iT邦幫忙

0

深圳的VPN連線品質問題

各位版上的前輩
想請教一個問題,現在公司在兩岸三地(台北、香港及深圳)都有辦公室
目前三個辦公室都有用FortiGate FW連接IPsec VPN
有一個報表網頁系統,主機和資料庫都在台北
使用者在台北和香港使用都沒有問題,但在深圳使用就會失敗
觀察了一下網路狀況,會在55ms~70ms上下,最大有197ms,5000次會有3次的loss
請問有什麼方式可以改善這樣的狀況,讓深圳地區也可以使用系統
謝謝

lard0921 iT邦新手 5 級 ‧ 2018-12-12 17:22:48 檢舉
連大陸來說 照你那些數值 感覺還算穩定阿.... 檢查失敗原因是甚麼 LOG檔看一下
0
stevekwok
iT邦新手 5 級 ‧ 2018-12-13 16:43:08
最佳解答

國家防火牆會block ipsec, 試試sslvpn吧

感謝stevekwok的分享,使用SSLVPN,系統網頁運行無誤

0
浩瀚星空
iT邦高手 1 級 ‧ 2018-12-12 17:48:37

這有時是你的電信業者的問題。
從你提供的ping記錄上,就那個地區而言。已經算很好了。

不過畢竟還是有掉包的情況。
但依照你的情況來看。其實我反而會比較偏向設備線路的問題。
但實際上還是得要現場查看情況才行。

0
bluegrass
iT邦研究生 3 級 ‧ 2018-12-13 08:48:20

轉做 AGGRESIVE MODE

NAT-T, KEEP ALIVE, DPD 都啟用一下

Prpposal 試試改成 DES MD5 , DH Group 能不用就不用

大陸想監控就讓他監控吧, 給他監控到了就穩定多了

原來如此,感謝各位前輩的建議,我來試試看
有結果再盡快回報,謝謝

0
zddewe
iT邦新手 5 級 ‧ 2018-12-13 22:49:43

大陆的我来回答你,哈哈哈,stevekwok 说的是对哒

感謝zddewe&stevekwok兩位朋友的建議,等等立馬測試

0
mytiny
iT邦大師 1 級 ‧ 2018-12-14 12:00:18

用Fortigate的SSL-VPN
記得通訊service port要用 443
防火牆的https管理服務要改service port
然後實測的頻寬應該不會大於5M
相關經驗供版大參考

vit5015 iT邦新手 4 級 ‧ 2018-12-14 15:55:22 檢舉

請問這樣做的目的是? 防止被人惡意測試是否有連線嗎?

感謝mytiny的分享,使用SSLVPN,系統網頁運行無誤

mytiny iT邦大師 1 級 ‧ 2018-12-14 23:13:04 檢舉

@vit5015大,不是
主要是防火牆網頁管理與SSL-VPN連線是同一個IP
必須要分成不同的service port使用
而對岸G/F必須要開放443 service port
不然現在幾乎什麼網頁都沒法用
因此將https的443對調給SSL-VPN用
當然,也是有其他的風險
比如頻寬會很小
或者常常使用某一目的IP後
會被鎖定而被封鎖

別癡心妄想通訊不被攔截
他們的科技很進步,幾乎所有加密都能被解開
如果解不開就會封鎖或截斷
所以bluegrass大說的也很對,想看就讓你看
或者是乖乖找當地ISP繳保護費最省事

我要發表回答

立即登入回答