[RESOLVIDO] IPSec "morrendo" de um dia para outro



  • Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
    Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
    Atualmente tenho 161 túneis ativos e operantes.

    Problema:
    TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
    ipsec up conxxxx
    recebo: no config named conxxxx

    PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

    "Solução" até o momento:
    ps aux | grep ipsec
    kill -9 processos
    Start pela interface web, após isto todos os túneis voltam a operar.
    Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

    Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.



  • @janmarcelo:

    Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
    Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
    Atualmente tenho 161 túneis ativos e operantes.

    Problema:
    TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
    ipsec up conxxxx
    recebo: no config named conxxxx

    PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

    "Solução" até o momento:
    ps aux | grep ipsec
    kill -9 processos
    Start pela interface web, após isto todos os túneis voltam a operar.
    Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

    Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.

    Caro janmarcelo.

    Isso pode acontecer por diversas coisas, mas há pontos que você deve ter atenção:

    1. Seu link de internet ( latência, atenuação );
    2. Seu hardware com o Pfsense;
    3. Criptografia e o seu método na criação das fases 1 e 2;

    Att,



  • @pskinfra:

    @janmarcelo:

    Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
    Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
    Atualmente tenho 161 túneis ativos e operantes.

    Problema:
    TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
    ipsec up conxxxx
    recebo: no config named conxxxx

    PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

    "Solução" até o momento:
    ps aux | grep ipsec
    kill -9 processos
    Start pela interface web, após isto todos os túneis voltam a operar.
    Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

    Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.

    Caro janmarcelo.

    Isso pode acontecer por diversas coisas.
    Mas há pontos que você deve ter atenção:

    1. Seu link de internet ( latência, atenuação );
    2. Seu hardware com o Pfsense;
    3. Criptografia e o seu método na criação das fases 1 e 2;

    Att,

    1. Sim, já levei em consideração e em testes o failover funcionou perfeitamente, tenho notado de um dia para outro esse problema e verifiquei se houve oscilação, queda e não tivemos :(((

    2. Atualmente ele encontra -se virtualizado em um Server:
      VMware ESXi, 6.5.0, 5310538
      HP ProLiant DL360 Gen9
      Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz

    Tenho uma placa dedicada para as WAN's e outra para a LAN com as demais VM's
    Todas estão como: E1000

    1. Da Criptografia segue abaixo os lados:

    Pfsense:
    https://uploaddeimagens.com.br/imagens/pf1-png
    https://uploaddeimagens.com.br/imagens/pf2-png
    https://uploaddeimagens.com.br/imagens/pf3-png
    https://uploaddeimagens.com.br/imagens/pf4-png

    RV042:
    https://uploaddeimagens.com.br/imagens/rv1-png
    https://uploaddeimagens.com.br/imagens/rv2-png

    OBS: Isso se refere apenas a uma conexão pfsense > Filial
    OBS2: Tenho conexão com parceiros terceiros e elas também caem.
    Isso acontece com todo o IPSec, após "cair" ou "travar" só retorna os túneis e seu compartamento normal quando forço a parada e subo novamente.

    Muito obrigado pela ajuda desde já.

    []'s



  • @janmarcelo:

    @pskinfra:

    @janmarcelo:

    Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
    Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
    Atualmente tenho 161 túneis ativos e operantes.

    Problema:
    TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
    ipsec up conxxxx
    recebo: no config named conxxxx

    PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

    "Solução" até o momento:
    ps aux | grep ipsec
    kill -9 processos
    Start pela interface web, após isto todos os túneis voltam a operar.
    Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

    Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.

    Caro janmarcelo.

    Isso pode acontecer por diversas coisas.
    Mas há pontos que você deve ter atenção:

    1. Seu link de internet ( latência, atenuação );
    2. Seu hardware com o Pfsense;
    3. Criptografia e o seu método na criação das fases 1 e 2;

    Att,

    1. Sim, já levei em consideração e em testes o failover funcionou perfeitamente, tenho notado de um dia para outro esse problema e verifiquei se houve oscilação, queda e não tivemos :(((

    2. Atualmente ele encontra -se virtualizado em um Server:
      VMware ESXi, 6.5.0, 5310538
      HP ProLiant DL360 Gen9
      Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz

    Tenho uma placa dedicada para as WAN's e outra para a LAN com as demais VM's
    Todas estão como: E1000

    1. Da Criptografia segue abaixo os lados:

    Pfsense:



    RV042:

    OBS: Isso se refere apenas a uma conexão pfsense > Filial
    OBS2: Tenho conexão com parceiros terceiros e elas também caem.
    Isso acontece com todo o IPSec, após "cair" ou "travar" só retorna os túneis e seu compartamento normal quando forço a parada e subo novamente.

