Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IKEv2 IPSEC déconnecté après 60min

    Scheduled Pinned Locked Moved Français
    2 Posts 2 Posters 863 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      FilipeFidalgo
      last edited by

      Bonjour à tous,

      Pour nos users nomades nous avons mis en place un VPN IKEv2 IPSEC, il fonctionne parfaitement, à un détail près:
      après 60min d'utilisation les flux sont totalement coupés, la connexion VPN apparaît toujours OK mais plus rien ne passe, alors il suffit de se déconnecter et reconnecter mais c'est très énervant pour mes 100 users vous comprendrez :D

      Nous avons revu tous les paramêtres niveau pfsense et niveau client windows 10, on ne trouve aucun timeout de 60min/3600sec, on a tout revu, on trouve pas d'où peut provenir cette coupure de service...

      Une piste à me donner?

      A+

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @FilipeFidalgo
        last edited by Konstanti

        @filipefidalgo Si vous essayez de vous connecter avec un autre client (pas Windows)?? Par exemple, Mac VPN client, Android Strongswan . Va se passer la même chose ?

        IKE_SA rekeying
        The Windows 7 client supports IKE_SA rekeying, but can't handle unsupported Diffie Hellman groups. If a strongSwan gateway initiates IKE_SA rekeying, it must use modp1024 as the DH group in the first attempt, otherwise rekeying fails. You can achieve this by setting modp1024 as the first (or only) DH group in the gateways ike proposal.

        CHILD_SA rekeying
        Rekeying CHILD_SAs is also supported by the Windows 7 client. For some reason, a client behind NAT does not accept a rekeying attempt and rejects it with a Microsoft specific notify 12345, containing an error code ERROR_IPSEC_IKE_INVALID_SITUATION.

        To work around the issue, let the client initiate the rekeying (set rekey=no on the server). It will do so about every 58 minutes and 46 seconds, so set the gateway rekey time a little higher. There is no way known to change the rekey time (the netsh.ras.ikev2saexpiry options affect the Windows Server implementation only).

        Another option is to set no rekey time, but only a hard lifetime to delete the CHILD_SA. The client will renegotiate the SA when required.

        0_1547822051580_dd85ba97-51d8-4aec-99ae-8572653e8fb4-image.png

        Par défaut , strongswan (phase 2) est configuré pour échanger des clés après 1 heure, essayez d'augmenter cet intervalle
        Ou faire en sorte que le client lui-même initie l'échange de clés, comme il est écrit ci-dessus en anglais

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.