Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Тунель IPSec сеть - сеть периодически падает

    Scheduled Pinned Locked Moved Russian
    18 Posts 4 Posters 12.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      wbl_samara
      last edited by

      спасибо, попробуем… результат отпишу

      1 Reply Last reply Reply Quote 0
      • M
        manjul
        last edited by

        попробуй когда упадет туннель не систему ребутить, а только сервис ракона. И посмотри что у тебя стоит там где "разрешить использование старых SA"

        1 Reply Last reply Reply Quote 0
        • W
          wbl_samara
          last edited by

          рвется все равно, в логах токое
          Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.1/32[0] 192.168.6.0/24[0] proto=any dir=out
          Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.0/24[0] 192.168.6.1/32[0] proto=any dir=in
          Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.0/24[0] 192.168.0.0/24[0] proto=any dir=out
          Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.0.0/24[0] 192.168.6.0/24[0] proto=any dir=in
          Nov 24 22:45:58 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
          Nov 24 22:45:58 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
          Nov 24 22:45:58 racoon: INFO: begin Aggressive mode.
          Nov 24 22:46:29 racoon: [wan1_to_wan2]: [85.113.36.63] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 85.113.36.63[0]->85.113.41.146[0]
          Nov 24 22:46:29 racoon: INFO: delete phase 2 handler.
          Nov 24 22:46:48 racoon: ERROR: phase1 negotiation failed due to time up. c04521d29bb1d07f:0000000000000000
          Nov 24 22:48:08 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
          Nov 24 22:48:08 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
          Nov 24 22:48:08 racoon: INFO: begin Aggressive mode.
          Nov 24 22:48:39 racoon: [wan1_to_wan2]: [85.113.36.63] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 85.113.36.63[0]->85.113.41.146[0]
          Nov 24 22:48:39 racoon: INFO: delete phase 2 handler.
          Nov 24 22:48:52 racoon: [wan1_to_wan2]: [85.113.36.63] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
          Nov 24 22:48:58 racoon: ERROR: phase1 negotiation failed due to time up. 8cd2c4f784fbff76:0000000000000000

          1 Reply Last reply Reply Quote 0
          • W
            wbl_samara
            last edited by

            востановление тунеля иногда помогает перезапуск службы ракон. Однако непонятно почему, но иногда перезагрузка одной стороны не помогает, необходимо перезагрузить шлюзы на обоих концах туннеля. Иногода первая перезагрузка не помогает, а помогает вторая или третья. В общем непонятки одни. Уважаемые форумчане какие еще бубут мысли?

            1 Reply Last reply Reply Quote 0
            • W
              wbl_samara
              last edited by

              Только что попробовал, после падения канала если запустить вручную на вкладке "Status: IPsec", тоннель заводится.

              1 Reply Last reply Reply Quote 0
              • W
                wbl_samara
                last edited by

                сегодня утром тоннель опять оборвался, в логах каждые 5 минут
                Nov 27 13:37:58 racoon: ERROR: phase1 negotiation failed due to send error. 11bc162f8cf99861:0000000000000000
                Nov 27 13:37:58 racoon: ERROR: failed to begin ipsec sa negotication.

                1 Reply Last reply Reply Quote 0
                • W
                  wbl_samara
                  last edited by

                  что может означать этот, взято с заграничной ветки форума
                  http://forum.pfsense.org/index.php/topic,42850.0.html
                  jimp
                  Administrator
                  Hero Member

                  Offline Offline

                  Posts: 8746

                  View Profile

                  Re: IPSec Stops working within 24 hours 2.0-RELEASE (amd64)
                  « Reply #1 on: November 14, 2011, 09:37:04 am »

                  By chance are you also running PPTP server on your firewall?

                  http://redmine.pfsense.org/issues/1421

                  If so, make sure that your PPTP server address is not set to an in-use IP, especially a WAN IP.
                  Logged
                  Need help fast? Try Commercial Support !

                  Co-Author of pfSense: The Definitive Guide . - Check the Doc Wiki for FAQs & How-Tos.

                  Do not PM for help ; Keep all issues in the forum
                  eprimaveri
                  Newbie
                  *
                  Offline Offline

                  Posts: 5

                  View Profile

                  Re: IPSec Stops working within 24 hours 2.0-RELEASE (amd64)
                  « Reply #2 on: November 14, 2011, 11:33:12 am »

                  Yes I am. Ok so I will change that to a local IP and test again. Thank you for posting that information.

                  1 Reply Last reply Reply Quote 0
                  • X
                    xtc
                    last edited by

                    Версии ПФсенсов одинаковые?

                    1 Reply Last reply Reply Quote 0
                    • W
                      wbl_samara
                      last edited by

                      да, мало того установлены с одного диска

                      1 Reply Last reply Reply Quote 0
                      • X
                        xtc
                        last edited by

                        а канал стабилен между офисами?
                        Может чего добавить в крон если падает то перезапускать IPSec

                        1 Reply Last reply Reply Quote 0
                        • W
                          wbl_samara
                          last edited by

                          @xtc:

                          а канал стабилен между офисами?
                          Может чего добавить в крон если падает то перезапускать IPSec

                          думаю что эта штуковина задумана таким образом что канал должен сам подниматься, замеченно что в суббтоту когда работает один сотрудник и трафик минимальный канал рвется по 5 раз за рабочий день, видимо засыпает при неактивности, причем пинги противоположной сети не пробуждают канал, именно эту проблему обсуждали на зарубежной ветке форума.
                          Лично что я могу сейчас поставить чтобы решить проблему, это ipfire, на этой системе канал держался ьолее 2х лет, и поднимался в любой критической ситуации, даже при внизапном отключении электричества. До ipfire у меня был печальный опыт работы на clearos там канал ipsec так же падает и помогает только перезагрузка. Сегодня завтра установлю ipfire о результатаю работы системы отпишу сдесь. Еще возникла мысль, может затем попробоавть pfsence версией ниже 2,0?

                          1 Reply Last reply Reply Quote 0
                          • A
                            alexandrnew
                            last edited by

                            пинги для поддержания работы тунеля пускаете внутри тунеля? попробуйте снаружи, пров может не понимать что это нужный трафик.
                            также почему бы не попробовать опенвпн?

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.