IPSEC Fragen

rainer

Hallo!

Ich habe vor ein paar Tagen in einer bestehenden VPN Installation (mehrere LAN's, alles mit statischen IP's) einen in die Jahre gekommenen Linux PC mit FreeSwan 2.04 gegen eine pfSense getasucht. Wohlgemerkt, die anderen VPN-Gateways blieben bestehen.
(Anm.: Das Netz ist sternfoermig, in der Mitte die Zentrale und in einer Aussenstelle habe ich den Rechner getauscht)

Es klappt auch so gut wie alles.

Nur habe ich noch ein paar Fragen:

Wenn ich auf der pfSense unter "Automatically ping host" nichts eingebe, bricht der Tunnel nach laengerer Zeit (1 Tag?) zusammen und kann nur durch Traffic, der vom LAN an der pfSense ausgeht wieder initiiert werden.
Gebe ich dort eine IP ein, bricht der Tunnel nicht zusammen.

.) Warum muss ich dort einen Host zum pingen angeben? Was ist der Unterschied zu FreeSwan?
.) Warum kann der Tunnel nur von der pfSense wieder aufgebaut werden?
.) Wie oft wird gepingt?
.) Unter den Lifetimewerten habe ich auch nichts eingegeben. Ich nehme an, pfSense nimmt default Werte. Welche sind das, bzw. gibts eine bessere Wahl?

lg rainer

hoba

Der Tunnel kann nur durch Traffic vom Timeout bewahrt werden. Dafür ist die Monitor IP.

Der entsprechende Cronjob (/etc/crontab) für die Pings sieht folgendermassen aus:
*/5 * * * * root /usr/bin/nice -n20 /etc/ping_hosts.sh

Der Tunnel sollte bei statischen IPs aus beiden Richtungen aufgebaut werden können. Nur bei dynamisch zu statisch geht das natürlich nur unidirektonal mit der dynamischen Seite als Mobile Client.

Du solltest bei den Lifetimewerten auf alle Fälle die Wrte der Gegenstelle des Tunnels eingeben. Vielleicht löst das bereits Deine Connectprobleme.

rainer

OK, danke fuer die Info.

Ich kann die Verbindung nur von der pfSense Seite aus aufbauen. Nach einiger Zeit (ohne traffic, ohne ping-host-Eintrag) bricht die Verbindung zusammen und im Event Log steht:

Jan 15 15:05:49 racoon: ERROR: failed to pre-process packet.
Jan 15 15:05:49 racoon: ERROR: failed to get sainfo.
Jan 15 15:05:49 racoon: ERROR: failed to get sainfo.
Jan 15 15:05:49 racoon: INFO: respond new phase 2 negotiation: x.x.x.x[500]<=>y.y.y.y[500]

(x,y wurde von mir eingesetzt)

Hast du eine Idee, woran diese Meldungen liegen können?

hoba

Hast Du versucht die korrekten Lifetimes der Gegenseite überall einzustellen? Sonst kann es passieren, daß Deine Seite eine neue SA generiert, obwohl die auf der Gegenseite noch nicht abgelaufen ist oder umgekehrt.

rainer

So, es war gar nicht mal so leicht, die richtigen Standardwerte herauszubekommen.

Ich habe jetzt auf der pfSense die Defaultwerte von FreeSwan eingestellt, da dort die Werte nicht vreaendert wurden.
Diese sind:

Phase1: 3600s und
Phase2: 28800s

aber das Problem ist das gleiche: Der Tunnel steht nach der Konfiguration. Nur nach einiger Zeit ohne Traffic kann der Tunnel nur noch von der pfSense Seite aus aufgebaut werden.
Mit einem Ping-Host Eintrag umgehe ich natuerlich das Problem, aber interessieren würde es mich trotzdem was da schief laeuft.
Kann es vielleicht an einem Firewalleintrag liegen?
Nur wuesste ich nicht an welchem, ich erlaube von dem VPN Gateway alles (protocol any) auf die pfSense und ebenso vom remote lan (192.168.1.0/24)