VPN 监控： 站点到站点隧道和客户端 VPN 应用

VPN监控是对虚拟专用网络隧道及依赖其运行的应用程序进行持续的合成测试。它按计划回答三个问题：隧道是否在线？速度是否足够？用户和位置是否能够访问后端服务？现代VPN监控结合了ICMP和TCP探针以检测隧道可达性，防火墙和VPN集中器指标的SNMP轮询，以及针对内部应用的HTTPS / 浏览器级检查——所有操作均由网络内部的私有代理执行，或者由分布式监控位置从公共互联网上执行。

因为VPN几乎总是远程办公、分支连接和混合云流量的关键路径，并且它们会悄无声息地失败。站点到站点的隧道在防火墙界面上可能显示“在线”，但实际上丢包、频繁重钥匙或通过质量较差的ISP路由。客户端VPN可以成功验证用户身份，但其背后的内网应用返回500错误。没有专门的VPN监控，这些故障只能在用户投诉后才被发现。持续的合成VPN监控能够在几秒钟内发现隧道掉线、延迟恶化、证书过期、分裂视野DNS漂移和内部应用中断——在问题成为支持工单或SLA违规之前。

通过在隧道两侧各放置一个监控探针，或者至少在一侧放置探针并在另一侧放置已知测试目标，运行端到端的定时检查。使用Dotcom-Monitor：(1) 在网络内部安装一个私有代理（Windows或Linux，大约5分钟），(2) 创建用于ICMP ping、TCP端口检查和跨隧道Traceroute的ServerView任务，(3) 对内部应用添加HTTPS或BrowserView任务以验证端到端可用性，(4) 可选地添加针对VPN集中器的MetricsView SNMP轮询，获取隧道计数器和吞吐量。结果通过单一出站HTTPS连接返回，不需要入站防火墙规则。

结合四层监控：可达性（每60秒对远端局域网的稳定主机进行ICMP ping），路径验证（Traceroute确认路径经过隧道而非备用互联网路径），服务检查（对远程子网的真实服务进行TCP端口或HTTPS探针），以及设备遥测（对VPN网关进行SNMP轮询，获取隧道状态、收发包数、CPU和会话数）。对硬故障和趋势阈值进行告警——隧道延迟在24小时内翻倍与断线同样重要。Dotcom-Monitor通过一个代理、一个界面和一套告警提供所有四个层面的监控。

与实际用户影响相关的指标包括：隧道上下线状态，往返延迟（毫秒），抖动（延迟变化），丢包百分比，隧道重钥匙频率，吞吐量进出，活跃会话数，内部应用的HTTPS响应时间，内部证书的TLS证书到期天数，以及内部解析器的DNS解析时间。Dotcom-Monitor通过ServerView（可达性）、MetricsView（SNMP）和BrowserView（应用级）原生捕获所有这些指标。

Dotcom-Monitor的定价基于监控目标数量和检查频率，而非VPN隧道数量、私有代理数量或监控位置数量。所有付费套餐均支持无限私有代理，因此你可以为每个站点、VPC或云区域部署一个私有代理，无需额外费用。提供无信用卡的30天全功能免费试用，让你在承诺前端到端监控真实隧道和内部应用。要获得与隧道和应用清单对应的精确报价，请请求演示。

你可以实现部分覆盖，但无法达到端到端覆盖。SNMP告诉你认为的情况（隧道在线、会话活跃、传输字节数）——这虽有价值，但当设备健康而数据包在下游被黑洞时容易误导。Nagios及其他自托管工具可以运行ICMP和HTTP检查，但需要你自己构建、托管、维护和扩展监控基础设施，且很少包含浏览器级或多步骤事务测试。Dotcom-Monitor结合了SNMP、ICMP、TCP、HTTPS和真实浏览器检查，在一个SaaS平台上，拥有30多个外部监控位置及无限私有代理，既能看到网关报告，也能看到用户实际体验。

