IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с

arkan1973

Здравствуйте

Связаны две сети (основной офис - PF, cisco на практически безлюдном объекте).
IP с двух сторон статические.

Cisco выбрана подрядчиком при строительстве, тут мы не влияли на выбор.

Настройки по умолчанию
LifeTime Phase1 = 28800
LifeTime Phase2 = 3600

На киске аналогично.

Линк поднимается сразу и без проблем, сетевые устройства доступны в обе стороны.
Есть одно но: по истечении 3600 секунд (LifeTime Phase2) собственно на PfSense исчезает вкладка Show child SA entries и более фаза 2 не отрабатывается. На стороне киски соединение выглядит как установленное как собственно и на PfSense. На киске выставлял и keep Alive и DPD включал, однако безрезультатно. Можно конечно lifetime подогнать поближе, но как-то не по правилам это...
Помогите идеями пожалуйста.

werter

Добрый
@arkan1973

Версия пф?
Что в логах пф в момент пропадания впн-линка?

Konstanti

@arkan1973

Здр
Сделайте время жизни фазы-2 со стороны Cisco чуть меньше чем на PF (минут на 10 ). Пусть Cisco будет инициатором обновления ключей фазы-2.

Если не поможет , попробуйте сделать наоборот .

werter

@arkan1973

Только увидел, что у вас пф 2.3 ((
Обновляйтесь. Там СТОЛЬКО исправили багов по Ipsec etc.
Иначе будете биться об стену, пытаясь понять, почему оно не работает.

Зы. Есть немного по циске + пф + ипсек https://administrator.de/forum/zwischen-miktrotik-und-pfsense-gre-tunnel-mit-ipsec-verschluesslung-397059.html

arkan1973

Спасибо за предложения, попробую заменить время, потом буду видимо обновляться.

werter

@arkan1973
бэкап кофигов не забудьте перед обновлением и версию текущую скачать на всякий.

Если версия пф x86, то обновиться до х64 не получится (
Можно попробовать поставить свежий пф и подкинуть конфиги от старого.
На виртбоксе потренироваться сперва.

pigbrother

@werter said in IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с:

Можно попробовать поставить свежий пф и подкинуть конфиги от старого.

Поднимал 2.3.x x64 с конфигом от 2.2.х x86.
Прямой апгрейд с 2.3 до 2.5 может оказаться проблематичным.
Стоит почитать:
https://docs.netgate.com/pfsense/en/latest/install/upgrade-guide-versions.html#upgrading-from-versions-older-than-pfsense-2-4-0
Если понадобятся промежуточные версии, их можно взять тут:
http://mirror.transip.net/pfsense/downloads/
http://linorg.usp.br/pfsense/downloads/

Fanki4

@arkan1973
Добрый день,

Аналогичная проблема с pF 2.5.2 и SonicWall. Каждые 3600 просто дропает туннель. Справился тем что поменял шифрование.

werter

Может чего в оф доке найдется:
https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec.html
https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec-duplicate-sa.html

arkan1973

Обновил до 2.5.2. Точнее не обновил, а поднял рядом еще одну виртуальную машину установил на ней pf 2.5.2 и подгрузил XML с предыдущей. Погасил исходную, а на новой виртуально подключил сетевые интерфейсы к виртуальным-же коммутаторам. Все ожило кроме тоннеля с киской.
Полчаса танцев с бубнами, ковыряние конфигураций и пр. Безрезультатно... Ребутнул киску - тоннель ожил (надо было сразу сделать.... Но ведь cisco-же))).

Послезавтра буду ковырять на предмет существа вопроса.
По факту доложу. Спасибо за поддержку!

pigbrother

@arkan1973 said in IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с:

установил на ней pf 2.5.2 и подгрузил XML с предыдущей

2.5.2 поднялся с конфигом от 2.3. Здорово.

arkan1973

Здравствуйте!
Ну похоже что победил. Во всяком случае канал стоит почти сутки без обрывов. Достоверно сказать не берусь, т.к. пересоздание Фазы 1 не отловил, но за ее время жизни - 28800 секунд обрывов не было точно. Собственно все свелось к пересозданию профилей с другим шифрованием, как собственно здесь советовали. Всем спасибо.

Настройки на картинке: