[RESOLVIDO] IPSec "morrendo" de um dia para outro

janmarcelo

Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
Atualmente tenho 161 túneis ativos e operantes.

Problema:
TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
ipsec up conxxxx
recebo: no config named conxxxx

PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

"Solução" até o momento:
ps aux | grep ipsec
kill -9 processos
Start pela interface web, após isto todos os túneis voltam a operar.
Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.

pskinfra

@janmarcelo:

Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
Atualmente tenho 161 túneis ativos e operantes.

Problema:
TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
ipsec up conxxxx
recebo: no config named conxxxx

PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

"Solução" até o momento:
ps aux | grep ipsec
kill -9 processos
Start pela interface web, após isto todos os túneis voltam a operar.
Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.

Caro janmarcelo.

Isso pode acontecer por diversas coisas, mas há pontos que você deve ter atenção:

1. Seu link de internet ( latência, atenuação );
2. Seu hardware com o Pfsense;
3. Criptografia e o seu método na criação das fases 1 e 2;

Att,

janmarcelo

@pskinfra:

@janmarcelo:

Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
Atualmente tenho 161 túneis ativos e operantes.

Problema:
TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
ipsec up conxxxx
recebo: no config named conxxxx

PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

"Solução" até o momento:
ps aux | grep ipsec
kill -9 processos
Start pela interface web, após isto todos os túneis voltam a operar.
Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.

Caro janmarcelo.

Isso pode acontecer por diversas coisas.
Mas há pontos que você deve ter atenção:

1. Seu link de internet ( latência, atenuação );
2. Seu hardware com o Pfsense;
3. Criptografia e o seu método na criação das fases 1 e 2;

Att,

1. Sim, já levei em consideração e em testes o failover funcionou perfeitamente, tenho notado de um dia para outro esse problema e verifiquei se houve oscilação, queda e não tivemos :(((

2. Atualmente ele encontra -se virtualizado em um Server:
   VMware ESXi, 6.5.0, 5310538
   HP ProLiant DL360 Gen9
   Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz

Tenho uma placa dedicada para as WAN's e outra para a LAN com as demais VM's
Todas estão como: E1000

3. Da Criptografia segue abaixo os lados:

Pfsense:
https://uploaddeimagens.com.br/imagens/pf1-png
https://uploaddeimagens.com.br/imagens/pf2-png
https://uploaddeimagens.com.br/imagens/pf3-png
https://uploaddeimagens.com.br/imagens/pf4-png

RV042:
https://uploaddeimagens.com.br/imagens/rv1-png
https://uploaddeimagens.com.br/imagens/rv2-png

OBS: Isso se refere apenas a uma conexão pfsense > Filial
OBS2: Tenho conexão com parceiros terceiros e elas também caem.
Isso acontece com todo o IPSec, após "cair" ou "travar" só retorna os túneis e seu compartamento normal quando forço a parada e subo novamente.

Muito obrigado pela ajuda desde já.

[]'s

pskinfra

@janmarcelo:

@pskinfra:

@janmarcelo:

Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
Atualmente tenho 161 túneis ativos e operantes.

Problema:
TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
ipsec up conxxxx
recebo: no config named conxxxx

PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

"Solução" até o momento:
ps aux | grep ipsec
kill -9 processos
Start pela interface web, após isto todos os túneis voltam a operar.
Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.

Caro janmarcelo.

Isso pode acontecer por diversas coisas.
Mas há pontos que você deve ter atenção:

1. Seu link de internet ( latência, atenuação );
2. Seu hardware com o Pfsense;
3. Criptografia e o seu método na criação das fases 1 e 2;

Att,

1. Sim, já levei em consideração e em testes o failover funcionou perfeitamente, tenho notado de um dia para outro esse problema e verifiquei se houve oscilação, queda e não tivemos :(((

2. Atualmente ele encontra -se virtualizado em um Server:
   VMware ESXi, 6.5.0, 5310538
   HP ProLiant DL360 Gen9
   Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz

Tenho uma placa dedicada para as WAN's e outra para a LAN com as demais VM's
Todas estão como: E1000

3. Da Criptografia segue abaixo os lados:

Pfsense:

RV042:

OBS: Isso se refere apenas a uma conexão pfsense > Filial
OBS2: Tenho conexão com parceiros terceiros e elas também caem.
Isso acontece com todo o IPSec, após "cair" ou "travar" só retorna os túneis e seu compartamento normal quando forço a parada e subo novamente.

Muito obrigado pela ajuda desde já.

[]'s

Esse seu cenário deverá analisar logs avançados e monitorar. Você monitora seus ativos ?

