Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Несколько вопросов по Site-To-Site IPSec

    Russian
    2
    4
    206
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tty1
      last edited by

      Здравствуйте, товарищи!
      Настраиваю Site-To-Site IPSec туннель между двумя филиалами, возникло несколько вопросов, которые хотел бы уточнить.
      Делаю через сертификаты по руководству с Netgate:
      https://docs.netgate.com/pfsense/en/latest/recipes/ipsec-s2s-tls.html с ссылкой на https://docs.netgate.com/pfsense/en/latest/recipes/ipsec-s2s-psk.html

      По второй ссылке в настройках узла В предлагается задавать Life Time на 10% выше, чем на узле А (для обеих фаз).
      Хотелось бы понять, почему это необходимо? Дело в том, что помимо официальной документации смотрел всевозможные видео по настройке, читал статьи - везде всё оставляют по дефолту, одинаково для всех узлов (не следуют данной рекомендации).
      Насколько данная рекомендация важна в реальных условиях и на что влияет?

      Еще один момент, который я не совсем понял, следуя данному руководству - какие именно настройки определяют, кто выступает инициатором соединения, а кто отвечает на запрос? Довольно плотно работал с OpenVPN - там всё ясно: есть сервер, есть клиент, клиент инициирует соединение с сервером. А здесь у меня всё заработало, но не понял, что именно отвечает за направление соединения (есть предположение, что это параметр Child SA Start Action, но не уверен).

      И последнее, вопрос скорей по самому pfSense - имеется ли возможность (без костылей в виде truncate -s0 /lof/file в кроне) полностью отключить логирование IPSec?

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @tty1
        last edited by Konstanti

        @tty1
        1 одна из методик , чтобы избежать дублирования фазы-2 ( так себе методика ) + тот у кого раньше истекает время начинает процесс обновления ключей

        2 по умолчанию , любая из конечных точек может быть инициатором соединения ( есть возможность в настройках , чтобы отключить эту опцию . те , быть только ответчиком)

        3 зачем ? любые ошибки можно контролировать
        в настройках IPsec advanced можно выбрать разные уровни логгирования для отдельных подсистем strongswan-а, вплоть до отключения

        T 1 Reply Last reply Reply Quote 0
        • T
          tty1 @Konstanti
          last edited by

          @Konstanti

          1. советуете так не делать, оставлять всё по дефолту? И правильно понимаю, что по сути здесь у кого меньше LifeTime, тот и будет всегда инициатором соединения?
          2. не подскажете, что это за опция и не скажется ли на стабильности соединения принудительное назначение ролей точкам (инициатор-ответчик)?

          PS. для чего нужно отключение логов даже вникать не хочу - каприз заказчика))

          K 1 Reply Last reply Reply Quote 0
          • K
            Konstanti @tty1
            last edited by

            @tty1

            1 ничего советовать тут не могу , и так и этак пробовал , отличий особых не нашел , как создавались дубли фазы-2 , так и создаются ( пришлось своим путем идти неформальным) . тут дело не в инициаторе соединения , а кто инициирует обновление ключей .

            2 тоже не вижу проблем в том , кто первый пакет отправит (см настройки фазы-1 (responder only)

            Responder Only Enable this option to never initiate this connection from this side, only respond to incoming requests.

            3 Поставьте уровень логгирования Silent и будет заказчику счастье

            1 Reply Last reply Reply Quote 0
            • First post
              Last post