Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSEC Limite de Pahse 2

    Español
    2
    5
    379
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jligal
      last edited by

      Buen dia a todos. Tengo un problema y talvez puedan orientarme un poco.

      Estoy usando:
      2.6.0-RELEASE (amd64)
      built on Mon Jan 31 19:57:53 UTC 2022
      FreeBSD 12.3-STABLE

      Todo funciona bien a excepcion de una S2S IPSEC.
      Tenemos configurada la phase1 con unas 20 phase2. La VPN levanta y solo establece 4 phases 2 concurrentes de las 20.
      Es decir, levanta la Phase2 ID13, ID16, ID19 e ID 8, cuando desde una maquina se intenta acceder a una ruta que no esta levantada, se reemplaza alguna de las Phase2 levantadas con la nueva Phase2 quedando por ejemplo: ID4, ID16, ID19 e ID 8. Reemplaza la ID13 por la ID4.

      No se si esto es normal o si la cantidad de phase2 concurrentes es un parametro que se puede configurar. Busque informacion pero no encontre nada.

      Muchas gracias de antemano.
      Jose.

      L 1 Reply Last reply Reply Quote 0
      • L
        lucasll @jligal
        last edited by

        @jligal
        Hola.
        ¿En los 2 extremos del túnel ipsec hay pfsense o sólo en uno de ellos?

        Revisar que no haya solapamiento entre las redes en fase 2.

        ¿Muestran alguna información relevante los logs de ipsec?

        J 1 Reply Last reply Reply Quote 0
        • J
          jligal @lucasll
          last edited by

          @lucasll Hola, Muchas gracias por tu respuesta.

          La configuracion es un pfsense de un lado y un Forti 500D del otro.

          Voy a revisar lo del solapamiento, pero no creo que sea el caso. Una de las pruebas que hice fue "recortar" las phase 2 hasta quedarme solo con 5 y hace lo mismo. Contecta 4 al mismo tiempo y cuando tiene que conectar la 5ta, desconecta alguna de las anteriores.

          Voy a ver si el fin de semana hago una instalacion de cero del pfsense como para descartar alguna cosa mas.

          Saludos!!!

          L 1 Reply Last reply Reply Quote 0
          • L
            lucasll @jligal
            last edited by

            @jligal
            Hola.
            A mí me ha pasado con Fortigate que no conseguí tener más de una fase 2 funcionando de forma estable.
            Al final lo "solucioné" poniendo sólo una fase 2. Esa fase puse un rango de red que cubría todas las fases 2 que quería, y luego limité por reglas. En mi caso me valió.

            L 1 Reply Last reply Reply Quote 0
            • L
              lucasll @lucasll
              last edited by lucasll

              Obtenido de: https://docs.strongswan.org/docs/6.0/support/faq.html

              Multiple subnets per SA
              Q: Can I tunnel several subnets in one CHILD_SA?

              A: If you use IKEv2, you can if the peers support it. Some do not (e.g. devices by Checkpoint, Cisco and Fortinet, refer to the Interoperability section for details). If you use IKEv1, you need to be a roadwarrior and use the UNITY extension. strongSwan implements it with the unity plugin.

              In any other case, you need to define a separate CHILD_SA per subnet pair.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post