PfSense 2.3.5 + 2.1.5 IPSec

Desrozen

Здравствуйте.
Сопсно вторая тема тут у вас, по большому счету вдохновленная советами из первой. Есть у ~~меня~~ нашей организации сеть филиалов, в каждой из которых настроен шлюз на pfSense 2.1.5 еще в лохматые времена, и вроде в основном все работает, за исключением некоторых моментов которые до этого исправлялись. Но тут решился я таки обновить все это дело постепенно и поставил в один из филиалов шлюз на pfSense 2.3.5. Решил настроить IPSec - туннель между этим "нововведением" и старым который пока стоит в головном офисе. Настроил, запустил, туннель даже заработал, но через час или полтора свалился и отказывается подниматься обратно. Во всяком случае так пишет 2.3.5, в то же время 2.1.5 говорит что все норм, и он проблем не знает.
Раньше на этом же филиале работал точно такой же туннель, разве что настроенный с обоих сторон на 2.1.5 и прекрасно себя чувствовал, что теперь случилось я чесгря понять не могу…
настройка сервера в филиале:

Phase1
Key Exchange version Auto
Internet Protocol v4
Interface WAN
Remote Gateway 188.128.xxx.xx
Authentication Method Manual PSK
Negotiation mode Main
Pre-Shared Key 123123123
Encryption Algorithm AES
Hash Algorithm SHA1
DH Group 1
NAT Traversal Force

Phase2
Mode Tunnel IPv4
Remote Network Network 10.0.0.0 /24
Protocol ESP
Encryption Algorithms AES
Hash Algorithms SHA1

На стороне "домашнего" все то же самое только удаленный адрес указан 92.255.yyy.yyy и в Phase2 удаленная сеть 192.168.72.0 /24

May 22 07:09:58 	charon 		04[IKE] <con1|2>initiating IKE_SA con1[2] to 188.128.xxx.xx
May 22 07:09:58 	charon 		04[ENC] <con1|2>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
May 22 07:09:58 	charon 		04[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:02 	charon 		07[IKE] <con1|2>retransmit 1 of request with message ID 0
May 22 07:10:02 	charon 		07[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:09 	charon 		09[IKE] <con1|2>retransmit 2 of request with message ID 0
May 22 07:10:09 	charon 		09[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:22 	charon 		07[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:10:22 	charon 		13[CFG] ignoring acquire, connection attempt pending
May 22 07:10:22 	charon 		13[IKE] <con1|2>retransmit 3 of request with message ID 0
May 22 07:10:22 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:45 	charon 		06[IKE] <con1|2>retransmit 4 of request with message ID 0
May 22 07:10:45 	charon 		06[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:11:25 	charon 		09[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:11:25 	charon 		04[CFG] ignoring acquire, connection attempt pending
May 22 07:11:27 	charon 		09[IKE] <con1|2>retransmit 5 of request with message ID 0
May 22 07:11:27 	charon 		09[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:12:28 	charon 		12[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:12:28 	charon 		10[CFG] ignoring acquire, connection attempt pending
May 22 07:12:43 	charon 		13[IKE] <con1|2>giving up after 5 retransmits
May 22 07:12:43 	charon 		13[IKE] <con1|2>peer not responding, trying again (3/3)
May 22 07:12:43 	charon 		13[IKE] <con1|2>initiating IKE_SA con1[2] to 188.128.xxx.xx
May 22 07:12:43 	charon 		13[ENC] <con1|2>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
May 22 07:12:43 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:12:47 	charon 		13[IKE] <con1|2>retransmit 1 of request with message ID 0
May 22 07:12:47 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:12:54 	charon 		07[IKE] <con1|2>retransmit 2 of request with message ID 0
May 22 07:12:54 	charon 		07[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:13:07 	charon 		05[IKE] <con1|2>retransmit 3 of request with message ID 0
May 22 07:13:07 	charon 		05[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:13:30 	charon 		08[IKE] <con1|2>retransmit 4 of request with message ID 0
May 22 07:13:30 	charon 		08[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:13:31 	charon 		08[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:13:31 	charon 		06[CFG] ignoring acquire, connection attempt pending
May 22 07:14:12 	charon 		11[IKE] <con1|2>retransmit 5 of request with message ID 0
May 22 07:14:12 	charon 		11[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:14:34 	charon 		14[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:14:34 	charon 		09[CFG] ignoring acquire, connection attempt pending
May 22 07:15:28 	charon 		11[IKE] <con1|2>giving up after 5 retransmits
May 22 07:15:28 	charon 		11[IKE] <con1|2>establishing IKE_SA failed, peer not responding
May 22 07:15:37 	charon 		12[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:15:37 	charon 		11[IKE] <con1|3>initiating IKE_SA con1[3] to 188.128.xxx.xx
May 22 07:15:37 	charon 		11[ENC] <con1|3>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
May 22 07:15:37 	charon 		11[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:15:41 	charon 		07[IKE] <con1|3>retransmit 1 of request with message ID 0
May 22 07:15:41 	charon 		07[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:15:48 	charon 		07[IKE] <con1|3>retransmit 2 of request with message ID 0
May 22 07:15:48 	charon 		07[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:16:01 	charon 		14[IKE] <con1|3>retransmit 3 of request with message ID 0
May 22 07:16:01 	charon 		14[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)</con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2>

На данный момент читаю разную документацию, может чего нарою, но если вы сможете помочь - буду премного благодарен

werter

Добрый.

2.1.5

Уж оч. древнее.

Там есть галка\пункт меню проверки туннеля на живучесть (типа пинга или что-то подобное) ? Если есть - поставьте.

P.s. Если не выйдет - попробуйте Опенвпн.

Desroze

@werter said in PfSense 2.3.5 + 2.1.5 IPSec:

Добрый.

2.1.5

Уж оч. древнее.

Там есть галка\пункт меню проверки туннеля на живучесть (типа пинга или что-то подобное) ? Если есть - поставьте.

P.s. Если не выйдет - попробуйте Опенвпн.

дак я понимаю что старый, потому и решил обновить, но поставить в разные регионы сервера одновременно - затея нереализуемая, потому решил делать постепенно и собственно вот результат.
От галочки толку нет, решил попробовать сделать GIF-туннель, он даже заработал (во всяком случае в статусе интерфейса стоит up и имеются все реквизиты), но при этом почему-то при настройке маршрутизации не поднимаются нужные шлюзы, и "лежат" в состоянии Offline
В логах при этом повторяется

May 25 10:37:31 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
May 25 10:37:31 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
May 25 10:37:34 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100%
May 25 10:37:58 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
May 25 10:37:58 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
May 25 10:38:01 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100% 
May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.0.0.1 bind_addr 192.168.72.1 identifier "RTK_TUNNELV4 "
May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
May 25 10:44:44 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100%
May 25 10:44:44 	dpinger 		RTK_TUNNELV4 10.0.0.1: Alarm latency 0us stddev 0us loss 100%
May 28 10:18:14 	dpinger 		WAN_PPPOE 10.92.(шлюз провайдера): Alarm latency 1030us stddev 2529us loss 21%
May 28 10:19:27 	dpinger 		WAN_PPPOE 10.92.(шлюз провайдера): Clear latency 499us stddev 366us loss 15%

Может разные версии тупо несовместимы и не подружатся между собой?

Desroze

И что, ни у кого никаких мыслей нет? Как, блин, мне подружить два филиала с разных городах имея в наличии два pfSense разных версий?

PfSense 2.3.5 + 2.1.5 IPSec

Products

Applications

Support

Services

News

Resources

Company

Our Mission

Subscribe to our Newsletter