PfSense 2.3.5 + 2.1.5 IPSec
-
Здравствуйте.
Сопсно вторая тема тут у вас, по большому счету вдохновленная советами из первой. Есть уменянашей организации сеть филиалов, в каждой из которых настроен шлюз на pfSense 2.1.5 еще в лохматые времена, и вроде в основном все работает, за исключением некоторых моментов которые до этого исправлялись. Но тут решился я таки обновить все это дело постепенно и поставил в один из филиалов шлюз на pfSense 2.3.5. Решил настроить IPSec - туннель между этим "нововведением" и старым который пока стоит в головном офисе. Настроил, запустил, туннель даже заработал, но через час или полтора свалился и отказывается подниматься обратно. Во всяком случае так пишет 2.3.5, в то же время 2.1.5 говорит что все норм, и он проблем не знает.
Раньше на этом же филиале работал точно такой же туннель, разве что настроенный с обоих сторон на 2.1.5 и прекрасно себя чувствовал, что теперь случилось я чесгря понять не могу…
настройка сервера в филиале:Phase1 Key Exchange version Auto Internet Protocol v4 Interface WAN Remote Gateway 188.128.xxx.xx Authentication Method Manual PSK Negotiation mode Main Pre-Shared Key 123123123 Encryption Algorithm AES Hash Algorithm SHA1 DH Group 1 NAT Traversal Force Phase2 Mode Tunnel IPv4 Remote Network Network 10.0.0.0 /24 Protocol ESP Encryption Algorithms AES Hash Algorithms SHA1
На стороне "домашнего" все то же самое только удаленный адрес указан 92.255.yyy.yyy и в Phase2 удаленная сеть 192.168.72.0 /24
May 22 07:09:58 charon 04[IKE] <con1|2>initiating IKE_SA con1[2] to 188.128.xxx.xx May 22 07:09:58 charon 04[ENC] <con1|2>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] May 22 07:09:58 charon 04[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:10:02 charon 07[IKE] <con1|2>retransmit 1 of request with message ID 0 May 22 07:10:02 charon 07[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:10:09 charon 09[IKE] <con1|2>retransmit 2 of request with message ID 0 May 22 07:10:09 charon 09[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:10:22 charon 07[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1} May 22 07:10:22 charon 13[CFG] ignoring acquire, connection attempt pending May 22 07:10:22 charon 13[IKE] <con1|2>retransmit 3 of request with message ID 0 May 22 07:10:22 charon 13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:10:45 charon 06[IKE] <con1|2>retransmit 4 of request with message ID 0 May 22 07:10:45 charon 06[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:11:25 charon 09[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1} May 22 07:11:25 charon 04[CFG] ignoring acquire, connection attempt pending May 22 07:11:27 charon 09[IKE] <con1|2>retransmit 5 of request with message ID 0 May 22 07:11:27 charon 09[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:12:28 charon 12[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1} May 22 07:12:28 charon 10[CFG] ignoring acquire, connection attempt pending May 22 07:12:43 charon 13[IKE] <con1|2>giving up after 5 retransmits May 22 07:12:43 charon 13[IKE] <con1|2>peer not responding, trying again (3/3) May 22 07:12:43 charon 13[IKE] <con1|2>initiating IKE_SA con1[2] to 188.128.xxx.xx May 22 07:12:43 charon 13[ENC] <con1|2>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] May 22 07:12:43 charon 13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:12:47 charon 13[IKE] <con1|2>retransmit 1 of request with message ID 0 May 22 07:12:47 charon 13[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:12:54 charon 07[IKE] <con1|2>retransmit 2 of request with message ID 0 May 22 07:12:54 charon 07[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:13:07 charon 05[IKE] <con1|2>retransmit 3 of request with message ID 0 May 22 07:13:07 charon 05[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:13:30 charon 08[IKE] <con1|2>retransmit 4 of request with message ID 0 May 22 07:13:30 charon 08[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:13:31 charon 08[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1} May 22 07:13:31 charon 