Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense 2.3.5 + 2.1.5 IPSec

    Scheduled Pinned Locked Moved Russian
    4 Posts 3 Posters 561 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      Desrozen
      last edited by

      Здравствуйте.
      Сопсно вторая тема тут у вас, по большому счету вдохновленная советами из первой. Есть у меня нашей организации сеть филиалов, в каждой из которых настроен шлюз на pfSense 2.1.5 еще в лохматые времена, и вроде в основном все работает, за исключением некоторых моментов которые до этого исправлялись. Но тут решился я таки обновить все это дело постепенно и поставил в один из филиалов шлюз на pfSense 2.3.5. Решил настроить IPSec - туннель между этим "нововведением" и старым который пока стоит в головном офисе. Настроил, запустил, туннель даже заработал, но через час или полтора свалился и отказывается подниматься обратно. Во всяком случае так пишет 2.3.5, в то же время 2.1.5 говорит что все норм, и он проблем не знает.
      Раньше на этом же филиале работал точно такой же туннель, разве что настроенный с обоих сторон на 2.1.5 и прекрасно себя чувствовал, что теперь случилось я чесгря понять не могу…
      настройка сервера в филиале:

      Phase1
Key Exchange version Auto
Internet Protocol v4
Interface WAN
Remote Gateway 188.128.xxx.xx
Authentication Method Manual PSK
Negotiation mode Main
Pre-Shared Key 123123123
Encryption Algorithm AES
Hash Algorithm SHA1
DH Group 1
NAT Traversal Force

Phase2
Mode Tunnel IPv4
Remote Network Network 10.0.0.0 /24
Protocol ESP
Encryption Algorithms AES
Hash Algorithms SHA1

      На стороне "домашнего" все то же самое только удаленный адрес указан 92.255.yyy.yyy и в Phase2 удаленная сеть 192.168.72.0 /24

      May 22 07:09:58 	charon 		04[IKE] <con1|2>initiating IKE_SA con1[2] to 188.128.xxx.xx
May 22 07:09:58 	charon 		04[ENC] <con1|2>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
May 22 07:09:58 	charon 		04[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:02 	charon 		07[IKE] <con1|2>retransmit 1 of request with message ID 0
May 22 07:10:02 	charon 		07[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:09 	charon 		09[IKE] <con1|2>retransmit 2 of request with message ID 0
May 22 07:10:09 	charon 		09[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:22 	charon 		07[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:10:22 	charon 		13[CFG] ignoring acquire, connection attempt pending
May 22 07:10:22 	charon 		13[IKE] <con1|2>retransmit 3 of request with message ID 0
May 22 07:10:22 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:45 	charon 		06[IKE] <con1|2>retransmit 4 of request with message ID 0
May 22 07:10:45 	charon 		06[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:11:25 	charon 		09[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:11:25 	charon 		04[CFG] ignoring acquire, connection attempt pending
May 22 07:11:27 	charon 		09[IKE] <con1|2>retransmit 5 of request with message ID 0
May 22 07:11:27 	charon 		09[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:12:28 	charon 		12[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:12:28 	charon 		10[CFG] ignoring acquire, connection attempt pending
May 22 07:12:43 	charon 		13[IKE] <con1|2>giving up after 5 retransmits
May 22 07:12:43 	charon 		13[IKE] <con1|2>peer not responding, trying again (3/3)
May 22 07:12:43 	charon 		13[IKE] <con1|2>initiating IKE_SA con1[2] to 188.128.xxx.xx
May 22 07:12:43 	charon 		13[ENC] <con1|2>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
May 22 07:12:43 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:12:47 	charon 		13[IKE] <con1|2>retransmit 1 of request with message ID 0
May 22 07:12:47 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:12:54 	charon 		07[IKE] <con1|2>retransmit 2 of request with message ID 0
May 22 07:12:54 	charon 		07[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:13:07 	charon 		05[IKE] <con1|2>retransmit 3 of request with message ID 0
May 22 07:13:07 	charon 		05[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:13:30 	charon 		08[IKE] <con1|2>retransmit 4 of request with message ID 0
May 22 07:13:30 	charon 		08[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:13:31 	charon 		08[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:13:31 	charon 		06[CFG] ignoring acquire, connection attempt pending
May 22 07:14:12 	charon 		11[IKE] <con1|2>retransmit 5 of request with message ID 0
May 22 07:14:12 	charon 		11[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:14:34 	charon 		14[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:14:34 	charon 		09[CFG] ignoring acquire, connection attempt pending
May 22 07:15:28 	charon 		11[IKE] <con1|2>giving up after 5 retransmits
May 22 07:15:28 	charon 		11[IKE] <con1|2>establishing IKE_SA failed, peer not responding
May 22 07:15:37 	charon 		12[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:15:37 	charon 		11[IKE] <con1|3>initiating IKE_SA con1[3] to 188.128.xxx.xx
May 22 07:15:37 	charon 		11[ENC] <con1|3>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
May 22 07:15:37 	charon 		11[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:15:41 	charon 		07[IKE] <con1|3>retransmit 1 of request with message ID 0
May 22 07:15:41 	charon 		07[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:15:48 	charon 		07[IKE] <con1|3>retransmit 2 of request with message ID 0
May 22 07:15:48 	charon 		07[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:16:01 	charon 		14[IKE] <con1|3>retransmit 3 of request with message ID 0
May 22 07:16:01 	charon 		14[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)</con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2>