私有代理是运行在可信网络内的轻量级Windows或Linux服务。它通过单一出站HTTPS连接接收Dotcom-Monitor平台的监控任务，在网络边界内执行，并将结果流式回传。只要目标无法从公共互联网访问——这涵盖大多数站点到站点VPN端点以及几乎所有客户端VPN保护的应用——你就需要部署私有代理。无需入站防火墙规则。

最可靠的方案是分别在隧道的两侧放置一个私有代理（或至少在一侧放置，同时远端有已知的测试IP），并配置ServerView任务：ICMP Ping到远端局域网、针对远端子网内服务的TCP端口检查、traceroute以确认路径穿越隧道，以及通过MetricsView对防火墙/VPN聚合器进行SNMP轮询。针对远端已知内部端点添加HTTPS检查，作为功能性的端到端测试。任何检查失败或延迟/丢包率超过基线时发出警报。

在客户端VPN路由进入的网络内部的某台主机上部署私有代理，或者在该主机上持有一个持续的客户端VPN会话（例如，运行OpenVPN或WireGuard客户端的Linux虚拟机）。该代理将像远程用户那样对内部应用执行HTTPS、BrowserView、UserView和ServerView任务——包括单点登录(SSO)、多重身份验证(MFA)、分裂视图DNS，以及内部SSL证书。

支持。Dotcom-Monitor对VPN技术无关——它监控的是隧道的结果，而非隧道的控制平面。它兼容IPsec（站点到站点、基于路由、基于策略）、GRE、DMVPN、带IPsec的MPLS、WireGuard、Tailscale及其他ZTNA覆盖网络、OpenVPN、Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet FortiClient，以及所有主流云VPN网关（AWS站点到站点、Azure VPN网关、Google云VPN）。

能——ServerView中的ICMP Ping任务报告每次检测的往返时间、抖动及丢包率。你还可以通过MetricsView使用SNMP直接从防火墙或VPN聚合器获取更高精度的指标（隧道会话数、吞吐量、CPU）。两者均可在仪表盘中可视化、告警，并通过XML报告服务导出到Grafana或Power BI。

Dotcom-Monitor可以处理这两者。在私有代理上运行的HTTPS监控会验证内部证书（CA颁发或自签，根证书安装在代理主机上），并就过期天数发出警报。DNS任务可以专门针对你的内部解析器，因此你能确认VPN侧内部主机名解析正确，且检测外部和内部解析结果的分裂视图漂移。

没有限制——所有付费计划均支持无限数量私有代理。可根据拓扑需求，在每个站点、数据中心、VPC或云区域部署一个。Dotcom-Monitor的定价基于你运行的监控数量，而非代理或地点数量。

大多数平台上最频繁可达60秒一次，ServerView隧道检测最紧凑为1分钟一次。高频监控让你能在不到一分钟内检测到隧道断线和性能退化。对于不那么关键的服务，你可以每5、15或30分钟执行一次检测，以节省配额。

每个设备可路由到一个或多个告警组。支持的渠道包括电子邮件、短信、语音电话、Slack、Microsoft Teams、PagerDuty、OpsGenie、ServiceNow、Jira，以及任意Webhooks。告警组支持值班轮换、升级策略、静默时间和过滤策略——因而半夜3点频繁抖动的隧道只会通知到适当人员，而非整个团队。

能。平台中所有对象——设备、任务、组、计划、告警、地点、私有代理——均可通过Dotcom-Monitor Web API管理。团队通常将其集成至Terraform、Pulumi、Jenkins、GitHub Actions、Azure DevOps和GitLab CI，以确保基于新建隧道或内部应用的基础设施自动部署相应监控。

公网正常运行时间检测只能看到公共互联网的情况。它们无法检测站点到站点隧道断线、内部网速度缓慢、内部证书过期或VPN保护应用中断的单点登录流程。Dotcom-Monitor独特地结合了公共互联网视角（全球30多个监控地点）和内部视角（无限私有代理），汇聚于单一平台、单一界面和单一报告流程中。

大多数客户从账号创建到首次告警不到一个小时。安装私有代理是标准的Windows服务或Linux软件包安装。监控配置可通过UI界面或REST API完成。平台完全是SaaS——无需搭建服务器、无需维护后端、无需管理许可证密钥。