странное поведение firewall на ipsec-gre туннеле
-
type=tunnel
gif-ов нет.
Используется с обоих сторон strongswan (на pfsense тоже strongswan). -
@gmn:
type=tunnel
gif-ов нет.Я так и думал
Ну то есть вы задали вопрос, ответ на который содержался в стартовом топике
Потом смоделировали ситуацию, которая ничуть не похожа на мою (за исключением слов pfsense и ipsec). И подтвердили очевидный вроде бы факт: в стандартной конфигурации все работает.
Из уважения к потраченному времени можете намекнуть, как ваши действия могут помочь решить мою проблему? -
ок.
А зачем вам там gif, если вы всеравно поднимаете ipsec? -
у меня со стороны Циски развернута DMVPN сеть с переменным количеством офисов. (сейчас штук 15)
И для каждого сеть за pfsense доступна должна быть- мне проще всем раздавать маршрут до нее и поднять OSPF какой нибудь, чем ручками редактировать параметры туннеля (а на циске тоже прийдется тогда access list править при появлении нового офиса)
А чтоб маршрутизация работала- надо какой- то интерфейс отдельный, то есть gif -
Ясно.
Схемка сложнее …
Тогда сходу ничего подсказать не смогу.
И моделировать тоже нет желания :) -
Я бы посмотрел количество states и MBUF usage в Dashboard pfSense в момент затыков. Памяти хватает вообще?
-
Я бы посмотрел количество states и MBUF usage в Dashboard pfSense в момент затыков. Памяти хватает вообще?
Я в том же направлении начал копать, но увы- в скриншотах видно что и states и MBUF и memory хватает
-
https://forum.pfsense.org/index.php?topic=98308.0
Вот кто-то тему открыл в англ. разделе. Посмотрите, что ему ответят. А можете и свои скрины туда запостить, там быстрее ответят.
-
Интересно стало, захотел повторить :)
Сделал схему на подобии вашей, только на другой стороне туннеля FreeBSD, не Cisco.
В итоге с одной стороны сеть со шлюзом на FreeBSD, с другой - сеть со шлюзом на pfsense.
Между шлюзами поднят gre-туннель.
Между сетями поднят IPsec (поверх gre).
Копирую файл 800 Мб (скорость лимитирована altq до 10 Мбит/с) - замираний, задержек небыло.
Все это на виртуалках под wmvare esxi в пределах одного физического хоста (Cisco UCS). -
Вот ведь времени у людей, завидую :)
ограничение 100Мбит поставь (у меня столько), и желательно не средства pfsense-для чистоты эксперимента
ну и если затыков не будет- прошу тогда те же параметры ipsec поставить -
Времени - иногда бывает :)
На pfsense лимита скорости нет.
Есть на другой стороне на FreeBSD.
Не думаю, что шейпер "исправляет" ситуацию …прошу тогда те же параметры ipsec поставить
- вот это не понял …
Параметры ipsec:
AES_CBC:256 HMAC_SHA1_96:0 PRF_HMAC_SHA1 MODP_1024Городить такую схему с Cisco на другой стороне - вот на это уже времени нет :(
- вот это не понял …
-
ну тогда поставить на шейкере с той стороны 100Мб
по поводу параметров- 3DES+MD5 -
Поставил 3DES+MD5
Шейпер был и 10 Мбит и 100.
Картинка на 10.
Скорость не менялась, скачивание не замирало.