    Muito obrigado pela ajuda desde já.

    []'s

    Esse seu cenário deverá analisar logs avançados e monitorar. Você monitora seus ativos ?

    Eu tenho em um dos meus firewalls (pfsense), alguns túneis com ipsec. E resolvi analisando por "camadas"!

    Tente ajustar os seguintes abaixo:

    Fase 1

    Algorítmo de criptografia: AES 128bits
    Algorítmo Hash: MD5 –> SHA1
    Grupo: 1 (768bit) –> 2 (1024bit)
    Tempo de vida: 86400 –> 28800

    Fase 2

    protocolo: ESP
    Algoritmo de criptografia: AES 128bits
    Algorítmo Hash: MD5 –> SHA256
    Grupo de chave PFS: desligado
    Tempo de vida: 3600

    Att,



  • @pskinfra:

    @janmarcelo:

    @pskinfra:

    @janmarcelo:

    Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
    Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
    Atualmente tenho 161 túneis ativos e operantes.

    Problema:
    TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
    ipsec up conxxxx
    recebo: no config named conxxxx

    PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

    "Solução" até o momento:
    ps aux | grep ipsec
    kill -9 processos
    Start pela interface web, após isto todos os túneis voltam a operar.
    Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

    Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.

    Caro janmarcelo.

    Isso pode acontecer por diversas coisas.
    Mas há pontos que você deve ter atenção:

    1. Seu link de internet ( latência, atenuação );
    2. Seu hardware com o Pfsense;
    3. Criptografia e o seu método na criação das fases 1 e 2;

    Att,

    1. Sim, já levei em consideração e em testes o failover funcionou perfeitamente, tenho notado de um dia para outro esse problema e verifiquei se houve oscilação, queda e não tivemos :(((

    2. Atualmente ele encontra -se virtualizado em um Server:
      VMware ESXi, 6.5.0, 5310538
      HP ProLiant DL360 Gen9
      Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz

    Tenho uma placa dedicada para as WAN's e outra para a LAN com as demais VM's
    Todas estão como: E1000

    1. Da Criptografia segue abaixo os lados:

    Pfsense:



    RV042:

    OBS: Isso se refere apenas a uma conexão pfsense > Filial
    OBS2: Tenho conexão com parceiros terceiros e elas também caem.
    Isso acontece com todo o IPSec, após "cair" ou "travar" só retorna os túneis e seu compartamento normal quando forço a parada e subo novamente.

    Muito obrigado pela ajuda desde já.

    []'s

    Esse seu cenário deverá analisar logs avançados e monitorar. Você monitora seus ativos ?

    Eu tenho em um dos meus firewalls (pfsense), alguns túneis com ipsec. E resolvi analisando por "camadas"!

    Tente ajustar os seguintes abaixo:

    Fase 1

    Algorítmo de criptografia: AES 128bits
    Algorítmo Hash: MD5 –> SHA1
    Grupo: 1 (768bit) –> 2 (1024bit)
    Tempo de vida: 86400 –> 28800

    Fase 2

    protocolo: ESP
    Algoritmo de criptografia: AES 128bits
    Algorítmo Hash: MD5 –> SHA256
    Grupo de chave PFS: desligado
    Tempo de vida: 3600

    Att,

    Monitoro meus ativos pelo zabbix. Tanto as filiais como os serviços terceirizados que possuem VPN.

    Já tentei alterar os logs do IPSec em VPN>IPSec>Configurações Avançadas e alterei os Controles de Registro para alto em todos eles e não tive obtive nenhum erro, ele simplesmente "morre" ai quando clico em conectar, ou tento ipsec up conxxxx ele fala que não existe, o que parece é que o strongswan simplesmente morre. As conexões ativas continuam funcionando, porém as que caem não voltam mais a conectar, como utilizo o pfsense para conexão, não consigo mais reerguer os túneis a não ser matando o processo e subindo novamente.

    Em relação as configurações de túnel, funciona normalmente são filiais, todas tem seus serviços operantes durante todo o tempo de trabalho, apenas de um dia pro outro que acontece este problema.

    Pode me ajudar em relação aos logs? Atualmente venho monitorando o clog -f /var/log/system.log
    Onde ele me da oscilações e alarmes dos links tão bem como reconfigurações do IPSec, mas nada de erro. Isso já esta me fazendo tirar os cabelos kkkk.

    Obrigado mais uma vez.

