Кто-нибудь здесь смог указать стабильную конфигурацию для L2L VPN между устройством ASA и pfSense 2.0.1? Я использую наиболее удобные настройки на стороне ASA (DefaultL2LGroup
с множеством наборов преобразований и использованием PSK, чтобы устройство pfSense выполняло все задания сетей) и простейшими настройками на конце pfSense (настройки по умолчанию + DPD + NAT-T не включен. Срок службы P1 / P2 совпадает на обоих концах. P2 использует 3DES / SHA1, указанный в pfSense, и просто туннелирует сеть LAN в другую LAN. Нет конфликтов IP-адресации между сетями, сложной маршрутизации и т. Д. Это в значительной степени / 24 LAN в другую / 24 LAN, и он работает почти всегда. Однако туннель периодически опускается (возможно, 2-5 раз в день), и хотя это очень трудно предсказать, это происходит постоянно! Я выдергивал волосы, пытаясь достать чтобы прекратить падение, но пока мне не повезло. Я даже слышал от некоторых коллег, что в реализации Cisco IPSec есть что-то, что мешает pfSense и ASA работать нормально. Есть ли что-нибудь еще попробовать? Может ли кто-нибудь дать несколько анекдотических советов или хитрости по диагностике и / или ремонту выпавшего туннеля?
Вещи, которые я пробовал
DefaultL2LGroup
)Мы очень ценим любую помощь.
У меня была проблема, поведение которой практически идентично вашему. Я пытался выполнить резервное копирование за пределами площадки с помощью Veeam через VPN. Работа обычно выполнялась нормально где-то 2-6 часов, но в какой-то момент выходила из строя. Служба поддержки Veeam проверила журналы и указала, что это связано с плохим качеством сетевого подключения. Я посмотрел на межсетевой экран Cisco ASA, и он показал ошибки:
show int eth 0/0 | inc error
Внешний интерфейс ASA был настроен для автоматического согласования скорости и дуплекса и работал в полудуплексном режиме 100 Мбит. Я вручную установил для интерфейса полнодуплексный режим 100 Мбит, и с тех пор у меня не было проблем с удаленным резервным копированием.
Вот настройки, которые я использую в pfSense 2.0.1. Обратите внимание, что некоторые из них не были настройками по умолчанию, и мне пришлось проверить соответствие настроек Cisco ASA (особенно время жизни).
Фаза 1:
Authentication method: Mutual PSK
Negotiation mode: aggressive
My identifier: KeyID tag, DefaultL2LGroup
Peer identifier: Peer IP address
Policy Generation: Unique
Proposal Checking: Obey
Encryption algorithm: 3DES
Hash algorithm: MD5
DH key group: 2
Lifetime: 86400
NAT Traversal: Enable
Dead Peer Detection: disabled
Фаза 2:
Mode: Tunnel
Protocol: ESP
Encryption: 3DES
Hash: MD5
PFS key group: off
Lifetime: 28800