Принтер перестает отвечать на пинг через 3 минуты с удаленной стороны IPSEC. Продолжает работать с локальной стороны.

Содержание

Вопрос или проблема
Ответ или решение
Проблема с потерей соединения принтера через IPSEC
Факторы, влияющие на проблему
Способы устранения проблемы
Заключение

Вопрос или проблема

У меня есть очень странная проблема, с которой я столкнулся дважды. Она заставляет меня щурить глаза.

У нас есть два сайта: один управляет нашей серверной инфраструктурой, а другой размещает конечных пользователей. Между StrongSWAN и Cisco ASA (v. 9.8.1) установлен IPSEC-туннель. Связь осуществляется по 100Mbps AT&T Fiber и Blanded Colo Bandwidth.

Все устройства и службы работают хорошо, и мы не теряем пинги от почти всего оборудования. Пингование точек доступа и тонких клиентов работает хорошо.

Один принтер, HP 401N LaserJet Printer, пингует в течение 3 минут (185 – 205 пингов), а затем останавливается (пинг со стороны удалённого подключения). Локально пингование и службы продолжают работать. Все службы становятся недоступными со стороны удалённой сети. Единственный способ восстановить связь — изменить настройки сети (мы меняем шлюз на .2, затем обратно на .1), или перезагрузить принтер.

Странная часть в том, что только удалённая сторона теряет связь, и это происходит только через несколько минут.

Сложная проблема возникала несколько месяцев назад, но это был принтер другой марки/модели, ему было более десяти лет, и мы пришли к выводу, что он слишком стар для диагностики, и заменили его. У нас есть другие принтеры, которые работают отлично. Пострадал только этот принтер.

Мы пробовали отключить IPv6, выключить все ACL на административной странице принтера и поддерживать постоянный пинг (как с локальной, так и с удалённой стороны). 3 минуты не соответствуют таймеру повторной аутентификации туннеля или чему-либо другому, что мы можем придумать.

У меня было то же самое. Это действительно раздражало, пока я не нашел ответ. На ваших коммутаторах сети установите шлюз по умолчанию. Это 0.0.0.0 и маска подсети 0.0.0.0. Следующий хоп — это IP-адрес вашего локального файрвола.

Почему они работают несколько минут, прежде чем выходят оффлайн, я все еще не знаю. Но это решение заставит их работать постоянно.

Ответ или решение

Проблема с потерей соединения принтера через IPSEC

Ваша проблема с неработающим принтером HP 401N LasetJet, который теряет соединение через IPSEC-туннель после трех минут, является достаточно интересной и может быть связана с несколькими факторами на уровне сетевой конфигурации. Рассмотрим основные аспекты, которые могут иметь отношение к этому инциденту и проследуем по логическому пути к возможному решению.

Факторы, влияющие на проблему

Конфигурация IPSEC: Сначала убедитесь, что настройки IPSEC на StrongSWAN и Cisco ASA соответствуют друг другу. Иногда параметры шифрования или аутентификации могут не согласовываться, что может вызывать нестабильность соединения.
Тайм-ауты на принтере: Некоторые сетевые устройства имеют встроенные таймеры, которые могут отключать соединение, если не происходит обмена данными в течение определенного времени. Проверьте, нет ли параметра управления энергосбережением на принтере, который может отключать сетевой интерфейс.
Проблемы с ARP-кешем: Поскольку проблема возникает только со стороны удаленного доступа, стоит проверить ARP-кеш на маршрутизаторах и свичах. Возможные конфликты или устаревшие записи могут препятствовать корректному получение и отправлению пакетов.
Управление шлюзами: В вашем случае вы упоминаете, что изменение сетевых настроек на принтере (смена шлюза) помогает возобновить связь. Это может указывать на проблемы с маршрутизацией или управлением маршрутом к принтеру. Убедитесь, что в вашей сети корректно настроен шлюз по умолчанию на всех устройствах.
Настройки коммутаторов: Как было упомянуто в вашем сообщении, настройка шлюза по умолчанию на коммутаторах может оказаться критическим фактором. Установив шлюз по умолчанию как 0.0.0.0 с маской подсети 0.0.0.0 и указав IP-адрес вашего локального фаервола, вы можете создать более стабильные условия для маршрутизации пакетов к принтеру.

Способы устранения проблемы

Проверка конфигурации IPSEC: Ознакомьтесь с логами StrongSWAN и Cisco ASA, чтобы выявить возможные ошибки или сообщения, касающиеся подключения к принтеру.
Настройка принтера: Убедитесь, что все последние обновления прошивки установлены на принтере. Иногда обновления содержат исправления для сетевых проблем.
Проверка сетевого оборудования: Проверьте все коммутаторы и маршрутизаторы, соединенные между удаленным и локальным сетевыми сегментами. Убедитесь, что все сетевые устройства правильно настроены на обработку IPSEC-трафика и не имеют ограничений по размеру MTU, что также может повлиять на передачу пакетов.
Мониторинг трафика: Используйте инструменты для мониторинга сетевого трафика, такие как Wireshark, чтобы проанализировать, что именно происходит с пакетами после трех минут. Это может дать вам подсказку о том, где именно блокируются или теряются данные.
Альтернативные протоколы: Если проблема не будет решена, можно рассмотреть возможность использования альтернативных протоколов для доступа к принтеру, например, путём использования VPN другого уровня.

Заключение

Решение проблемы с соединением принтера через IPSEC требует всестороннего подхода к диагностики сетевой инфраструктуры. Операции на уровне настройки маршрутизации и взаимодействия сети, такие как управление шлюзами и арп-кешем, являются ключевыми. Следуйте данным рекомендациям, они помогут вам устранить проблемы с потерей соединения и восстановить стабильный доступ к принтеру с удаленной стороны.