06[CFG] ignoring acquire, connection attempt pending May 22 07:14:12 charon 11[IKE] <con1|2>retransmit 5 of request with message ID 0 May 22 07:14:12 charon 11[NET] <con1|2>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:14:34 charon 14[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1} May 22 07:14:34 charon 09[CFG] ignoring acquire, connection attempt pending May 22 07:15:28 charon 11[IKE] <con1|2>giving up after 5 retransmits May 22 07:15:28 charon 11[IKE] <con1|2>establishing IKE_SA failed, peer not responding May 22 07:15:37 charon 12[KNL] creating acquire job for policy 92.255.yyy.yyy/32|/0 === 188.128.xxx.xx/32|/0 with reqid {1} May 22 07:15:37 charon 11[IKE] <con1|3>initiating IKE_SA con1[3] to 188.128.xxx.xx May 22 07:15:37 charon 11[ENC] <con1|3>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] May 22 07:15:37 charon 11[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:15:41 charon 07[IKE] <con1|3>retransmit 1 of request with message ID 0 May 22 07:15:41 charon 07[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:15:48 charon 07[IKE] <con1|3>retransmit 2 of request with message ID 0 May 22 07:15:48 charon 07[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes) May 22 07:16:01 charon 14[IKE] <con1|3>retransmit 3 of request with message ID 0 May 22 07:16:01 charon 14[NET] <con1|3>sending packet: from 92.255.yyy.yyy[500] to 188.128.xxx.xx[500] (306 bytes)</con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|3></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2></con1|2>
На данный момент читаю разную документацию, может чего нарою, но если вы сможете помочь - буду премного благодарен
-
Добрый.
2.1.5
Уж оч. древнее.
Там есть галка\пункт меню проверки туннеля на живучесть (типа пинга или что-то подобное) ? Если есть - поставьте.
P.s. Если не выйдет - попробуйте Опенвпн.
-
@werter said in PfSense 2.3.5 + 2.1.5 IPSec:
Добрый.
2.1.5
Уж оч. древнее.
Там есть галка\пункт меню проверки туннеля на живучесть (типа пинга или что-то подобное) ? Если есть - поставьте.
P.s. Если не выйдет - попробуйте Опенвпн.
дак я понимаю что старый, потому и решил обновить, но поставить в разные регионы сервера одновременно - затея нереализуемая, потому решил делать постепенно и собственно вот результат.
От галочки толку нет, решил попробовать сделать GIF-туннель, он даже заработал (во всяком случае в статусе интерфейса стоит up и имеются все реквизиты), но при этом почему-то при настройке маршрутизации не поднимаются нужные шлюзы, и "лежат" в состоянии Offline
В логах при этом повторяетсяMay 25 10:37:31 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE " May 25 10:37:31 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 " May 25 10:37:34 dpinger TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100% May 25 10:37:58 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE " May 25 10:37:58 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 " May 25 10:38:01 dpinger TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100% May 25 10:44:41 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.92.(шлюз провайдера) bind_addr 92.255.yyy.yyy identifier "WAN_PPPOE " May 25 10:44:41 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 10.0.0.1 bind_addr 192.168.72.1 identifier "RTK_TUNNELV4 " May 25 10:44:41 dpinger send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 0 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.166.1 bind_addr 192.168.72.1 identifier "TEL_TUNNELV4 " May 25 10:44:44 dpinger TEL_TUNNELV4 192.168.166.1: Alarm latency 0us stddev 0us loss 100% May 25 10:44:44 dpinger RTK_TUNNELV4 10.0.0.1: Alarm latency 0us stddev 0us loss 100% May 28 10:18:14 dpinger WAN_PPPOE 10.92.(шлюз провайдера): Alarm latency 1030us stddev 2529us loss 21% May 28 10:19:27 dpinger WAN_PPPOE 10.92.(шлюз провайдера): Clear latency 499us stddev 366us loss 15%
Может разные версии тупо несовместимы и не подружатся между собой?
-
И что, ни у кого никаких мыслей нет? Как, блин, мне подружить два филиала с разных городах имея в наличии два pfSense разных версий?