PfSense 2.3.5 + 2.1.5 IPSec



  • Здравствуйте.
    Сопсно вторая тема тут у вас, по большому счету вдохновленная советами из первой. Есть у меня нашей организации сеть филиалов, в каждой из которых настроен шлюз на pfSense 2.1.5 еще в лохматые времена, и вроде в основном все работает, за исключением некоторых моментов которые до этого исправлялись. Но тут решился я таки обновить все это дело постепенно и поставил в один из филиалов шлюз на pfSense 2.3.5. Решил настроить IPSec - туннель между этим "нововведением" и старым который пока стоит в головном офисе. Настроил, запустил, туннель даже заработал, но через час или полтора свалился и отказывается подниматься обратно. Во всяком случае так пишет 2.3.5, в то же время 2.1.5 говорит что все норм, и он проблем не знает.
    Раньше на этом же филиале работал точно такой же туннель, разве что настроенный с обоих сторон на 2.1.5 и прекрасно себя чувствовал, что теперь случилось я чесгря понять не могу…
    настройка сервера в филиале:

    Phase1
    Key Exchange version Auto
    Internet Protocol v4
    Interface WAN
    Remote Gateway 188.128.xxx.xx
    Authentication Method Manual PSK
    Negotiation mode Main
    Pre-Shared Key 123123123
    Encryption Algorithm AES
    Hash Algorithm SHA1
    DH Group 1
    NAT Traversal Force
    
    Phase2
    Mode Tunnel IPv4
    Remote Network Network 10.0.0.0 /24
    Protocol ESP
    Encryption Algorithms AES
    Hash Algorithms SHA1
    
    

    На стороне "домашнего" все то же самое только удаленный адрес указан 92.255.yyy.yyy и в Phase2 удаленная сеть 192.168.72.0 /24

    May 22 07:09:58 	charon 		04[IKE] <con1|2>initiating IKE_SA con1[2] to 188.128.xxx.xx
    May 22 07:09:58 	charon 		04[ENC] <con1|2>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
    May 22 07:09:58 	charon 		04[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:10:02 	charon 		07[IKE] <con1|2>retransmit 1 of request with message ID 0
    May 22 07:10:02 	charon 		07[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:10:09 	charon 		09[IKE] <con1|2>retransmit 2 of request with message ID 0
    May 22 07:10:09 	charon 		09[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:10:22 	charon 		07[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
    May 22 07:10:22 	charon 		13[CFG] ignoring acquire, connection attempt pending
    May 22 07:10:22 	charon 		13[IKE] <con1|2>retransmit 3 of request with message ID 0
    May 22 07:10:22 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:10:45 	charon 		06[IKE] <con1|2>retransmit 4 of request with message ID 0
    May 22 07:10:45 	charon 		06[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:11:25 	charon 		09[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
    May 22 07:11:25 	charon 		04[CFG] ignoring acquire, connection attempt pending
    May 22 07:11:27 	charon 		09[IKE] <con1|2>retransmit 5 of request with message ID 0
    May 22 07:11:27 	charon 		09[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:12:28 	charon 		12[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
    May 22 07:12:28 	charon 		10[CFG] ignoring acquire, connection attempt pending
    May 22 07:12:43 	charon 		13[IKE] <con1|2>giving up after 5 retransmits
    May 22 07:12:43 	charon 		13[IKE] <con1|2>peer not responding, trying again (3/3)
    May 22 07:12:43 	charon 		13[IKE] <con1|2>initiating IKE_SA con1[2] to 188.128.xxx.xx
    May 22 07:12:43 	charon 		13[ENC] <con1|2>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
    May 22 07:12:43 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:12:47 	charon 		13[IKE] <con1|2>retransmit 1 of request with message ID 0
    May 22 07:12:47 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:12:54 	charon 		07[IKE] <con1|2>retransmit 2 of request with message ID 0
    May 22 07:12:54 	charon 		07[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:13:07 	charon 		05[IKE] <con1|2>retransmit 3 of request with message ID 0
    May 22 07:13:07 	charon 		05[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:13:30 	charon 		08[IKE] <con1|2>retransmit 4 of request with message ID 0
    May 22 07:13:30 	charon 		08[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:13:31 	charon 		08[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
    May 22 07:13:31 	charon 		06[CFG] ignoring acquire, connection attempt pending
    May 22 07:14:12 	charon 		11[IKE] <con1|2>retransmit 5 of request with message ID 0
    May 22 07:14:12 	charon 		11[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:14:34 	charon 		14[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
    May 22 07:14:34 	charon 		09[CFG] ignoring acquire, connection attempt pending
    May 22 07:15:28 	charon 		11[IKE] <con1|2>giving up after 5 retransmits
    May 22 07:15:28 	charon 		11[IKE] <con1|2>establishing IKE_SA failed, peer not responding
    May 22 07:15:37 	charon 		12[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
    May 22 07:15:37 	charon 		11[IKE] <con1|3>initiating IKE_SA con1[3] to 188.128.xxx.xx
    May 22 07:15:37 	charon 		11[ENC] <con1|3>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
    May 22 07:15:37 	charon 		11[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:15:41 	charon 		07[IKE] <con1|3>retransmit 1 of request with message ID 0
    May 22 07:15:41 	charon 		07[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:15:48 	charon 		07[IKE] <con1|3>retransmit 2 of request with message ID 0
    May 22 07:15:48 	charon 		07[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
    May 22 07:16:01 	charon 		14[IKE] <con1|3>retransmit 3 of request with message ID 0
    May 22 07:16:01 	charon 		14[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)</con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2> 
    

