4. PfSense 2.3.5 + 2.1.5 IPSec

PfSense 2.3.5 + 2.1.5 IPSec

  • D

    Здравствуйте.
    Сопсно вторая тема тут у вас, по большому счету вдохновленная советами из первой. Есть у меня нашей организации сеть филиалов, в каждой из которых настроен шлюз на pfSense 2.1.5 еще в лохматые времена, и вроде в основном все работает, за исключением некоторых моментов которые до этого исправлялись. Но тут решился я таки обновить все это дело постепенно и поставил в один из филиалов шлюз на pfSense 2.3.5. Решил настроить IPSec - туннель между этим "нововведением" и старым который пока стоит в головном офисе. Настроил, запустил, туннель даже заработал, но через час или полтора свалился и отказывается подниматься обратно. Во всяком случае так пишет 2.3.5, в то же время 2.1.5 говорит что все норм, и он проблем не знает.
    Раньше на этом же филиале работал точно такой же туннель, разве что настроенный с обоих сторон на 2.1.5 и прекрасно себя чувствовал, что теперь случилось я чесгря понять не могу…
    настройка сервера в филиале:

    Phase1
Key Exchange version Auto
Internet Protocol v4
Interface WAN
Remote Gateway 188.128.xxx.xx
Authentication Method Manual PSK
Negotiation mode Main
Pre-Shared Key 123123123
Encryption Algorithm AES
Hash Algorithm SHA1
DH Group 1
NAT Traversal Force

Phase2
Mode Tunnel IPv4
Remote Network Network 10.0.0.0 /24
Protocol ESP
Encryption Algorithms AES
Hash Algorithms SHA1

    На стороне "домашнего" все то же самое только удаленный адрес указан 92.255.yyy.yyy и в Phase2 удаленная сеть 192.168.72.0 /24

    May 22 07:09:58 	charon 		04[IKE] <con1|2>initiating IKE_SA con1[2] to 188.128.xxx.xx
May 22 07:09:58 	charon 		04[ENC] <con1|2>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
May 22 07:09:58 	charon 		04[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:02 	charon 		07[IKE] <con1|2>retransmit 1 of request with message ID 0
May 22 07:10:02 	charon 		07[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:09 	charon 		09[IKE] <con1|2>retransmit 2 of request with message ID 0
May 22 07:10:09 	charon 		09[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:22 	charon 		07[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:10:22 	charon 		13[CFG] ignoring acquire, connection attempt pending
May 22 07:10:22 	charon 		13[IKE] <con1|2>retransmit 3 of request with message ID 0
May 22 07:10:22 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:10:45 	charon 		06[IKE] <con1|2>retransmit 4 of request with message ID 0
May 22 07:10:45 	charon 		06[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:11:25 	charon 		09[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:11:25 	charon 		04[CFG] ignoring acquire, connection attempt pending
May 22 07:11:27 	charon 		09[IKE] <con1|2>retransmit 5 of request with message ID 0
May 22 07:11:27 	charon 		09[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:12:28 	charon 		12[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:12:28 	charon 		10[CFG] ignoring acquire, connection attempt pending
May 22 07:12:43 	charon 		13[IKE] <con1|2>giving up after 5 retransmits
May 22 07:12:43 	charon 		13[IKE] <con1|2>peer not responding, trying again (3/3)
May 22 07:12:43 	charon 		13[IKE] <con1|2>initiating IKE_SA con1[2] to 188.128.xxx.xx
May 22 07:12:43 	charon 		13[ENC] <con1|2>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
May 22 07:12:43 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:12:47 	charon 		13[IKE] <con1|2>retransmit 1 of request with message ID 0
May 22 07:12:47 	charon 		13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:12:54 	charon 		07[IKE] <con1|2>retransmit 2 of request with message ID 0
May 22 07:12:54 	charon 		07[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:13:07 	charon 		05[IKE] <con1|2>retransmit 3 of request with message ID 0
May 22 07:13:07 	charon 		05[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:13:30 	charon 		08[IKE] <con1|2>retransmit 4 of request with message ID 0
May 22 07:13:30 	charon 		08[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:13:31 	charon 		08[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:13:31 	charon 		06[CFG] ignoring acquire, connection attempt pending
May 22 07:14:12 	charon 		11[IKE] <con1|2>retransmit 5 of request with message ID 0
May 22 07:14:12 	charon 		11[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:14:34 	charon 		14[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:14:34 	charon 		09[CFG] ignoring acquire, connection attempt pending
May 22 07:15:28 	charon 		11[IKE] <con1|2>giving up after 5 retransmits
May 22 07:15:28 	charon 		11[IKE] <con1|2>establishing IKE_SA failed, peer not responding
May 22 07:15:37 	charon 		12[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1}
May 22 07:15:37 	charon 		11[IKE] <con1|3>initiating IKE_SA con1[3] to 188.128.xxx.xx
May 22 07:15:37 	charon 		11[ENC] <con1|3>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
May 22 07:15:37 	charon 		11[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:15:41 	charon 		07[IKE] <con1|3>retransmit 1 of request with message ID 0
May 22 07:15:41 	charon 		07[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:15:48 	charon 		07[IKE] <con1|3>retransmit 2 of request with message ID 0
May 22 07:15:48 	charon 		07[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)
May 22 07:16:01 	charon 		14[IKE] <con1|3>retransmit 3 of request with message ID 0
May 22 07:16:01 	charon 		14[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)</con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2>

