IPSEC perdendo conexão

alexandre.angeli · Oct 22, 2020, 2:33 PM

Bom dia, desculpe a demora!

Estava questionando essa questão de hardware com outros colaboradores da empresa, pois hoje utilizo um computador "simples" como o servidor de firewall, com as seguintes configurações:

Processador: Intel(R) Core(TM) i5-9600K CPU @ 3.70GHz
Armazenamento: SSD/120GB
Memória RAM: 8GB 2666Mhz

Placa de rede 1: Dual Giga Intel 82576eb E1g42et Pci-e X1 1000m
Placa de rede 2: Gigabit Pci-express X1 Mymax - Low Profile Nfe

Estou pensando na questão de Hardware, pois temos além da IPSEC, outros serviços:

Snort
OpenVPN
Firewall

Qual é a recomendação de hardware?

DaddyGo · Oct 22, 2020, 3:56 PM

@alexandre-angeli said in I**PSEC perdendo conexão:

** desculpe a demora!

Boa tarde,

Não tem problema, estou em Portugal, então há uma diferença em termos de fuso horário

Então.....
Para mim, à primeira vista, o hardware é escasso para tantas coisas IPSec ...
(eu sei que o pfSense funciona com poucos recursos, mas....... hmmmmm? )

mas em um ambiente de produção, para tantas conexões IPSec ou OpenVPN, usamos este hardware

agora, estou a construir um que é estável, barato e definitivamente suficiente para os seus propósitos

este é um Cisco UCS C220M3. Substituí a CPU (uma vez que a velocidade é importante para VPN e não o número de núcleos)

é assim que parece agora:

-Cisco UCS C220M3 V2 (eBay - 225USD - 4 anos de idade - em muito bom estado)
-CPU Intel Xeon E5-2643 V1 (SR0L7) 3,30 Ghz Quad x 2
-RAM 2x16GB ECC - mas isso é um exagero - mas foi assim que eu comprei
-SILICOM INTEL I350AM2 6X RJ-45 PCIE 2.1X8 CARTÃO ADAPTADOR DE REDE DO SERVIDOR PE2G6I35-R - 42USD - novo!

Gasto total: 297USD
(é uma unidade relativamente nova e certamente funcionará em multiplicidade)

+++editar:

Para isso, não use VM, apenas configuração "bare metal" ...

login-to-view

alexandre.angeli · Oct 22, 2020, 5:04 PM

Gostei muito da recomendação de hardware, vou pesquisar a compra pelo Ebay também e tentar com minha gerência a aprovação.

Quanto as quedas da IPSEC. estou confuso ainda quanto ao problema, solicitei mais informações referente ao problema e me apresentaram a seguinte situação: "Quando reiniciado o equipamento da outra ponta, a IPSEC volta a responder normalmente, fica cerca de 1 ou 2 dias e para novamente".

Pedi para rever a configuração da ponta de lá, para fazer o comparativo, pois estou começando a acreditar que o problema não seja relacionado ao pfSense.

DaddyGo · Oct 22, 2020, 5:16 PM

@alexandre-angeli said in IPSEC perdendo conexão:

pois estou começando a acreditar que o problema não seja relacionado ao pfSense.

de certo não é afiliado com o NGFW (pfSense), está no caminho certo aqui ...

no entanto, muitas conexões em hardware fraco podem causar problemas que não podemos controlar
(Acho que é por isso que alterna entre conexões e satura)

podemos usar o dispositivo descrito (Cisco) até 300-350 conexões OpenVPN, com segurança
se IPSec (com muitas conexões), eu prefiro TNSR

+++editar:

Eu nem perguntei qual é a largura de banda do seu ISP?

alexandre.angeli · Oct 22, 2020, 5:20 PM

@DaddyGo said in IPSEC perdendo conexão:

Eu nem perguntei qual é a largura de banda do seu ISP?

Link de 100Mbps dedicados. Acredita ser pouco para a quantidade de VPN's?

DaddyGo · Oct 22, 2020, 5:25 PM

@alexandre-angeli said in IPSEC perdendo conexão:

Acredita ser pouco para a quantidade de VPN's?

Bem, isso não é muito para @alexandre-angeli "pois possuímos 205 conexões IPSEC."
se os túneis estiverem saturados, o desprendimento pode ocorrer....

obmor · Oct 23, 2020, 1:34 PM

Se acontecesse uma matemática exata nas conexões, 100Mb / 205 = 0,48Mb, menos de 500kps por conexão, então dependendo do tráfico, acho que não é muito não rsrs... Isso sem considerar o tráfego gerado dentro da própria empresa.

DaddyGo · Oct 23, 2020, 1:50 PM

@obmor said in IPSEC perdendo conexão:

conexões, 100Mb / 205 = 0,48Mb, menos de 500kps por conexão

é o que eu quero dizer

obmor · Oct 23, 2020, 1:52 PM

@DaddyGo sim sim.. só quis colocar em números o que você disse para tornar mais visível.. rsrs...

alexandre.angeli · Oct 23, 2020, 2:10 PM

Muito obrigado!
Vou avaliar essa questão.. Por hora não sei o que está ocorrendo, mas as últimas informações são as seguintes:

A IPSEC fica offline enquanto não usa, e comprovei o correto funcionamento, quando pingo ela "levanta" novamente.
Algumas IPSEC de outra rede aqui da empresa realmente param de funcionar e não voltam, PORÉM ao reiniciar o equipamento lá no cliente volta a responder... Então tenho minhas dúvidas se é algo aqui comigo.
O hardware é fraco! Vou analisar e tentar a compra de um hardware melhor.
Link está fraco para a quantidade de VPN's além do tráfego da própria empresa.

Vou marcar como solucionado o POST, pois isso vai requerer dias e dias até melhorar todos os pontos e saber se resolveu. Agradeço demais a disponibilidade de vocês.

DaddyGo · Oct 23, 2020, 2:24 PM

@alexandre-angeli said in IPSEC perdendo conexão:

A IPSEC fica offline enquanto não usa, e comprovei o correto funcionamento, quando pingo ela "levanta" novamente.

Hmmmm, mas:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/keep-alive.html