У меня проблемы с racoon (ipsec VPN) на pFSense 2.0.2 (и 2.0.1). По словам racoon, все мои туннели готовы (у меня их около 130), но со временем все больше и больше из них не пропускают трафик. Если я перезапущу racoon, туннели снова начнут работать в течение некоторого времени.
Загрузка ЦП практически отсутствует, используется только около 20% оперативной памяти (до или после перезапуска racoon).
На всех площадках я делаю DPD, по словам PF, туннели готовы.
Только что Nagios показывал, что у меня 54 упавших локации, перезапущен racoon, и все возвращается.
- Изменить - Также я должен отметить, что в настоящее время у нас есть pF 1.2.3, на котором они работают без каких-либо проблем, но у меня такая же проблема между двумя блоками PF (1.2.3 <-> 2.0.2), вероятно, перемещается ovpn для этого.
-- Редактировать --
Также сегодня заметил, что он пропускает только до 50-60 туннелей за несколько часов, и не более.
- Изменить - Из журналов я нашел это при пинге мертвого местоположения: ОШИБКА: не удается запустить быстрый режим, нет ISAKMP-SA
- Изменить - я обнаружил, что если я вхожу в систему на устройстве в удаленной сети и проверяю связь с сетью pF, создается новая фаза 2, и туннель снова работает. Он должен открывать туннель, когда я пингую в другом направлении, но это просто не так.
-- Редактировать --
В моем случае модемы, к которым мы подключаемся, имеют настройку «поддерживать туннель в рабочем состоянии» (не DPD), что, кажется, позволяет обойти эту проблему, которую имеет pF. Похоже, что pF не будет согласовывать фазу 2 по запросу, что крайне любопытно. У меня проверки Nagios происходят каждые пару минут, пытаясь пройти через туннель, что должно привести к тому, что pF выполнит новый P2 (или P1 + P2, если требуется) после истечения срока службы, но это просто не так. Согласно странице состояния IPsec pF, туннель все еще жив (вероятно, потому что P1 все еще действителен), хотя совершенно очевидно, что это не так.
Для тех, кто ищет разрешение, попробуйте эту ссылку:
«Чтобы решить эту проблему, отключите NAT-T (когда pfsense содержит общедоступный IP-адрес). Если это все еще не помогает, отключите DPD и установите для параметра« Режим согласования »на этапе 1 значение« основной »»
Вероятно, ассоциации безопасности рассинхронизировались из-за небольших сбоев в подключении к Интернету. В следующий раз, когда это произойдет, взгляните на "status> ipsec> sad". Начните пинговать другой хост, если время ожидания истекло и их больше двух (по одному для каждой стороны), затем попробуйте удалить мертвые «данные» SAD и посмотрите, начнутся ли ваши пинги снова. Это было очень распространено для меня с ipsec.
Также посмотрите логи pfsense ipsec. IPSec регистрирует все, и, если вы хотите, обновите его здесь, и мы можем попытаться помочь. Еще можно включить енота отладка.
В качестве долгосрочного решения я использую openvpn в настоящее время, который встроен в pfsense, я бы рекомендовал настроить его вместе с вашим ipsec и перейти к нему.
Такая же проблема в нашей сети ...
У меня есть pfSense V2.0.1, который соединяет головной офис (A) через IPsec VPN с 7 филиалами (B1, B2, B3, B4, B5, B6, B7). Во всех ветках у меня стоит маршрутизатор Cisco WRVS4400N с последней прошивкой (V2.0.2.1).
У меня везде статические IP-адреса WAN, и все маршрутизаторы Cisco имеют одинаковую конфигурацию ... Единственные отличия - IP-адреса WAN / LAN / WiFi и пароль WiFi.
Я использую двух интернет-провайдеров:
КОЛОКОЛЬЧИК -> B1, B2, B3, B4, B5 и B6
ВИДЕОТРОН -> А и В7
Все подключения к Интернету осуществляются через модем, настроенный в режиме моста, и модель BELL одинакова во всех шести филиалах.
Вот как работает IPsec:
VPN между A и B1-B5 стабильна с обоих концов. Вообще никаких проблем.
VPN между A и B6 стабильна только со стороны pfSense. Туннель постоянно появляется с обеих сторон, и если я делаю пинг из сети A на ПК в сети B6 (LAN IP), у меня есть доступ. К сожалению, соединение от B6 к A не работает менее чем через минуту, когда на обеих сторонах есть активность (обе стороны все еще показывают туннель как работающий), и оно остается выключенным, пока я не сделаю ping от A до B6 ... В этот момент у меня снова есть доступ с обеих сторон ... Мы решили поменять местами два маршрутизатора Cisco (B5 на B6) и обнаружили, что проблема остается в филиале!?! Мы попросили BELL исследовать проблему, но нам сказали, что с их оборудованием все в порядке. BELL согласился заменить модем, но, к сожалению, это ничего не изменило ... Единственное решение для нас на данный момент - постоянный пинг из сети A в сеть B6.
VPN между A и B7 (тот же ISP - VIDEORTON) стабилен только со стороны ветви (B7). Туннель постоянно отображается на маршрутизаторе B7, и у B7 нет проблем с подключением к сети A. На pfSense я вижу, что туннель отключается каждый 1 час (это из-за времени жизни фазы 2), а затем его невозможно восстановить. В этот момент туннель можно восстановить только со стороны B7 (эхо-запрос на ПК в сети A). На данный момент мы решили запустить постоянный пинг из сети B7 в сеть A.
ПРИМЕЧАНИЕ. Несколько дней назад я обновил pfSense до V2.0.2, но это ничего не изменило.
Я считаю, что проблема в оборудовании у интернет-провайдеров, но, исходя из моего опыта работы с поддержкой первого и второго уровня, доказать это невозможно.
С уважением и удачи.
Может быть, предпочитаете старые SA там, где их быть не должно? Система> Дополнительно, Разное, «Предпочитать старые IPsec SA», снимите этот флажок, если он установлен.