別セグメントからのDNS参照が稀に出来なくなる

　先ほど伝え忘れましたが、サーバの運用形態として、どのくらいの伝送負荷がかかっているかも確認された方が良いかもしれません。　※WiresharkやTCP Monitor Plus等にて。 　基本的に、Yamahaを使ってきた実績で、データ通信上問題が出てきて、NEC系に乗換えしている事業所も多いです。 　NECで言うと、「UNIVERGE iX2105」を支所用として、「UNIVERGE iX2215」を本所用として、直接メインモードでのIPSEC-VPNを構築するとVPNスループット向上＋高速NATセッション切替等の運用向上を図れるかと存じます。　※その際にはNTTキャリアVPNの解約＋契約プロバイダへのグローバル固定IP契約になるかと存じます。VPNスループット（最大）1.3Gbpsといった公表数値もありますので・・・。 　 　

そうですか。やっぱり、Yamahaですか。 　そうすると、コンフィグデータ投入をお試しして欲しいのですが、双方「nat descriptor timer 1 600」、「nat descriptor timer 1 tcpfin 30」といったコマンド投入してみて頂けますでしょうか？　 　ショートパケット周りの利用は無いと聞きましたが、Skype等の利用もされていないといった認識で宜しいでしょうか？比較的こういったNATセッション等も含めた高速処理はYamahaは苦手としております。 　それと、VPN全拠点ですが、ファームウェアの更新はされていますでしょうか？出来ましたら、最新版適用にてお願いします。 　IPIP-VPN接続での接続コマンド内、「ipsec ike keepalive use 1 on heartbeat」といった、heartbeatでの死活監視でのキープアライブ不具合も多々ありますが、SA認証キーの確認周りのトラブルは考えなくても良いとの判断で良いですよね？ 　先ずは、「SRT100」の最大NATテーブル数が4,096ですので、すぐ飽和状態になる計算が成り立ちます。 　基本的にコマンド投入しなければ、初期値が1,000になっているかと存じますが、それをタイマー制限し、既存セッションの接続タイマーも制限する手法ですね。 　上記でもダメであれば、本拠点ルーターをNATセッション数が増強されているタイプに変更する方法でしょうか。「FWX120」であれば、最大30,000セッション迄可能です。（何時もの事ですが、Yamahaの場合、最大値の残り10％程度を切ると誤動作・リブート等多発するかと思いますが・・・）

　お尋ねの件ですが、本店・支店間利用VPNルーターの機種・型式により、VPNトンネル・認証等を含めたNATセッション周りにクセがあるルーターが御座います。 　VPNルーターはどちらのメーカー・型式でしょうか？機種により、NATセッション規定タイマーの設定を変更しませんと、安定しない場合があります。それと、IPSECキープアライブ接続も、 icmp-echo確認とした方が良いかと存じます。 　それと、同一回線上、ショートパケットを多段処理するようなソフトや仕組み等利用しておりませんか？ 　ショートパケットを多段処理すると、NATセッションを無制限に発生してしまう場合もありますが、そのショートパケット等のNATセッション制限や帯域制限等も考えないと、通常のインターネット接続はOKでも、IPSEC等も含めたNAT処理に不都合が出る場合もあります。特にYamaha系ルーターがが該当するのですが、比較的VPNスループットと最大NATセッション数が低価格の分削減されておりますので、注意点です。