таймаут разрыва ipsec-соединения



  • Коллеги, вопрос простой, но в FAQ и поиске не нашел.
    pfSense 2.3.2-RELEASE-p1 (amd64)
    поднят IPSec-туннель с параметрами (некоторые):
    Remote Gateway a.a.a.a
    Negotiation mode main
    Lifetime (Seconds) 28800
    Disable rekey выключено
    Responder Only выключено
    Dead Peer Detection включено
      Delay 3600
      Max failures 50
    Remote subnet b.b.b.b
    Lifetime 28800
    Automatically ping host пусто

    через 10-15 минут  после подъема туннель падает. В  Status-IPSEC - состояние "Disconnected". Если запустить из  локалки ping b.b.b.b -  не  рвется.  Известно, что а.а.а.а - Cisco серии  ASA.

    Где какой  таймаут или  крыжик поставить, чтобы  туннель не падал даже при отсутствии трафика.  Или ткните в faq



  • Вот мой
    /var/etc/ipsec/ipsec.conf
    С одной из phase 2. Правда на удаленной стороне - не ASA. Обрывов по таймауту нет.

    # This file is automatically generated. Do not edit
    config setup
    	uniqueids = yes
    
    conn bypasslan
    	leftsubnet = 10.0.2.0/24
    	rightsubnet = 10.0.2.0/24
    	authby = never
    	type = passthrough
    	auto = route
    
    conn con1000
    	fragmentation = yes
    	keyexchange = ikev1
    	reauth = yes
    	forceencaps = no
    	mobike = no
    
    	rekey = yes
    	installpolicy = yes
    	type = tunnel
    	dpdaction = none
    	auto = route
    	left = xxx.xxx.xxx.229
    	right = xxx.xxx.xxx.186
    	leftid = xxx.xxx.xxx.229
    	ikelifetime = 10800s
    	lifetime = 3600s
    	ike = 3des-sha1-modp1536!
    	esp = 3des-sha1,3des-sha1,3des-sha1,3des-sha1!
    	leftauth = psk
    	rightauth = psk
    	rightid = xxx.xxx.xxx.186
    	aggressive = no
    	rightsubnet = 192.168.0.0/24
    	leftsubnet = 10.0.2.0/24
    


  • спасибо! я попробую.



  • @kontrol:

    Где какой  таймаут или  крыжик поставить, чтобы  туннель не падал даже при отсутствии трафика.  Или ткните в faq

    Доброе.

    Automatically ping host  ?



  • @werter:

    @kontrol:

    Где какой  таймаут или  крыжик поставить, чтобы  туннель не падал даже при отсутствии трафика.  Или ткните в faq

    Доброе.

    Automatically ping host  ?

    Может потребоваться сделать это:
    https://doc.pfsense.org/index.php/Why_can't_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN

    Due to the way IPsec tunnels are kludged into the FreeBSD kernel, any traffic initiated by m0n0wall to go through an IPsec tunnel gets the wrong source IP (and typically doesn't go through the tunnel at all as a result)



  • @werter:

    @kontrol:

    Где какой  таймаут или  крыжик поставить, чтобы  туннель не падал даже при отсутствии трафика.  Или ткните в faq

    Доброе.

    Automatically ping host  ?

    не помогло.