Eu tenho em um dos meus firewalls (pfsense), alguns túneis com ipsec. E resolvi analisando por "camadas"!

Tente ajustar os seguintes abaixo:

Fase 1

Algorítmo de criptografia: AES 128bits
Algorítmo Hash: MD5 –> SHA1
Grupo: 1 (768bit) –> 2 (1024bit)
Tempo de vida: 86400 –> 28800

Fase 2

protocolo: ESP
Algoritmo de criptografia: AES 128bits
Algorítmo Hash: MD5 –> SHA256
Grupo de chave PFS: desligado
Tempo de vida: 3600

Att,

janmarcelo

@pskinfra:

@janmarcelo:

@pskinfra:

@janmarcelo:

Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
Atualmente tenho 161 túneis ativos e operantes.

Problema:
TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
ipsec up conxxxx
recebo: no config named conxxxx

PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

"Solução" até o momento:
ps aux | grep ipsec
kill -9 processos
Start pela interface web, após isto todos os túneis voltam a operar.
Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.

Caro janmarcelo.

Isso pode acontecer por diversas coisas.
Mas há pontos que você deve ter atenção:

1. Seu link de internet ( latência, atenuação );
2. Seu hardware com o Pfsense;
3. Criptografia e o seu método na criação das fases 1 e 2;

Att,

1. Sim, já levei em consideração e em testes o failover funcionou perfeitamente, tenho notado de um dia para outro esse problema e verifiquei se houve oscilação, queda e não tivemos :(((

2. Atualmente ele encontra -se virtualizado em um Server:
   VMware ESXi, 6.5.0, 5310538
   HP ProLiant DL360 Gen9
   Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz

Tenho uma placa dedicada para as WAN's e outra para a LAN com as demais VM's
Todas estão como: E1000

3. Da Criptografia segue abaixo os lados:

Pfsense:

RV042:

OBS: Isso se refere apenas a uma conexão pfsense > Filial
OBS2: Tenho conexão com parceiros terceiros e elas também caem.
Isso acontece com todo o IPSec, após "cair" ou "travar" só retorna os túneis e seu compartamento normal quando forço a parada e subo novamente.

Muito obrigado pela ajuda desde já.

[]'s

Esse seu cenário deverá analisar logs avançados e monitorar. Você monitora seus ativos ?

Eu tenho em um dos meus firewalls (pfsense), alguns túneis com ipsec. E resolvi analisando por "camadas"!

Tente ajustar os seguintes abaixo:

Fase 1

Algorítmo de criptografia: AES 128bits
Algorítmo Hash: MD5 –> SHA1
Grupo: 1 (768bit) –> 2 (1024bit)
Tempo de vida: 86400 –> 28800

Fase 2

protocolo: ESP
Algoritmo de criptografia: AES 128bits
Algorítmo Hash: MD5 –> SHA256
Grupo de chave PFS: desligado
Tempo de vida: 3600

Att,

Monitoro meus ativos pelo zabbix. Tanto as filiais como os serviços terceirizados que possuem VPN.

Já tentei alterar os logs do IPSec em VPN>IPSec>Configurações Avançadas e alterei os Controles de Registro para alto em todos eles e não tive obtive nenhum erro, ele simplesmente "morre" ai quando clico em conectar, ou tento ipsec up conxxxx ele fala que não existe, o que parece é que o strongswan simplesmente morre. As conexões ativas continuam funcionando, porém as que caem não voltam mais a conectar, como utilizo o pfsense para conexão, não consigo mais reerguer os túneis a não ser matando o processo e subindo novamente.

Em relação as configurações de túnel, funciona normalmente são filiais, todas tem seus serviços operantes durante todo o tempo de trabalho, apenas de um dia pro outro que acontece este problema.

Pode me ajudar em relação aos logs? Atualmente venho monitorando o clog -f /var/log/system.log
Onde ele me da oscilações e alarmes dos links tão bem como reconfigurações do IPSec, mas nada de erro. Isso já esta me fazendo tirar os cabelos kkkk.

Obrigado mais uma vez.

[]'s

pskinfra

@janmarcelo:

@pskinfra:

@janmarcelo:

@pskinfra:

@janmarcelo:

Olá a todos, já procurei no fórum como um todo tanto quanto no google e não encontrei a causa e nem solução do problema, segue abaixo:
Tenho atualmente na empresa onde trabalho um pfsense que serve de firewall + vpn dos pontos.
Atualmente tenho 161 túneis ativos e operantes.