      На данный момент читаю разную документацию, может чего нарою, но если вы сможете помочь - буду премного благодарен

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Добрый.

        2.1.5

        Уж оч. древнее.

        Там есть галка\пункт меню проверки туннеля на живучесть (типа пинга или что-то подобное) ? Если есть - поставьте.

        P.s. Если не выйдет - попробуйте Опенвпн.

        1 Reply Last reply Reply Quote 0
        • D
          Desroze
          last edited by Desroze

          @werter said in PfSense 2.3.5 + 2.1.5 IPSec:

          Добрый.

          2.1.5

          Уж оч. древнее.

          Там есть галка\пункт меню проверки туннеля на живучесть (типа пинга или что-то подобное) ? Если есть - поставьте.

          P.s. Если не выйдет - попробуйте Опенвпн.

          дак я понимаю что старый, потому и решил обновить, но поставить в разные регионы сервера одновременно - затея нереализуемая, потому решил делать постепенно и собственно вот результат.
          От галочки толку нет, решил попробовать сделать GIF-туннель, он даже заработал (во всяком случае в статусе интерфейса стоит up и имеются все реквизиты), но при этом почему-то при настройке маршрутизации не поднимаются нужные шлюзы, и "лежат" в состоянии Offline
          В логах при этом повторяется

          May 25 10:37:31 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
May 25 10:37:31 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
May 25 10:37:34 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100%
May 25 10:37:58 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
May 25 10:37:58 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
May 25 10:38:01 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100% 
May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.0.0.1 bind_addr 192.168.72.1 identifier "RTK_TUNNELV4 "
May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
May 25 10:44:44 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100%
May 25 10:44:44 	dpinger 		RTK_TUNNELV4 10.0.0.1: Alarm latency 0us stddev 0us loss 100%
May 28 10:18:14 	dpinger 		WAN_PPPOE 10.92.(шлюз провайдера): Alarm latency 1030us stddev 2529us loss 21%
May 28 10:19:27 	dpinger 		WAN_PPPOE 10.92.(шлюз провайдера): Clear latency 499us stddev 366us loss 15%

          Может разные версии тупо несовместимы и не подружатся между собой?

          1 Reply Last reply Reply Quote 0
          • D
            Desroze
            last edited by

            И что, ни у кого никаких мыслей нет? Как, блин, мне подружить два филиала с разных городах имея в наличии два pfSense разных версий?

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.