IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с

Konstanti

@arkan1973

Здр
Сделайте время жизни фазы-2 со стороны Cisco чуть меньше чем на PF (минут на 10 ). Пусть Cisco будет инициатором обновления ключей фазы-2.

Если не поможет , попробуйте сделать наоборот .

werter

@arkan1973

Только увидел, что у вас пф 2.3 ((
Обновляйтесь. Там СТОЛЬКО исправили багов по Ipsec etc.
Иначе будете биться об стену, пытаясь понять, почему оно не работает.

Зы. Есть немного по циске + пф + ипсек https://administrator.de/forum/zwischen-miktrotik-und-pfsense-gre-tunnel-mit-ipsec-verschluesslung-397059.html

arkan1973

Спасибо за предложения, попробую заменить время, потом буду видимо обновляться.

werter

@arkan1973
бэкап кофигов не забудьте перед обновлением и версию текущую скачать на всякий.

Если версия пф x86, то обновиться до х64 не получится (
Можно попробовать поставить свежий пф и подкинуть конфиги от старого.
На виртбоксе потренироваться сперва.

pigbrother

@werter said in IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с:

Можно попробовать поставить свежий пф и подкинуть конфиги от старого.

Поднимал 2.3.x x64 с конфигом от 2.2.х x86.
Прямой апгрейд с 2.3 до 2.5 может оказаться проблематичным.
Стоит почитать:
https://docs.netgate.com/pfsense/en/latest/install/upgrade-guide-versions.html#upgrading-from-versions-older-than-pfsense-2-4-0
Если понадобятся промежуточные версии, их можно взять тут:
http://mirror.transip.net/pfsense/downloads/
http://linorg.usp.br/pfsense/downloads/

Fanki4

@arkan1973
Добрый день,

Аналогичная проблема с pF 2.5.2 и SonicWall. Каждые 3600 просто дропает туннель. Справился тем что поменял шифрование.

werter

Может чего в оф доке найдется:
https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec.html
https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec-duplicate-sa.html

arkan1973

Обновил до 2.5.2. Точнее не обновил, а поднял рядом еще одну виртуальную машину установил на ней pf 2.5.2 и подгрузил XML с предыдущей. Погасил исходную, а на новой виртуально подключил сетевые интерфейсы к виртуальным-же коммутаторам. Все ожило кроме тоннеля с киской.
Полчаса танцев с бубнами, ковыряние конфигураций и пр. Безрезультатно... Ребутнул киску - тоннель ожил (надо было сразу сделать.... Но ведь cisco-же))).

Послезавтра буду ковырять на предмет существа вопроса.
По факту доложу. Спасибо за поддержку!

pigbrother

@arkan1973 said in IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с:

установил на ней pf 2.5.2 и подгрузил XML с предыдущей

2.5.2 поднялся с конфигом от 2.3. Здорово.

arkan1973

Здравствуйте!
Ну похоже что победил. Во всяком случае канал стоит почти сутки без обрывов. Достоверно сказать не берусь, т.к. пересоздание Фазы 1 не отловил, но за ее время жизни - 28800 секунд обрывов не было точно. Собственно все свелось к пересозданию профилей с другим шифрованием, как собственно здесь советовали. Всем спасибо.

Настройки на картинке: