Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ipsec Ikev2 road warriors (mobile) - разрыв соединения через 8 часов

    Scheduled Pinned Locked Moved Russian
    28 Posts 4 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @mikeroygbiv
      last edited by Konstanti

      @mikeroygbiv
      Попробуйте сделать , как я написал
      Судя по логам это происходит в момент обновления ключей
      Эта проблема обычно вылезает на windows 7+ikev2+клиент за NAT-ом ( и ,как правило,через 1 час соединения )

      M 2 Replies Last reply Reply Quote 0
      • M
        mikeroygbiv @Konstanti
        last edited by mikeroygbiv

        @Konstanti
        да, я уже ранее включил эту опцию, но и с ней не помогло..

        после включения этой опции, в статусе ipsec соединений, в поле Reauth появился символ - (прочерк), т.е по идее да, разрыва не должно происходить

        через час ни разу не разрывалось, у всех клиентов соединение со статусом ESTABLISHED держится примерно 7:49 часов..
        все клиенты windows 10 (1607, 1903) да и на windows 7 тоже через час не разрывается, (я так полагаю, на это влияет настройка в Фазе 2, время жизни ключа, 3600 сек)

        1 Reply Last reply Reply Quote 0
        • M
          mikeroygbiv @Konstanti
          last edited by

          @Konstanti
          В логах, каждый час идет обмен ключами, при этом соединение не разрывается

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Добрый.

            @mikeroygbiv

            Версия пф?
            Смотрите баг-трекер пф. Если найдется что-то, то смените временно на Openvpn.

            M 1 Reply Last reply Reply Quote 0
            • M
              mikeroygbiv @werter
              last edited by mikeroygbiv

              @werter
              добрый !

              версия 2.4.4_p3
              да, видимо придется задействовать еще один OpenVPN сервер с широким доступом.
              один сервер уже запущен, на нем основная группа пользователей, там все порезано

              ipsec конечно быстрее, поэтому особо требовательным пользователям к пропускной способности решил дать его.

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                @mikeroygbiv
                Обновитесь.

                M 2 Replies Last reply Reply Quote 0
                • M
                  mikeroygbiv @werter
                  last edited by

                  @werter
                  😁 надеюсь это поможет))
                  но думаю врядли

                  а вы не сталкивались с таким на Windows+PF ?
                  при условии, что ipsec соединение устанавливается нативно.

                  возможно, надо попробовать сторонний клиент
                  Shrew Soft например.
                  спасибо за ответы!!
                  буду сюда отписываться по результатам

                  K 1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    @mikeroygbiv
                    Пользую, где возможно ovpn. Он гораздо гибче.

                    1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @mikeroygbiv
                      last edited by Konstanti

                      @mikeroygbiv
                      Я бы разбирался все-таки с клиентом Windows , есть ли там логи ( не знаю ) . Не может быть такого , чтобы у всех одновременно проблемы начинались
                      Я вот вижу в логах , что клиенты перестают отвечать (con-mobile<3>). как следствие ike_sa удалили.

                      а второй клиент почему-то перестает отвечать на dpd запросы

                      Всей картины не видно , Вы же кусок лога "вырезали", судя по всему

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        @Konstanti said in Ipsec Ikev2 road warriors (mobile) - разрыв соединения через 8 часов:

                        Я бы разбирался все-таки с клиентом Windows , есть ли там логи ( не знаю ) .

                        Может в "Просмотре событий" Вин что-то есть.

                        1 Reply Last reply Reply Quote 0
                        • M
                          mikeroygbiv
                          last edited by

                          В Event Viewer ничего путного не нашел..может конечно не те параметры выбирал для поиска
                          но все что касается VPN, RasMan итд - ни очем не говорящие ошибки отключения туннеля да и только.

                          пока что сделал новый сервер Ovpn
                          по дефолту там тоже каждый час разрыв, но reneg-sec 0 решает этот вопрос
                          только что наверное это не совсем правильно..

                          P 1 Reply Last reply Reply Quote 0
                          • M
                            mikeroygbiv @werter
                            last edited by

                            @werter
                            Обновился на тестовом стенде
                            посмотрим

                            да, версия strongswan теперь посвежее, за декабрь 2019
                            5.8.2

                            хотя в самой свежей, 5.8.3 есть изменения, которые я предполагаю, возможно, исправлют эти ошибки, не факт конечно..

