Нет доступа в интернет у пользователей
-
получилась странная ситуация…
remote 109.195..144 поднялся в обеих фазах, а remote 79.171..10 не проходит даже первую... причём между собой они имеют устойчивое соединение, а вот со мной только первый соединился... Настройки все уже перелопачены не раз, где может быть косяк даже не знаю...
Кстати 109.195..144 и 79.171..10 это два pfsens шлюза...Единственное, что 109.195.*.144 пишет в логи...
racoon: WARNING: PF_KEY EXPIRE message received from kernel for SA being negotiated. Stopping negotiation.У 79.171.*.10 всё по старому
racoon: ERROR: phase1 negotiation failed due to time up. 6b963bbcbf0458c4:36fce3f6321c097d -
Лог со стороны pfsens, к которому не выходит подключится
Jul 22 16:58:05 racoon: [CentOffise]: [213.79..162] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 213.79..162[0]->79.171..10[0]
Jul 22 16:58:05 racoon: INFO: delete phase 2 handler.
Jul 22 16:58:09 racoon: [CentOffise]: INFO: IPsec-SA request for 213.79.162 queued due to no phase1 found.
Jul 22 16:58:09 racoon: [CentOffise]: INFO: initiate new phase 1 negotiation: 79.171..10[500]<=>213.79..162[500]
Jul 22 16:58:09 racoon: INFO: begin Identity Protection mode.
Jul 22 16:58:09 racoon: INFO: received Vendor ID: RFC 3947
Jul 22 16:58:09 racoon: INFO: received Vendor ID: DPD
Jul 22 16:58:09 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Jul 22 16:58:09 racoon: [CentOffise]: [213.79..162] INFO: Selected NAT-T version: RFC 3947
Jul 22 16:58:09 racoon: [CentOffise]: [213.79..162] INFO: Hashing 213.79..162[500] with algo #1
Jul 22 16:58:09 racoon: [Self]: [79.171..10] INFO: Hashing 79.171..10[500] with algo #1
Jul 22 16:58:09 racoon: INFO: Adding remote and local NAT-D payloads.
Jul 22 16:58:09 racoon: [Self]: [79.171..10] INFO: Hashing 79.171..10[500] with algo #1
Jul 22 16:58:09 racoon: INFO: NAT-D payload #0 verified
Jul 22 16:58:09 racoon: [CentOffise]: [213.79..162] INFO: Hashing 213.79..162[500] with algo #1
Jul 22 16:58:09 racoon: INFO: NAT-D payload #1 verified
Jul 22 16:58:09 racoon: INFO: NAT not detected
Jul 22 16:58:13 racoon: NOTIFY: the packet is retransmitted by 213.79..162[500] (1).
Jul 22 16:58:29 racoon: NOTIFY: the packet is retransmitted by 213.79..162[500] (1).
Jul 22 16:58:40 racoon: [CentOffise]: [213.79..162] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 213.79..162[0]->79.171..10[0]
Jul 22 16:58:40 racoon: INFO: delete phase 2 handler.
Jul 22 16:58:49 racoon: NOTIFY: the packet is retransmitted by 213.79..162[500] (1).
Jul 22 16:58:51 racoon: [CentOffise]: [213.79..162] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
Jul 22 16:58:59 racoon: ERROR: phase1 negotiation failed due to time up. 7dac4b78b10d5959:b872d62e36cb2b98 -
racoon: [CentOffise]: INFO: IPsec-SA request for 213.79*.162 queued due to no phase1 found.
Это по-моему говорит о проблеме в настройках Phase 1 -
dvserg Вроде верные.
со стороны ubuntu
/etc/racoon/racoon.conflog notify; # уровень логирования
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";padding {
maximum_length 20; # максимальная длинна набивки (?).
randomize off; # включение случайной длинны.
strict_check off; # включить строгую проверку.
exclusive_tail off; # извлекать один последний октет.
}listen {
isakmp 213.79..162[500]; # установка прослушивания даемона ip[port]
isakmp_natt 213.79..162[4500]; # установка прослушивания используя NAT-T
strict_address;
}timer{
counter 5;# maximum trying count to send.
interval 20 sec;# maximum interval to resend.
persend 1;# the number of packets per a send.
phase1 60 sec;
phase2 60 sec;
}
remote 79.171..10[500] { # IP нашего пира
my_identifier address 213.79..162;
peers_identifier address 79.171.*.10;
exchange_mode main, aggressive; # режим обмена
lifetime time 8 hour; # время жизни первой фазы
proposal { # секция определения предложений
encryption_algorithm aes256; # алгоритм криптования
hash_algorithm md5; # алгоритм хеширования
authentication_method pre_shared_key; #метод аутентификации
dh_group 2; # группа Диффи-Хеллмана
}
generate_policy on;
#nat_traversal (on | off | force); # пример использования nat-traversal
nat_traversal on; # отключаем nat-traversal
ike_frag on; # фрагментация ike, используется для NAT-T
#esp_frag 552; # фрагментация esp пакета, используется для NAT-T
initial_contact on;
dpd_delay 10;
dpd_retry 5;}
со стороны pfsense 79.171.*.10 в аттаче,
-
Решить проблему с подключение IPSec так и не смог.
Пошёл иным путём:
Создал GRE туннели на обоих шлюзах и прописал для них маршрутизацию.
Вопрос закрыт.