Ipsec Ikev2 road warriors (mobile) - разрыв соединения через 8 часов

Konstanti

@mikeroygbiv
Попробуйте сделать , как я написал
Судя по логам это происходит в момент обновления ключей
Эта проблема обычно вылезает на windows 7+ikev2+клиент за NAT-ом ( и ,как правило,через 1 час соединения )

mikeroygbiv

@Konstanti
да, я уже ранее включил эту опцию, но и с ней не помогло..

после включения этой опции, в статусе ipsec соединений, в поле Reauth появился символ - (прочерк), т.е по идее да, разрыва не должно происходить

через час ни разу не разрывалось, у всех клиентов соединение со статусом ESTABLISHED держится примерно 7:49 часов..
все клиенты windows 10 (1607, 1903) да и на windows 7 тоже через час не разрывается, (я так полагаю, на это влияет настройка в Фазе 2, время жизни ключа, 3600 сек)

mikeroygbiv

@Konstanti
В логах, каждый час идет обмен ключами, при этом соединение не разрывается

werter

Добрый.

@mikeroygbiv

Версия пф?
Смотрите баг-трекер пф. Если найдется что-то, то смените временно на Openvpn.

mikeroygbiv

@werter
добрый !

версия 2.4.4_p3
да, видимо придется задействовать еще один OpenVPN сервер с широким доступом.
один сервер уже запущен, на нем основная группа пользователей, там все порезано

ipsec конечно быстрее, поэтому особо требовательным пользователям к пропускной способности решил дать его.

werter

@mikeroygbiv
Обновитесь.

mikeroygbiv

@werter
надеюсь это поможет))
но думаю врядли

а вы не сталкивались с таким на Windows+PF ?
при условии, что ipsec соединение устанавливается нативно.

возможно, надо попробовать сторонний клиент
Shrew Soft например.
спасибо за ответы!!
буду сюда отписываться по результатам

werter

@mikeroygbiv
Пользую, где возможно ovpn. Он гораздо гибче.

Konstanti

@mikeroygbiv
Я бы разбирался все-таки с клиентом Windows , есть ли там логи ( не знаю ) . Не может быть такого , чтобы у всех одновременно проблемы начинались
Я вот вижу в логах , что клиенты перестают отвечать (con-mobile<3>). как следствие ike_sa удалили.

а второй клиент почему-то перестает отвечать на dpd запросы

Всей картины не видно , Вы же кусок лога "вырезали", судя по всему

werter

@Konstanti said in Ipsec Ikev2 road warriors (mobile) - разрыв соединения через 8 часов:

Я бы разбирался все-таки с клиентом Windows , есть ли там логи ( не знаю ) .

Может в "Просмотре событий" Вин что-то есть.

mikeroygbiv

В Event Viewer ничего путного не нашел..может конечно не те параметры выбирал для поиска
но все что касается VPN, RasMan итд - ни очем не говорящие ошибки отключения туннеля да и только.

пока что сделал новый сервер Ovpn
по дефолту там тоже каждый час разрыв, но reneg-sec 0 решает этот вопрос
только что наверное это не совсем правильно..

mikeroygbiv

@werter
Обновился на тестовом стенде
посмотрим

да, версия strongswan теперь посвежее, за декабрь 2019
5.8.2

хотя в самой свежей, 5.8.3 есть изменения, которые я предполагаю, возможно, исправлют эти ошибки, не факт конечно..

https://www.strongswan.org/blog/2020/03/25/strongswan-5.8.3-released.html

но это уже будет в новом апдейте PF

Konstanti

@mikeroygbiv
По-моему , тут дело в клиенте Windows
Обращу еще раз Ваше внимание , что в журнале событий оба обрыва связаны с неответом второй стороны
1 раз при обновлении ключей - клиент не ответил на сообщение
2 раз клиент перестал отвечать на dpd запросы ( попробуйте их отключить )

Сегодня на ночь специально поставлю телефон с включенным удаленным доступом ( посмотрим , сколько продержится соединение )

mikeroygbiv

@Konstanti Спасибо большое)!!)

попробую dpd отключить, ок.!

pigbrother

@mikeroygbiv said in Ipsec Ikev2 road warriors (mobile) - разрыв соединения через 8 часов:

по дефолту там тоже каждый час разрыв, но reneg-sec 0 решает этот вопрос

У вас, наверное, auth-nocache в конфиге клиента. Без этой директивы коннект, IMHO, не обрывается.

mikeroygbiv

@pigbrother это если с сохраненным паролем, не разрывается? (в GUI, на винде, маке итд)
нет, эта директива не была включена.

pigbrother

@mikeroygbiv Извинтите, могу и ошибаться. В свое время экспериментировал с auth-nocache, соединение рвалось каждый час с запросом логина -пароля. Помогло reneg-sec 0 на стороне сервера.
Позже auth-nocache у клиентов убрал, а reneg-sec 0 на сервере, оказывается, осталось.
Сейчас экспериментировать неуместно , многие работают через OVPN из дому.

Konstanti

@mikeroygbiv Добрый день
Насколько я вижу , Вы нашли решение Вашей проблемы
Если несложно , опишите решение здесь , чтобы в будущем кому-то было это полезным

mikeroygbiv

@Konstanti
да, обязательно отпишусь сюда и в соседнюю тему о способах решения проблемы если все успешно решу)

пока что WIndows не отреагировал на настройку таймаута рекея (Брандмауер-IPsec, настройки первой фазы - 480 мин по умолчанию)

возможно, ему не нравится редактирование с GUI или еще чтото -буду тестировать.

нашел интересную статью на этот счет (больше касается безопасности, но все же, интересно что, во всех манаулах написаных кем либо для pfsense по поводу мобильного IPsec ikev2+Windows везде написано строго использовать такие параметры как SHA1, DH 2, итд. иначе не подключитесь

ведь все это можно перенастроить в Windows под большую безопасность, и согласованность типов шифрования в обеих фазах.

[https://www.stevenjordan.net/2016/09/secure-ikev2-win-10.html)](link url)

Konstanti

@mikeroygbiv
Настройте все так, чтобы инициатором обновления ключей был именно Виндоуз
Как раз об этом я и писал в ссылке , которую Вам привели в той теме