    []'s



  • @janmarcelo:

    @pskinfra:

    @janmarcelo:

    @pskinfra:

    @janmarcelo:

    Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
    Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
    Atualmente tenho 161 túneis ativos e operantes.

    Problema:
    TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
    ipsec up conxxxx
    recebo: no config named conxxxx

    PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

    "Solução" até o momento:
    ps aux | grep ipsec
    kill -9 processos
    Start pela interface web, após isto todos os túneis voltam a operar.
    Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

    Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.

    Caro janmarcelo.

    Isso pode acontecer por diversas coisas.
    Mas há pontos que você deve ter atenção:

    1. Seu link de internet ( latência, atenuação );
    2. Seu hardware com o Pfsense;
    3. Criptografia e o seu método na criação das fases 1 e 2;

    Att,

    1. Sim, já levei em consideração e em testes o failover funcionou perfeitamente, tenho notado de um dia para outro esse problema e verifiquei se houve oscilação, queda e não tivemos :(((

    2. Atualmente ele encontra -se virtualizado em um Server:
      VMware ESXi, 6.5.0, 5310538
      HP ProLiant DL360 Gen9
      Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz

    Tenho uma placa dedicada para as WAN's e outra para a LAN com as demais VM's
    Todas estão como: E1000

    1. Da Criptografia segue abaixo os lados:

    Pfsense:



    RV042:

    OBS: Isso se refere apenas a uma conexão pfsense > Filial
    OBS2: Tenho conexão com parceiros terceiros e elas também caem.
    Isso acontece com todo o IPSec, após "cair" ou "travar" só retorna os túneis e seu compartamento normal quando forço a parada e subo novamente.

    Muito obrigado pela ajuda desde já.

    []'s

    Esse seu cenário deverá analisar logs avançados e monitorar. Você monitora seus ativos ?

    Eu tenho em um dos meus firewalls (pfsense), alguns túneis com ipsec. E resolvi analisando por "camadas"!

    Tente ajustar os seguintes abaixo:

    Fase 1

    Algorítmo de criptografia: AES 128bits
    Algorítmo Hash: MD5 –> SHA1
    Grupo: 1 (768bit) –> 2 (1024bit)
    Tempo de vida: 86400 –> 28800

    Fase 2

    protocolo: ESP
    Algoritmo de criptografia: AES 128bits
    Algorítmo Hash: MD5 –> SHA256
    Grupo de chave PFS: desligado
    Tempo de vida: 3600

    Att,

    Monitoro meus ativos pelo zabbix. Tanto as filiais como os serviços terceirizados que possuem VPN.

    Já tentei alterar os logs do IPSec em VPN>IPSec>Configurações Avançadas e alterei os Controles de Registro para alto em todos eles e não tive obtive nenhum erro, ele simplesmente "morre" ai quando clico em conectar, ou tento ipsec up conxxxx ele fala que não existe, o que parece é que o strongswan simplesmente morre. As conexões ativas continuam funcionando, porém as que caem não voltam mais a conectar, como utilizo o pfsense para conexão, não consigo mais reerguer os túneis a não ser matando o processo e subindo novamente.

    Em relação as configurações de túnel, funciona normalmente são filiais, todas tem seus serviços operantes durante todo o tempo de trabalho, apenas de um dia pro outro que acontece este problema.

    Pode me ajudar em relação aos logs? Atualmente venho monitorando o clog -f /var/log/system.log
    Onde ele me da oscilações e alarmes dos links tão bem como reconfigurações do IPSec, mas nada de erro. Isso já esta me fazendo tirar os cabelos kkkk.

    Obrigado mais uma vez.

    []'s

    janmarcelo, me adicione no skype/whatsapp.

    Att



  • Venho aqui postar a solução do meu problema para este caso, tendo em vista que após a última resposta deste post, fiz algumas alterações para testes e esta operante a 7 dias sem nenhuma falha.
    Em:
    VPN>IPSec>Configurações Avançadas
    Alterei os seguintes parâmetros:
    Configure IDs exlusivos como: YES
    Faça antes Break: Deixei desmarcada (Anteriormente estava marcada)

    Até o momento, sem problemas, túneis caem / voltam sem maiores dificuldades, notei que por algum motivo as vezes o pfsense deixa um "lixo" em netstat -r
    Solução até o momento quando o túnel fica com esse lixo mesmo desconectado é dar um route del <ip>e após isto mandar conectar novamente, com isso voltam a operar normalmente.

    Qualquer dúvida estou à disposição. Obrigado pelo apoio.

    []'s</ip>


Log in to reply