Problema:
TODOS os dias o IPSec trava, simplesmente pela manhã ao chegar os túneis que estão desconectados não conectam, pela interface web ao apertar em conectar ele somente da um "refresh" na tela não fazendo nada e se tento via linha de comando:
ipsec up conxxxx
recebo: no config named conxxxx

PS: Utilizo a interface com LoadBalance fazendo a conexão do pfsense x filial sempre, nunca filial x pfsense e funciona perfeitamente este cenário pra mim.

"Solução" até o momento:
ps aux | grep ipsec
kill -9 processos
Start pela interface web, após isto todos os túneis voltam a operar.
Já marquei todas as caixas log, verifico e deixo logando o system.log de um dia pro outro e nenhum evento anormal ocorre.

Alguém com problema semelhante ou alguma luz? No aguardo muito obrigado.

Caro janmarcelo.

Isso pode acontecer por diversas coisas.
Mas há pontos que você deve ter atenção:

1. Seu link de internet ( latência, atenuação );
2. Seu hardware com o Pfsense;
3. Criptografia e o seu método na criação das fases 1 e 2;

Att,

1. Sim, já levei em consideração e em testes o failover funcionou perfeitamente, tenho notado de um dia para outro esse problema e verifiquei se houve oscilação, queda e não tivemos :(((

2. Atualmente ele encontra -se virtualizado em um Server:
   VMware ESXi, 6.5.0, 5310538
   HP ProLiant DL360 Gen9
   Intel(R) Xeon(R) CPU E5-2630 v4 @ 2.20GHz

Tenho uma placa dedicada para as WAN's e outra para a LAN com as demais VM's
Todas estão como: E1000

3. Da Criptografia segue abaixo os lados:

Pfsense:

RV042:

OBS: Isso se refere apenas a uma conexão pfsense > Filial
OBS2: Tenho conexão com parceiros terceiros e elas também caem.
Isso acontece com todo o IPSec, após "cair" ou "travar" só retorna os túneis e seu compartamento normal quando forço a parada e subo novamente.

Muito obrigado pela ajuda desde já.

[]'s

Esse seu cenário deverá analisar logs avançados e monitorar. Você monitora seus ativos ?

Eu tenho em um dos meus firewalls (pfsense), alguns túneis com ipsec. E resolvi analisando por "camadas"!

Tente ajustar os seguintes abaixo:

Fase 1

Algorítmo de criptografia: AES 128bits
Algorítmo Hash: MD5 –> SHA1
Grupo: 1 (768bit) –> 2 (1024bit)
Tempo de vida: 86400 –> 28800

Fase 2

protocolo: ESP
Algoritmo de criptografia: AES 128bits
Algorítmo Hash: MD5 –> SHA256
Grupo de chave PFS: desligado
Tempo de vida: 3600

Att,

Monitoro meus ativos pelo zabbix. Tanto as filiais como os serviços terceirizados que possuem VPN.

Já tentei alterar os logs do IPSec em VPN>IPSec>Configurações Avançadas e alterei os Controles de Registro para alto em todos eles e não tive obtive nenhum erro, ele simplesmente "morre" ai quando clico em conectar, ou tento ipsec up conxxxx ele fala que não existe, o que parece é que o strongswan simplesmente morre. As conexões ativas continuam funcionando, porém as que caem não voltam mais a conectar, como utilizo o pfsense para conexão, não consigo mais reerguer os túneis a não ser matando o processo e subindo novamente.

Em relação as configurações de túnel, funciona normalmente são filiais, todas tem seus serviços operantes durante todo o tempo de trabalho, apenas de um dia pro outro que acontece este problema.

Pode me ajudar em relação aos logs? Atualmente venho monitorando o clog -f /var/log/system.log
Onde ele me da oscilações e alarmes dos links tão bem como reconfigurações do IPSec, mas nada de erro. Isso já esta me fazendo tirar os cabelos kkkk.

Obrigado mais uma vez.

[]'s

janmarcelo, me adicione no skype/whatsapp.

Att

janmarcelo

Venho aqui postar a solução do meu problema para este caso, tendo em vista que após a última resposta deste post, fiz algumas alterações para testes e esta operante a 7 dias sem nenhuma falha.
Em:
VPN>IPSec>Configurações Avançadas
Alterei os seguintes parâmetros:
Configure IDs exlusivos como: YES
Faça antes Break: Deixei desmarcada (Anteriormente estava marcada)

Até o momento, sem problemas, túneis caem / voltam sem maiores dificuldades, notei que por algum motivo as vezes o pfsense deixa um "lixo" em netstat -r
Solução até o momento quando o túnel fica com esse lixo mesmo desconectado é dar um route del <ip>e após isto mandar conectar novamente, com isso voltam a operar normalmente.

Qualquer dúvida estou à disposição. Obrigado pelo apoio.

[]'s</ip>