Вопрос по поддержке ip/sec в активном состl
-
что тунель еще не установлен
вот вот … такое впечатление, что иногда пинг пункта \Keep Alive\ перестаёт работать, и канал разрывается из-за отсутствия активности.
Завтра с утра выложу, а вообще конфиг ip/sec у меня на обоих шлюзах одинаковый, разумеется кроме ip адресов конечных точек и адресов сетей.
-
ну и еще в настройке ipsec с моей точки зрения лучше настраивать следующим образом:
Negotiation mode: main
Encryption algorithm: в зависимости на чем стоит pfsense, если на обычном pc то ставить Blowfish
на Phase 2 оставить галку на том же алгоритме что и на Phase 1
Hash algoritm поставил MD5, работает все стабильно.ну и pre shered key лучше создавать какой либо генерилкой
-
В данный момент pfsense с обоих сторон установлена на "обычных" pc. хотя до этого поднимал такой же канал, точно не помню какие параметры шифрования выбирал там между pfsense на "обычном" системнике и роутере LinkSys RV042, там такого не было …
Вот мой конфиг с "одной стороны", с другой тоже самое, только соответственно ip другие.
Pre-Shared key у меня 16 знаков, цифры, заглавные, мелкие буквы, в этом направлении у меня башня уже работает как генерилка...
ps: попробую сменю настройки как ты сказал, интересно то что канал поднимается и держится без проблем, вот только когда активность отсутствует, он разрывается, как только она появляется в течении некоторого времени он поднимается, причём если ставить циклический пинг по времени вручную на компе, или например просто оставить открытую папку "удалёнки", то канал держится.
-
А в Main режиме у меня канал не хочет подниматься.
-
Заполни поле lifetime
-
lifetime а к чему это относится, время через которое пингуются хосты или время поддерживания канала в рабочем состоянии при отсутствии активности, типа 0 - активен постоянно?
PS: я не обратил внимания на этот пункт, потому как он вроде как не относится к keep alive
-
lifetime а к чему это относится, время через которое пингуются хосты или время поддерживания канала в рабочем состоянии при отсутствии активности, типа 0 - активен постоянно?
PS: я не обратил внимания на этот пункт, потому как он вроде как не относится к keep alive
У меня установлено в 28800 секунд, канал не рвётся.
P.S. Я подозреваю, что это время жизни активного (может и неактивного тоже) канала.
-
Lifetime: This is the lifetime the negotiated keys will be valid for. Do not set this to too high of a number (e.g. more than about a day: 86400) as doing so will give people more time to crack the key. Don't be over paranoid either; there is no need to set this to 20 minutes either. One day (86400) is a good setting.
Продолжительность жизни: Это продолжительность "жизни" ключей. Не устанавливайте слишком большое значение (например, более чем 1 дня: 86400) так как это даст людям больше времени, чтобы взломать ключ.
Но не будьте параноиком ))), нет необходимости устанавливать это значение в 20 минут или около этого. Один день (86400) является хорошей обстановке.проверим …
проверил:
после установки ЛайфТайма ничего не изменилось, канал также обрывается при отсутствии активности, при появлении (via ping) через некоторое время восстанавливается.
-
отличия с моим конфигом:
DPD interval - 60 sec
My identifier - my ip adress
Encryption algorithm - 3des
Hash algorithm - sha1Encryption algorithms - 3des (одна галка)
Hash algorithms - sha1 -
попробую DPD прописать
DPD interval: Enter a value here to enable Dead Peer Detection (e.g. 60 seconds). This will help fully reestablish tunnel when the other side has a problem.
ps: может значение этого времени и имеет отношение к пункту Keep Alive
-
Всё равно тоже самое.
-
а у вас случаем больших потерь между точками нету? прогоните iperf, потому что настройки все верны. ну и логов желательно поболее.
-
basterik
Потерь вродебы нету.
Вот результат тестирования пропускной способности vpn канала
time
0.0-10.7 sec
–----------------
transfer
2.44 Mbytes
–----------------
Bandwidth
1.91 Mbits/secPS: По результатам ping, vpn сразу же поднимается при появлении запроса к противоположной стороне vpn канала, пока что я не пускаю всех работать через него, не по тех\соображениям.
Так что при работе всех пользователей черел vpn канал я думаю он будет держаться постоянно, но вдруг какойнибудь чел захочет в воскресенье прийти поработать, а "связи" нету, по идёё спустя "короткий промежуток" времени он должен поднятся, но всётаки хотелось бы чтобы он держался постоянно…
И повторюсь если постоянный пинг организовать средствами сервера в лок\сети, то канал не слетает, так что врятли из-за потерь между точками.попробую выложить log\и.
на "внутреннем" шлюзе (Server1)
циклически повторяющиеся строки
May 3 07:37:26 racoon: [Self]: INFO: server1 [500] used as isakmp port (fd=15)
May 3 07:37:26 racoon: [Self]: INFO: 192.168.1.5[500] used as isakmp port (fd=16)
May 3 07:37:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
May 3 07:37:29 racoon: [Self]: INFO: server1 [500] used as isakmp port (fd=15)
May 3 07:37:29 racoon: [Self]: INFO: 192.168.1.5[500] used as isakmp port (fd=16)
May 3 07:37:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)на удалённом шлюзе (Server2)
May 3 07:34:26 racoon: []: INFO: IPsec-SA expired: ESP server2[0]->server1[0] spi=958933(0xea1d5)
May 3 07:34:26 racoon: []: INFO: IPsec-SA request for server1 queued due to no phase1 found.
May 3 07:34:26 racoon: []: INFO: initiate new phase 1 negotiation: server2[500]<=>server1[500]
May 3 07:34:26 racoon: INFO: begin Aggressive mode.
May 3 07:34:26 racoon: []: INFO: IPsec-SA expired: ESP/Tunnel server1[0]->server2[0] spi=256149404(0xf44879c)
May 3 07:34:26 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
May 3 07:34:26 racoon: INFO: received Vendor ID: DPD
May 3 07:34:26 racoon: WARNING: No ID match.
May 3 07:34:26 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
May 3 07:34:26 racoon: []: INFO: ISAKMP-SA established server2[500]-server1[500] spi:a03ccce4053a086b:86ab9b7b8d3fe8a6
May 3 07:34:27 racoon: []: INFO: initiate new phase 2 negotiation: server2[500]<=>server1[500]
May 3 07:34:27 racoon: []: INFO: IPsec-SA established: ESP server1[0]->server2[0] spi=182325859(0xade1263)
May 3 07:34:27 racoon: []: INFO: IPsec-SA established: ESP server2[0]->server1[0] spi=36346482(0x22a9a72)