Почему валится IPSEC?
-
два удаленных офиса соединены по ipsec. На обоих хостах в качестве шлюзов стоит pfSense 2.0
вот что в логах на стороне сервере с адресом xxx.xxx.xxx.xxx:
Mar 30 11:27:43 racoon: []: [yyy.yyy.yyy.yyy] INFO: DPD: remote (ISAKMP-SA spi=478eaf47f5047d98:e2f3f9e537a29a00) seems to be dead.
Mar 30 11:27:43 racoon: INFO: purging ISAKMP-SA spi=478eaf47f5047d98:e2f3f9e537a29a00.
Mar 30 11:27:43 racoon: INFO: purged IPsec-SA spi=263056510.
Mar 30 11:27:43 racoon: INFO: purged IPsec-SA spi=201106602.
Mar 30 11:27:43 racoon: INFO: purged ISAKMP-SA spi=478eaf47f5047d98:e2f3f9e537a29a00.
Mar 30 11:27:43 racoon: []: INFO: ISAKMP-SA deleted xxx.xxx.xxx.xxx[500]-yyy.yyy.yyy.yyy[500] spi:478eaf47f5047d98:e2f3f9e537a29a00
Mar 30 11:27:46 racoon: []: INFO: IPsec-SA request for yyy.yyy.yyy.yyy queued due to no phase1 found.
Mar 30 11:27:46 racoon: []: INFO: initiate new phase 1 negotiation: xxx.xxx.xxx.xxx[500]<=>yyy.yyy.yyy.yyy[500]
Mar 30 11:27:46 racoon: INFO: begin Identity Protection mode.
Mar 30 11:27:46 racoon: ERROR: phase1 negotiation failed due to send error. 623a619e0ce5e44a:0000000000000000
Mar 30 11:27:46 racoon: ERROR: failed to begin ipsec sa negotication.
Mar 30 11:28:29 racoon: []: INFO: IPsec-SA request for yyy.yyy.yyy.yyy queued due to no phase1 found.На стороне с адресом yyy.yyy.yyy.yyy:
Mar 30 11:27:42 racoon: INFO: purged ISAKMP-SA spi=478eaf47f5047d98:e2f3f9e537a29a00.
Mar 30 11:27:42 racoon: []: INFO: ISAKMP-SA deleted yyy.yyy.yyy.yyy[500]-xxx.xxx.xxx.xxx[500] spi:478eaf47f5047d98:e2f3f9e537a29a00
Mar 30 11:28:32 racoon: []: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
Mar 30 11:28:32 racoon: []: INFO: initiate new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[500]
Mar 30 11:28:32 racoon: INFO: begin Identity Protection mode.
Mar 30 11:29:03 racoon: []: [xxx.xxx.xxx.xxx] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP xxx.xxx.xxx.xxx[0]->yyy.yyy.yyy.yyy[0]
Mar 30 11:29:03 racoon: INFO: delete phase 2 handler.
Mar 30 11:29:19 racoon: []: [xxx.xxx.xxx.xxx] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
Mar 30 11:29:22 racoon: ERROR: phase1 negotiation failed due to time up. 68083f38f762421a:0000000000000000 -
Никто не подскажет? СТолько просмотров и тишина..
-
Такая же фигня =( Но мне помогает только ручной перезапуск , пока не понял причину …
-
да, только руками перезапускать. Причем через Status->Ipsec не полнимается, нужно VPN->IPSec edit (ничего не меняем)->save->apply changes а потом только Status->Ipsec нажать на поднятие.
-
На файрволе ничего не закрыто? Может в конфигурации что то не то накликал?
У меня ЦО и 4 филиала связаны через IPSEC VPN никаких проблем (при чем не везде стабильный интернет).
-
С фаером все норм. Рвется периодически, примерно раз в двое суток.
-
Какие настройки на обоих pfSense ? Версию до 2.01 обновите.
-
У меня 2.0-RC2(i386), 2.0-RELEASE(i386), 2.0.1-RELEASE(amd64) – Полет нормальный.
-
Настройки на одной стороне:
На другой стороне:
Обновился на обоих сторонах до 2.0.1, посмотрим…
-
У меня:
Pharse1: Neagotiation mode: agressive
Pharse2: Encryption algorithms: AES, Blowfish, 3DES, CAST128Все остальное аналогично.
-
После обновления ситуация не изменилась. Валится периодически.
-
После обновления ситуация не изменилась. Валится периодически.
На вашей второй страничке у меня:
Phase 2 proposal (SA/Key Exchange)
Encryption algorithms
только 3DESHash algorithms только SHA1
Туннель не падает, сам работает.
(обе машины на 1.2.3 работают) -
пробовал всяко менять настройки, все равно падает примерно раз в двое суток
-
народ кто нить решил эту проблему?
-
Уходом в сторону Openvpn.
-
все то не плохо… но у меня видеонаблюдение на более чем 20 объектов... и ганять такой траффик через 1 точку не хочется... ((((
-
Подниму тему.
Все практически тоже самое. Перезагружаемся по несколько раз на день.
Вот мои логи - http://forum.pfsense.org/index.php/topic,53074.0.html.
Мечтаю уйти с pfSense ;D