    На данный момент читаю разную документацию, может чего нарою, но если вы сможете помочь - буду премного благодарен



  • Добрый.

    2.1.5

    Уж оч. древнее.

    Там есть галка\пункт меню проверки туннеля на живучесть (типа пинга или что-то подобное) ? Если есть - поставьте.

    P.s. Если не выйдет - попробуйте Опенвпн.



  • @werter said in PfSense 2.3.5 + 2.1.5 IPSec:

    Добрый.

    2.1.5

    Уж оч. древнее.

    Там есть галка\пункт меню проверки туннеля на живучесть (типа пинга или что-то подобное) ? Если есть - поставьте.

    P.s. Если не выйдет - попробуйте Опенвпн.

    дак я понимаю что старый, потому и решил обновить, но поставить в разные регионы сервера одновременно - затея нереализуемая, потому решил делать постепенно и собственно вот результат.
    От галочки толку нет, решил попробовать сделать GIF-туннель, он даже заработал (во всяком случае в статусе интерфейса стоит up и имеются все реквизиты), но при этом почему-то при настройке маршрутизации не поднимаются нужные шлюзы, и "лежат" в состоянии Offline
    В логах при этом повторяется

    May 25 10:37:31 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
    May 25 10:37:31 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
    May 25 10:37:34 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100%
    May 25 10:37:58 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
    May 25 10:37:58 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
    May 25 10:38:01 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100% 
    May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
    May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.0.0.1 bind_addr 192.168.72.1 identifier "RTK_TUNNELV4 "
    May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
    May 25 10:44:44 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100%
    May 25 10:44:44 	dpinger 		RTK_TUNNELV4 10.0.0.1: Alarm latency 0us stddev 0us loss 100%
    May 28 10:18:14 	dpinger 		WAN_PPPOE 10.92.(шлюз провайдера): Alarm latency 1030us stddev 2529us loss 21%
    May 28 10:19:27 	dpinger 		WAN_PPPOE 10.92.(шлюз провайдера): Clear latency 499us stddev 366us loss 15%
    

    Может разные версии тупо несовместимы и не подружатся между собой?



  • И что, ни у кого никаких мыслей нет? Как, блин, мне подружить два филиала с разных городах имея в наличии два pfSense разных версий?