    На данный момент читаю разную документацию, может чего нарою, но если вы сможете помочь - буду премного благодарен

    0
  • W

    Добрый.

    2.1.5

    Уж оч. древнее.

    Там есть галка\пункт меню проверки туннеля на живучесть (типа пинга или что-то подобное) ? Если есть - поставьте.

    P.s. Если не выйдет - попробуйте Опенвпн.

    0
  • D

    @werter said in PfSense 2.3.5 + 2.1.5 IPSec:

    Добрый.

    2.1.5

    Уж оч. древнее.

    Там есть галка\пункт меню проверки туннеля на живучесть (типа пинга или что-то подобное) ? Если есть - поставьте.

    P.s. Если не выйдет - попробуйте Опенвпн.

    дак я понимаю что старый, потому и решил обновить, но поставить в разные регионы сервера одновременно - затея нереализуемая, потому решил делать постепенно и собственно вот результат.
    От галочки толку нет, решил попробовать сделать GIF-туннель, он даже заработал (во всяком случае в статусе интерфейса стоит up и имеются все реквизиты), но при этом почему-то при настройке маршрутизации не поднимаются нужные шлюзы, и "лежат" в состоянии Offline
    В логах при этом повторяется

    May 25 10:37:31 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
May 25 10:37:31 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
May 25 10:37:34 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100%
May 25 10:37:58 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
May 25 10:37:58 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
May 25 10:38:01 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100% 
May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE "
May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.0.0.1 bind_addr 192.168.72.1 identifier "RTK_TUNNELV4 "
May 25 10:44:41 	dpinger 		send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 "
May 25 10:44:44 	dpinger 		TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100%
May 25 10:44:44 	dpinger 		RTK_TUNNELV4 10.0.0.1: Alarm latency 0us stddev 0us loss 100%
May 28 10:18:14 	dpinger 		WAN_PPPOE 10.92.(шлюз провайдера): Alarm latency 1030us stddev 2529us loss 21%
May 28 10:19:27 	dpinger 		WAN_PPPOE 10.92.(шлюз провайдера): Clear latency 499us stddev 366us loss 15%

    Может разные версии тупо несовместимы и не подружатся между собой?

    0
  • D

    И что, ни у кого никаких мыслей нет? Как, блин, мне подружить два филиала с разных городах имея в наличии два pfSense разных версий?

    0
Log in to reply
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy