таймаут разрыва ipsec-соединения
-
Коллеги, вопрос простой, но в FAQ и поиске не нашел.
pfSense 2.3.2-RELEASE-p1 (amd64)
поднят IPSec-туннель с параметрами (некоторые):
Remote Gateway a.a.a.a
Negotiation mode main
Lifetime (Seconds) 28800
Disable rekey выключено
Responder Only выключено
Dead Peer Detection включено
Delay 3600
Max failures 50
Remote subnet b.b.b.b
Lifetime 28800
Automatically ping host пусточерез 10-15 минут после подъема туннель падает. В Status-IPSEC - состояние "Disconnected". Если запустить из локалки ping b.b.b.b - не рвется. Известно, что а.а.а.а - Cisco серии ASA.
Где какой таймаут или крыжик поставить, чтобы туннель не падал даже при отсутствии трафика. Или ткните в faq
-
Вот мой
/var/etc/ipsec/ipsec.conf
С одной из phase 2. Правда на удаленной стороне - не ASA. Обрывов по таймауту нет.# This file is automatically generated. Do not edit config setup uniqueids = yes conn bypasslan leftsubnet = 10.0.2.0/24 rightsubnet = 10.0.2.0/24 authby = never type = passthrough auto = route conn con1000 fragmentation = yes keyexchange = ikev1 reauth = yes forceencaps = no mobike = no rekey = yes installpolicy = yes type = tunnel dpdaction = none auto = route left = xxx.xxx.xxx.229 right = xxx.xxx.xxx.186 leftid = xxx.xxx.xxx.229 ikelifetime = 10800s lifetime = 3600s ike = 3des-sha1-modp1536! esp = 3des-sha1,3des-sha1,3des-sha1,3des-sha1! leftauth = psk rightauth = psk rightid = xxx.xxx.xxx.186 aggressive = no rightsubnet = 192.168.0.0/24 leftsubnet = 10.0.2.0/24
-
спасибо! я попробую.
-
Где какой таймаут или крыжик поставить, чтобы туннель не падал даже при отсутствии трафика. Или ткните в faq
Доброе.
Automatically ping host ?
-
Где какой таймаут или крыжик поставить, чтобы туннель не падал даже при отсутствии трафика. Или ткните в faq
Доброе.
Automatically ping host ?
Может потребоваться сделать это:
https://doc.pfsense.org/index.php/Why_can't_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPNDue to the way IPsec tunnels are kludged into the FreeBSD kernel, any traffic initiated by m0n0wall to go through an IPsec tunnel gets the wrong source IP (and typically doesn't go through the tunnel at all as a result)
-