                            https://www.strongswan.org/blog/2020/03/25/strongswan-5.8.3-released.html

                            но это уже будет в новом апдейте PF

                            K 1 Reply Last reply Reply Quote 0
                            • K
                              Konstanti @mikeroygbiv
                              last edited by Konstanti

                              @mikeroygbiv
                              По-моему , тут дело в клиенте Windows
                              Обращу еще раз Ваше внимание , что в журнале событий оба обрыва связаны с неответом второй стороны
                              1 раз при обновлении ключей - клиент не ответил на сообщение
                              2 раз клиент перестал отвечать на dpd запросы ( попробуйте их отключить )

                              Сегодня на ночь специально поставлю телефон с включенным удаленным доступом ( посмотрим , сколько продержится соединение )

                              M 1 Reply Last reply Reply Quote 0
                              • M
                                mikeroygbiv @Konstanti
                                last edited by

                                @Konstanti Спасибо большое)!!)

                                попробую dpd отключить, ок.!

                                K 1 Reply Last reply Reply Quote 0
                                • P
                                  pigbrother @mikeroygbiv
                                  last edited by pigbrother

                                  @mikeroygbiv said in Ipsec Ikev2 road warriors (mobile) - разрыв соединения через 8 часов:

                                  по дефолту там тоже каждый час разрыв, но reneg-sec 0 решает этот вопрос

                                  У вас, наверное, auth-nocache в конфиге клиента. Без этой директивы коннект, IMHO, не обрывается.

                                  M 1 Reply Last reply Reply Quote 0
                                  • M
                                    mikeroygbiv @pigbrother
                                    last edited by mikeroygbiv

                                    @pigbrother это если с сохраненным паролем, не разрывается? (в GUI, на винде, маке итд)
                                    нет, эта директива не была включена.

                                    P 1 Reply Last reply Reply Quote 0
                                    • P
                                      pigbrother @mikeroygbiv
                                      last edited by

                                      @mikeroygbiv Извинтите, могу и ошибаться. В свое время экспериментировал с auth-nocache, соединение рвалось каждый час с запросом логина -пароля. Помогло reneg-sec 0 на стороне сервера.
                                      Позже auth-nocache у клиентов убрал, а reneg-sec 0 на сервере, оказывается, осталось.
                                      Сейчас экспериментировать неуместно , многие работают через OVPN из дому.

                                      1 Reply Last reply Reply Quote 0
                                      • K
                                        Konstanti @mikeroygbiv
                                        last edited by

                                        @mikeroygbiv Добрый день
                                        Насколько я вижу , Вы нашли решение Вашей проблемы
                                        Если несложно , опишите решение здесь , чтобы в будущем кому-то было это полезным

                                        M 2 Replies Last reply Reply Quote 0
                                        • M
                                          mikeroygbiv @Konstanti
                                          last edited by mikeroygbiv

                                          @Konstanti
                                          да, обязательно отпишусь сюда и в соседнюю тему о способах решения проблемы если все успешно решу)

                                          пока что WIndows не отреагировал на настройку таймаута рекея (Брандмауер-IPsec, настройки первой фазы - 480 мин по умолчанию)

                                          возможно, ему не нравится редактирование с GUI или еще чтото -буду тестировать.

                                          нашел интересную статью на этот счет (больше касается безопасности, но все же, интересно что, во всех манаулах написаных кем либо для pfsense по поводу мобильного IPsec ikev2+Windows везде написано строго использовать такие параметры как SHA1, DH 2, итд. иначе не подключитесь

                                          ведь все это можно перенастроить в Windows под большую безопасность, и согласованность типов шифрования в обеих фазах.

                                          [https://www.stevenjordan.net/2016/09/secure-ikev2-win-10.html)](link url)

                                          K 1 Reply Last reply Reply Quote 0
                                          • K
                                            Konstanti @mikeroygbiv
                                            last edited by Konstanti

                                            @mikeroygbiv
                                            Настройте все так, чтобы инициатором обновления ключей был именно Виндоуз
                                            Как раз об этом я и писал в ссылке , которую Вам привели в той теме

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.