Рвется VPN канал между CISCO и Pfsence

neodiz · Sep 12, 2013, 7:18 AM

Добрый день. Поднял VPN Ipsec между cisco pfsense (2.0.2-RELEASE (amd64) ) Через какой то промежуток времени(Время не замерял) рвется VPN канал и пинги перестают ходить.
Параметры настройки CISCO

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 123456789 address <внешний ip PFSENSE>
crypto isakmp keepalive 3600
!
!
crypto ipsec transform-set MyTransformSet esp-3des esp-sha-hmac
!
crypto map MapKir 10 ipsec-isakmp
set peer <внешний ip PFSENSE>
set transform-set MyTransformSet
set pfs group2
match address gate

interface FastEthernet0/1
description Internet
crypto map MapKir

ip access-list extended gate
permit ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255
!
access-list 102 deny ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 102 deny icmp 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 102 permit ip 192.168.11.0 0.0.0.255 any

Параметры PFSENSE

path pre_shared_key "/var/etc/psk.txt";

path certificate "/var/etc";

listen
{
adminsock "/var/db/racoon/racoon.sock" "root" "wheel" 0660;
isakmp <ip pfsense="">[500];
isakmp_natt <ip pfsense="">[4500];
}

remote <ip cisco="">{
ph1id 1;
exchange_mode main;
my_identifier address <ip pfsense="">peers_identifier address <ip cisco="">;
ike_frag on;
generate_policy = on;
initial_contact = on;
nat_traversal = off;

support_proxy on;
proposal_check claim;

proposal
{
authentication_method pre_shared_key;
encryption_algorithm 3des;
hash_algorithm sha1;
dh_group 2;
lifetime time 3600 secs;
}
}

sainfo subnet 192.168.0.0/16 any subnet 192.168.11.0/24 any
{
remoteid 1;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
pfs_group 2;
lifetime time 3600 secs;
compression_algorithm deflate;
}
После перезапуска сервиса, канал начинает работать.
Друзья скажите в какую сторону уже копать.</ip></ip></ip></ip></ip>

werter · Sep 12, 2013, 8:08 AM

Копать в сторону логов.