динамический IP установлен на 1500. WAN удаленного сайта в Доступ в интернет -> 3G/4G/5G Модем (DHCP режим) установлен на 1500 (по умолчанию согласно тексту там).
ИЗМЕНЕНИЕ 2 – Значение MTU из теста ping:
Я нашел скрипт теста ping здесь, который я использовал, чтобы найти максимальный размер MTU следующим образом:
- С локального сайта на удаленный сайт через VPN:
1500 - С локального сайта на удаленный сайт через WAN:
1226 - С моего дома на локальный сайт через WAN:
1226 - С моего дома на удаленный сайт через WAN:
1226
Ответ или решение
Для решения проблемы с неудачными загрузками через IPSec туннель DrayTek следует рассмотреть несколько ключевых аспектов конфигурации и провести диагностику сети. По вашему описанию, туннель работает, позволяет видеть удаленные устройства и управлять ими, однако возникают проблемы с загрузкой больших файлов, таких как обновления прошивки камер. Вот шаги для диагностики и возможные решения:
1. Проверка MTU (Maximum Transmission Unit)
Проблемы с передачей данных в VPN часто связаны с параметрами MTU. Вы упомянули, что MTU на обоих маршрутизаторах установлен на 1500, что является стандартным значением. Однако стоит проверить, не происходит ли фрагментация пакетов. Попробуйте установить MTU на обоих маршрутизаторах на 1400 или 1300 и проведите тесты загрузки вновь.
2. Проверка настроек IPSec
Убедитесь, что настройки IPSec совпадают на обоих маршрутизаторах. Важно, чтобы параметры шифрования и аутентификации были одинаковыми. Вы указали, что для удаленной стороны используется ESP (High) AES256. Проверьте, чтобы это значение соответствовало и на локальной стороне.
3. Настройки Firewall
Необходимо убедиться, что политик безопасности (firewall) на обоих маршрутизаторах не блокируют большие пакеты. Попробуйте временно отключить брандмауэр на обоих маршрутизаторах, чтобы проверить, решает ли это проблему. Если обновления прошивки проходят, когда брандмауэр отключен, то необходимо будет добавить соответствующие правила для разрешения нужного трафика.
4. Тестирование канала
Проведите тесты скорости и потерь пакетов через VPN. Это можно сделать с помощью утилит Ping и Traceroute. Высокая задержка или потеря пакетов может объяснить проблемы с загрузкой больших файлов. Если потери значительные, стоит подумать о том, как можно улучшить надежность соединения.
5. Настройки QoS (Quality of Service)
Если оба соединения используют разные типы подключения (оптоволокно и LTE), стоит рассмотреть настройку приоритетов QoS для трафика обновлений. Это может помочь гарантировать, что гигабайты данных, передаваемые во время прошивки, обрабатываются приориететно.
6. Логи и отладка
Всегда полезно проверить логи на маршрутизаторах для поиска каких-либо ошибок, связанных с IPSec или самим процессом передачи данных. Это может дать вам представление о том, где именно происходит сбой.
7. Обновление прошивок маршрутизаторов
Убедитесь, что на обоих маршрутизаторах установлены последние версии прошивок. Иногда производители выпускают исправления и улучшения, которые могут улучшить совместимость и работу VPN.
Заключение
После выполнения описанных шагов, если проблема все еще сохраняется, возможно, стоит рассмотреть диагностику на уровне устройства, с помощью которого вы пытаетесь выполнять загрузку. Возможно, стоит проверить наличие обновлений или настроек безопасности, которые могли бы влиять на загрузку через VPN. Надеюсь, данные рекомендации помогут вам успешно решить проблему с загрузкой прошивок через IPSec туннель.