таймаут разрыва ipsec-соединения

kontrol

Коллеги, вопрос простой, но в FAQ и поиске не нашел.
pfSense 2.3.2-RELEASE-p1 (amd64)
поднят IPSec-туннель с параметрами (некоторые):
Remote Gateway a.a.a.a
Negotiation mode main
Lifetime (Seconds) 28800
Disable rekey выключено
Responder Only выключено
Dead Peer Detection включено
  Delay 3600
  Max failures 50
Remote subnet b.b.b.b
Lifetime 28800
Automatically ping host пусто

через 10-15 минут  после подъема туннель падает. В  Status-IPSEC - состояние "Disconnected". Если запустить из  локалки ping b.b.b.b -  не  рвется.  Известно, что а.а.а.а - Cisco серии  ASA.

Где какой  таймаут или  крыжик поставить, чтобы  туннель не падал даже при отсутствии трафика.  Или ткните в faq

pigbrother

Вот мой
/var/etc/ipsec/ipsec.conf
С одной из phase 2. Правда на удаленной стороне - не ASA. Обрывов по таймауту нет.

# This file is automatically generated. Do not edit
config setup
	uniqueids = yes

conn bypasslan
	leftsubnet = 10.0.2.0/24
	rightsubnet = 10.0.2.0/24
	authby = never
	type = passthrough
	auto = route

conn con1000
	fragmentation = yes
	keyexchange = ikev1
	reauth = yes
	forceencaps = no
	mobike = no

	rekey = yes
	installpolicy = yes
	type = tunnel
	dpdaction = none
	auto = route
	left = xxx.xxx.xxx.229
	right = xxx.xxx.xxx.186
	leftid = xxx.xxx.xxx.229
	ikelifetime = 10800s
	lifetime = 3600s
	ike = 3des-sha1-modp1536!
	esp = 3des-sha1,3des-sha1,3des-sha1,3des-sha1!
	leftauth = psk
	rightauth = psk
	rightid = xxx.xxx.xxx.186
	aggressive = no
	rightsubnet = 192.168.0.0/24
	leftsubnet = 10.0.2.0/24

kontrol

спасибо! я попробую.

werter

@kontrol:

Где какой  таймаут или  крыжик поставить, чтобы  туннель не падал даже при отсутствии трафика.  Или ткните в faq

Доброе.

Automatically ping host  ?

pigbrother

@werter:

@kontrol:

Где какой  таймаут или  крыжик поставить, чтобы  туннель не падал даже при отсутствии трафика.  Или ткните в faq

Доброе.

Automatically ping host  ?

Может потребоваться сделать это:
https://doc.pfsense.org/index.php/Why_can't_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN

Due to the way IPsec tunnels are kludged into the FreeBSD kernel, any traffic initiated by m0n0wall to go through an IPsec tunnel gets the wrong source IP (and typically doesn't go through the tunnel at all as a result)

kontrol

@werter:

@kontrol:

Где какой  таймаут или  крыжик поставить, чтобы  туннель не падал даже при отсутствии трафика.  Или ткните в faq

Доброе.

Automatically ping host  ?

не помогло.