pfsense 2.0.2 racoon(ipsec vpn) ненадежный

Question

pfsense 2.0.2 racoon(ipsec vpn) ненадежный

У меня проблемы с racoon (ipsec VPN) на pFSense 2.0.2 (и 2.0.1). По словам енота, все мои туннели запущены (у меня их около 130), но со временем все больше и больше из них не будут пропускать трафик. Если я перезапущу енота, туннели снова начнут работать на некоторое время.

Загрузка ЦП практически отсутствует, используется только около 20% ОЗУ (до или после перезапуска racoon).

Во всех местах я делаю DPD, согласно PF туннели работают.

Только сейчас Нагиос показывал, что у меня 54 места, перезапущен енот, и все возвращается на круги своя.

- Изменить - Также я должен отметить, что в настоящее время у нас pF 1.2.3 работает без каких-либо проблем, но у меня есть одна и та же проблема между двумя блоками PF (1.2.3 <-> 2.0.2), вероятно, движется в овпн за это.

-- Редактировать --

Также заметил сегодня, что он когда-либо падает до 50-60 тоннелей в течение нескольких часов, и не более.

- Изменить - Из журналов, которые я обнаружил, когда проверял мертвое местоположение: ОШИБКА: не могу запустить быстрый режим, нет ISAKMP-SA

- Правка - я нахожу, что, если я войду в устройство на удаленной сети и пингую сеть pF, будет создан новый Phase2, и туннель снова заработает. Это должно быть открытие туннеля, когда я пингую в другом направлении, но это просто не так.

-- Редактировать --

В моем случае модемы, к которым мы подключаемся, имеют параметр "поддерживать туннель живым" (не DPD), что, похоже, решает эту проблему, возникающую у pF. Похоже, что pF не будет согласовывать фазу 2 при запросе, что крайне любопытно. У меня есть проверки Nagios каждые пару минут, пытаясь пройти через туннель, что должно заставить pF сделать новый P2 (или P1+P2, если требуется), когда время жизни истечет, но это просто не так. Согласно странице состояния IPsec pF, туннель все еще жив (вероятно, потому что P1 все еще действителен), когда это совершенно очевидно, нет.

4

vpn ipsec pfsense racoon

Источник

cpuguy83 14 янв '13 в 14:22

4 ответа

Другие вопросы по тегам vpn ipsec pfsense racoon

Matt 29 авг '13 в 22:41 2013-08-29 22:41 · Answer 1 · 2013-08-29 22:41

Для тех, кто ищет разрешение, попробуйте эту ссылку:

http://forum.pfsense.org/index.php?topic=44895.0

"Чтобы решить эту проблему, отключите NAT-T (когда pfsense содержит общедоступный IP-адрес). Если это по-прежнему не помогает отключить DPD и установить" Режим согласования "на первом этапе в основной"

Sc0rian 14 янв '13 в 16:46 2013-01-14 16:46 · Answer 2 · 2013-01-14 16:46

Вероятно, из-за небольших сбоев в подключении к Интернету ассоциации безопасности не синхронизируются. В следующий раз, когда это произойдет, взгляните на "status > ipsec > sad". Начните пинговать другой хост, если время ожидания истекло, и их больше 2 (по одному на каждую сторону), затем попробуйте удалить мертвые SAD "data" и посмотрите, начнется ли ваш пинг снова. Это было очень распространено для меня с ipsec.

Также взгляните на журналы pfsense ipsec. IPSec регистрирует все, и если вы хотите обновить его здесь, и мы можем попытаться помочь. Вы также можете включить отладку енота.

В качестве долгосрочного решения в настоящее время я использую openvpn, встроенный в pfsense, я бы порекомендовал установить его вместе с ipsec и перейти к нему.

Chris Buechler 16 янв '13 в 02:32 2013-01-16 02:32 · Answer 3 · 2013-01-16 02:32

Может быть, предпочитаете старые SA там, где их не должно быть? Система> Дополнительно, Разное, "Предпочитать старые SA IPsec", снимите этот флажок, если он установлен.

0

Источник

Chris Buechler 16 янв '13 в 02:32

user155809 24 янв '13 в 03:36 2013-01-24 03:36 · Answer 4 · 2013-01-24 03:36

Та же проблема в нашей сети...

У меня есть pfSense V2.0.1, который соединяет головной офис (A) через IPsec VPN с 7 филиалами (B1, B2, B3, B4, B5, B6, B7). Во всех филиалах у меня установлен маршрутизатор Cisco WRVS4400N с последней прошивкой (V2.0.2.1).

У меня везде статические IP-адреса WAN, и все маршрутизаторы Cisco имеют одинаковую конфигурацию... единственными отличиями являются IP-адреса WAN/LAN/WiFi и пароль WiFi.

Я использую два провайдера:

Колокол -> B1, B2, B3, B4, B5 и B6
ВИДЕОТРОН -> А и В7

Все подключения к Интернету осуществляются через модем, настроенный в режиме моста, и модель для BELL одинакова во всех шести филиалах.

Вот как работает IPsec:

VPN между A и B1-B5 стабильна с обоих концов. Никаких проблем.

VPN между A и B6 стабильна только со стороны pfSense. Туннель постоянно отображается с обеих сторон, и если я выполняю эхо-запрос из сети A на ПК в сети B6 (LAN IP), у меня есть доступ. К сожалению, соединение от B6 к A не работает менее чем через минуту, когда на обеих сторонах активна активность (туннель по-прежнему отображается с обеих сторон), и он не работает, пока я не выполню команду ping с A на B6... At в этот момент у меня снова есть доступ с обеих сторон... Мы решили поменять местами два маршрутизатора Cisco (B5 с B6) и обнаружили, что проблема остается в филиале!?! Мы попросили BELL расследовать проблему, но нам сказали, что с их оборудованием все в порядке. BELL согласился заменить модем, но, к сожалению, это ничего не изменило... Единственное решение для нас на данный момент - это постоянный пинг из сети A в сеть B6.

VPN между A и B7 (тот же ISP - VIDEORTON) стабильна только со стороны ветви (B7). Туннель постоянно отображается на маршрутизаторе B7, и у B7 нет проблем с подключением к сети A. В pfSense я вижу, как туннель идет вниз каждые 1 час (это из-за времени жизни Фазы 2), а затем он не может быть восстановлен. В этот момент туннель может быть восстановлен только со стороны B7 (ping на ПК в сети A). На данный момент мы решили запустить постоянный пинг из сети B7 в сеть A.

ПРИМЕЧАНИЕ. Несколько дней назад я обновил pfSense до V2.0.2, но это ничего не изменило.

Я считаю, что проблема в оборудовании интернет-провайдеров, но, исходя из моего опыта работы с поддержкой первого и второго уровня, это невозможно доказать.

С уважением и удачи.