Kurzzeitige Verbindungsabbrüche bei IPSEC
-
Hallo,
ich hoffe Ihr könnt mir bei meinem Problem helfen:
Ich habe in meiner Firma die Router am Hauptsitz und den Filialen durch pfSense ersetzt.
Die Filiale haben alle feste IP's und sind via IPSEC an die Zentrale angeschlossen. Dort haben wir eine 2Mbit SDSL Leitung. Die Filialen haben alle T-DSL Business mit verschiedenen Bandbreiten. Traffic ist eigentlich ziemlich gering da die Warenwirtschaft über eine AS/400 läuft (quasi Telnet Anwendung).Hier mal die Konfiguration der verschiedenen Tunnel, die bis auf den PSK ja identisch ist:
Interface: WAN
Local Subnet: LAN subnet
Remote Subnet: 192.168.x.0 /24
Remote Gatway: Filiale WAN IPP1
Mode: aggressive
Identifier: My IP Adress
Encryption: Blowfish
Hash: SHA1
DH: 2
Lifetime: 28800
Auth: PSKP2
Protocol: ESP
Encryption: Blowfish
Hash: SHA1
PFS: 2
Lifetime: 86400Die Hardware in der Zentrale ist ein Intel 2,4 Ghz Rechner mit 1GB RAM und 2 Netzwerkkarten
Die Hardware in den Filialen sind die ALIX Platinen von PcEngines.Problem ist, dass die Verbindung in den Fililalen öfters am Tag verloren geht. Bei einer mehr bei einer weniger.
Bitte falls erforderlich bescheid sagen welche Art von Einträgen im Log relevant für die Fehlersuche sind bzw. der Grund.Nachdem ich die vierte Filiale mit draufgehängt habe funktioniert auch leider der PPTP Server in der Zentrale nicht mehr?! Hat da vielleicht jemand eine Idee? Ich habe PPTP jetzt vorerst auf unseren W2k3 Server weitergeleitet.
Ausserdem habe ich beobachtet das manche Firewalls keinen Kontakt zum NTP Server aufnehmen und somit auch ein falsches Datum haben. Kann das evtl. mit der Lifetime kollidieren?
Wäre super wenn jemand eine Idee hätte oder zumindest Interesse das Problem mit mir zu analysieren.
Viele Grüsse
Patrick
-
Hallo,
ist das statisch zu statisch oder dyn. zu statisch. Und ich nehme an du setzt 1.2 ein?
Gruß
Heiko -
Bei mir ist es ähnlich. Die "mobile Clients" wählen sich per IPSec auf der Firewall ein (Dyn. zu Stat.). Wenn die dann mal ca. 2min. keinen Traffic machen, bricht der Tunnel zwar nicht wirklich zusammen, aber es ist dann kein Traffic mehr darüber möglich. Man muss auf dem Client erst den Tunnel manuell beenden und ihn dann wieder öffnen damit wieder Traffic möglich wird.
Lässt man ein einer DOS-Box einen Dauerping laufen bleibt der Tunnel allerdings stabil. Hat jemand eine Ahnung was das sein kann ?
Im Log erscheint keine Fehlermeldung diesbezüglich.
EDIT: PFSense 1.2.1 RC2Gruß
Kiro -
Bei mir ist es ähnlich. Die "mobile Clients" wählen sich per IPSec auf der Firewall ein (Dyn. zu Stat.). Wenn die dann mal ca. 2min. keinen Traffic machen, bricht der Tunnel zwar nicht wirklich zusammen, aber es ist dann kein Traffic mehr darüber möglich. Man muss auf dem Client erst den Tunnel manuell beenden und ihn dann wieder öffnen damit wieder Traffic möglich wird.
Lässt man ein einer DOS-Box einen Dauerping laufen bleibt der Tunnel allerdings stabil. Hat jemand eine Ahnung was das sein kann ?
Im Log erscheint keine Fehlermeldung diesbezüglich.
PFSense 1.2 FinalGruß
KiroIch meine die "mobile client" option direkt im pfsense, hast Du einen IPsec-Client direkt auf dem entsprechenden Rechner installiert??
-
So, downgegraded auf "Release" und nun scheint es zu funktionieren. Ist wohl noch ein Bug in der RC2.
@heiko
Sowohl als auch ;) Auf einigen Notebooks läuft der IPSec Client von http://www.thegreenbow.de und von zu Hause öffne ich die IPSec Verbindung von meinem Linuxrechner per Racoon/Setkey.
Aber wie gesagt, bei der "Release" funktioniert das. Der Fehler tritt nur bei der RC2 auf… -
OK, beschreib noch einmal genau und mach ein Ticket für 1.21 auf!