Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с

    Scheduled Pinned Locked Moved Russian
    12 Posts 5 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter @arkan1973
      last edited by

      Добрый
      @arkan1973

      Версия пф?
      Что в логах пф в момент пропадания впн-линка?

      1 Reply Last reply Reply Quote 0
      • K
        Konstanti @arkan1973
        last edited by Konstanti

        @arkan1973

        Здр
        Сделайте время жизни фазы-2 со стороны Cisco чуть меньше чем на PF (минут на 10 ). Пусть Cisco будет инициатором обновления ключей фазы-2.

        Если не поможет , попробуйте сделать наоборот .

        1 Reply Last reply Reply Quote 0
        • werterW
          werter @arkan1973
          last edited by werter

          @arkan1973

          Только увидел, что у вас пф 2.3 ((
          Обновляйтесь. Там СТОЛЬКО исправили багов по Ipsec etc.
          Иначе будете биться об стену, пытаясь понять, почему оно не работает.

          Зы. Есть немного по циске + пф + ипсек https://administrator.de/forum/zwischen-miktrotik-und-pfsense-gre-tunnel-mit-ipsec-verschluesslung-397059.html

          1 Reply Last reply Reply Quote 0
          • A
            arkan1973
            last edited by

            Спасибо за предложения, попробую заменить время, потом буду видимо обновляться.

            werterW 1 Reply Last reply Reply Quote 0
            • werterW
              werter @arkan1973
              last edited by werter

              @arkan1973
              бэкап кофигов не забудьте перед обновлением и версию текущую скачать на всякий.

              Если версия пф x86, то обновиться до х64 не получится (
              Можно попробовать поставить свежий пф и подкинуть конфиги от старого.
              На виртбоксе потренироваться сперва.

              P 1 Reply Last reply Reply Quote 0
              • P
                pigbrother @werter
                last edited by

                @werter said in IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с:

                Можно попробовать поставить свежий пф и подкинуть конфиги от старого.

                Поднимал 2.3.x x64 с конфигом от 2.2.х x86.
                Прямой апгрейд с 2.3 до 2.5 может оказаться проблематичным.
                Стоит почитать:
                https://docs.netgate.com/pfsense/en/latest/install/upgrade-guide-versions.html#upgrading-from-versions-older-than-pfsense-2-4-0
                Если понадобятся промежуточные версии, их можно взять тут:
                http://mirror.transip.net/pfsense/downloads/
                http://linorg.usp.br/pfsense/downloads/

                1 Reply Last reply Reply Quote 1
                • F
                  Fanki4 @arkan1973
                  last edited by

                  @arkan1973
                  Добрый день,

                  Аналогичная проблема с pF 2.5.2 и SonicWall. Каждые 3600 просто дропает туннель. Справился тем что поменял шифрование.

                  1 Reply Last reply Reply Quote 1
                  • werterW
                    werter
                    last edited by werter

                    Может чего в оф доке найдется:
                    https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec.html
                    https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec-duplicate-sa.html

                    1 Reply Last reply Reply Quote 0
                    • A
                      arkan1973
                      last edited by

                      Обновил до 2.5.2. Точнее не обновил, а поднял рядом еще одну виртуальную машину установил на ней pf 2.5.2 и подгрузил XML с предыдущей. Погасил исходную, а на новой виртуально подключил сетевые интерфейсы к виртуальным-же коммутаторам. Все ожило кроме тоннеля с киской.
                      Полчаса танцев с бубнами, ковыряние конфигураций и пр. Безрезультатно... Ребутнул киску - тоннель ожил (надо было сразу сделать.... Но ведь cisco-же))).

                      Послезавтра буду ковырять на предмет существа вопроса.
                      По факту доложу. Спасибо за поддержку!

                      P 1 Reply Last reply Reply Quote 1
                      • P
                        pigbrother @arkan1973
                        last edited by

                        @arkan1973 said in IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с:

                        установил на ней pf 2.5.2 и подгрузил XML с предыдущей

                        2.5.2 поднялся с конфигом от 2.3. Здорово.

                        1 Reply Last reply Reply Quote 0
                        • A
                          arkan1973
                          last edited by

                          Здравствуйте!
                          Ну похоже что победил. Во всяком случае канал стоит почти сутки без обрывов. Достоверно сказать не берусь, т.к. пересоздание Фазы 1 не отловил, но за ее время жизни - 28800 секунд обрывов не было точно. Собственно все свелось к пересозданию профилей с другим шифрованием, как собственно здесь советовали. Всем спасибо.

                          Настройки на картинке:

                          Без имени-100.jpg

                          1 Reply Last reply Reply Quote 2
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.