Тунель IPSec сеть - сеть периодически падает
-
Попробуй для обоих сторон сделать так.
в первом слайде раз у тебя реальный IP на WANах то убрать опциюNAT Traversal - disable
и время жизни поболее
Lifetime - 86400на второй фазе сделать так.
Encryption algorithms
оставить только 3DESHash algorithms без изменений (SHA1 MD5 остаются галки)
PFS key group - 2
Lifetime 86400Остальное также как и есть у тебя.
PS для обоих машин одинаково только для сетей зеркально делаем. -
спасибо, попробуем… результат отпишу
-
попробуй когда упадет туннель не систему ребутить, а только сервис ракона. И посмотри что у тебя стоит там где "разрешить использование старых SA"
-
рвется все равно, в логах токое
Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.1/32[0] 192.168.6.0/24[0] proto=any dir=out
Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.0/24[0] 192.168.6.1/32[0] proto=any dir=in
Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.0/24[0] 192.168.0.0/24[0] proto=any dir=out
Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.0.0/24[0] 192.168.6.0/24[0] proto=any dir=in
Nov 24 22:45:58 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
Nov 24 22:45:58 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
Nov 24 22:45:58 racoon: INFO: begin Aggressive mode.
Nov 24 22:46:29 racoon: [wan1_to_wan2]: [85.113.36.63] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 85.113.36.63[0]->85.113.41.146[0]
Nov 24 22:46:29 racoon: INFO: delete phase 2 handler.
Nov 24 22:46:48 racoon: ERROR: phase1 negotiation failed due to time up. c04521d29bb1d07f:0000000000000000
Nov 24 22:48:08 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
Nov 24 22:48:08 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
Nov 24 22:48:08 racoon: INFO: begin Aggressive mode.
Nov 24 22:48:39 racoon: [wan1_to_wan2]: [85.113.36.63] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 85.113.36.63[0]->85.113.41.146[0]
Nov 24 22:48:39 racoon: INFO: delete phase 2 handler.
Nov 24 22:48:52 racoon: [wan1_to_wan2]: [85.113.36.63] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
Nov 24 22:48:58 racoon: ERROR: phase1 negotiation failed due to time up. 8cd2c4f784fbff76:0000000000000000 -
востановление тунеля иногда помогает перезапуск службы ракон. Однако непонятно почему, но иногда перезагрузка одной стороны не помогает, необходимо перезагрузить шлюзы на обоих концах туннеля. Иногода первая перезагрузка не помогает, а помогает вторая или третья. В общем непонятки одни. Уважаемые форумчане какие еще бубут мысли?
-
Только что попробовал, после падения канала если запустить вручную на вкладке "Status: IPsec", тоннель заводится.
-
сегодня утром тоннель опять оборвался, в логах каждые 5 минут
Nov 27 13:37:58 racoon: ERROR: phase1 negotiation failed due to send error. 11bc162f8cf99861:0000000000000000
Nov 27 13:37:58 racoon: ERROR: failed to begin ipsec sa negotication. -
что может означать этот, взято с заграничной ветки форума
http://forum.pfsense.org/index.php/topic,42850.0.html
jimp
Administrator
Hero Member
Offline Offline
Posts: 8746
View Profile
Re: IPSec Stops working within 24 hours 2.0-RELEASE (amd64)
« Reply #1 on: November 14, 2011, 09:37:04 am »By chance are you also running PPTP server on your firewall?
http://redmine.pfsense.org/issues/1421
If so, make sure that your PPTP server address is not set to an in-use IP, especially a WAN IP.
Logged
Need help fast? Try Commercial Support !Co-Author of pfSense: The Definitive Guide . - Check the Doc Wiki for FAQs & How-Tos.
Do not PM for help ; Keep all issues in the forum
eprimaveri
Newbie
*
Offline OfflinePosts: 5
View Profile
Re: IPSec Stops working within 24 hours 2.0-RELEASE (amd64)
« Reply #2 on: November 14, 2011, 11:33:12 am »Yes I am. Ok so I will change that to a local IP and test again. Thank you for posting that information.
-
Версии ПФсенсов одинаковые?
-
да, мало того установлены с одного диска
-
а канал стабилен между офисами?
Может чего добавить в крон если падает то перезапускать IPSec -
@xtc:
а канал стабилен между офисами?
Может чего добавить в крон если падает то перезапускать IPSecдумаю что эта штуковина задумана таким образом что канал должен сам подниматься, замеченно что в суббтоту когда работает один сотрудник и трафик минимальный канал рвется по 5 раз за рабочий день, видимо засыпает при неактивности, причем пинги противоположной сети не пробуждают канал, именно эту проблему обсуждали на зарубежной ветке форума.
Лично что я могу сейчас поставить чтобы решить проблему, это ipfire, на этой системе канал держался ьолее 2х лет, и поднимался в любой критической ситуации, даже при внизапном отключении электричества. До ipfire у меня был печальный опыт работы на clearos там канал ipsec так же падает и помогает только перезагрузка. Сегодня завтра установлю ipfire о результатаю работы системы отпишу сдесь. Еще возникла мысль, может затем попробоавть pfsence версией ниже 2,0? -
пинги для поддержания работы тунеля пускаете внутри тунеля? попробуйте снаружи, пров может не понимать что это нужный трафик.
также почему бы не попробовать опенвпн?