IPSEC perdendo conexão
-
Bom dia,
Possuo várias conexões IPSEC e de um dia para outro começaram a cair as conexões, sendo necessário reiniciar o PfSense.De início gostaria de sanar a dúvida referente a quantidade, pois possuímos 205 conexões IPSEC. Buscando um dado em tempo real, estou com 163 ativas e 42 offline, caso eu reinicie o PfSense elas voltam a conectar normalmente.
Já verifiquei os dados entre as duas pontas, como tempo de vida, criptografia, etc.. Por isso não acredito que o problema esteja relacionado a isso.
Estou utilizando o PfSense 2.4.5.
Gostaria de um suporte para entender e realizar o troubleshooting.
-
@alexandre-angeli said in IPSEC perdendo conexão:
Estou utilizando o PfSense 2.4.5.
Bom dia,
Atualize para a versão 2.4.5-p1 primeiro para falar sobre a mesma coisa
https://docs.netgate.com/pfsense/en/latest/releases/2-4-5-p1.html2.4.5 estava cheio de problemas (pfctl, etc)
Cumps,
-
Bom dia,
Realizei a atualização mas mesmo assim se mantem o número de conexões inativas..Porém, olhando melhor como foram criadas, me deparei com algo que não tinha visto antes:
Na mesma fase1 tem 4 fases2, nunca tinha visto esse tipo de configuração.. É possível realizar conexões ao mesmo tempo? Ou ele só vai estabelecer apenas com 1 mesmo?
-
Complementando..
Continuei lendo/estudando a respeito e vi que não tem problema algum, pelo contrário é o recomendável que tenha configurações /32 para especificação de redes.
Ele desconecta devido a falta de transmissão de dados, e quando a interface é utilizada ele liga novamente a conexão.
Sabendo disso, vou remodelar minha pergunta! Em alguns casos, ele encerra a conexão e não volta mais, mesmo quando a interface volta a ser utilizada.
Existe tempo de inatividade para ele desconectar de vez?
-
@alexandre-angeli said in IPSEC perdendo conexão:
que tenha configurações /32
Boa noite,
Desculpe pela demora na resposta, mas o COVID dá problemas à Citrix "sysadmin task" diáriamente (a trabalhar em casa) - mas pelo menos tenho um trabalho.....
Exatamente / 32 não deve ser um problema
Eu teria outra pergunta...
Que tipo de hardware tem para esta infinidade de canais IPSec? -
Bom dia, desculpe a demora!
Estava questionando essa questão de hardware com outros colaboradores da empresa, pois hoje utilizo um computador "simples" como o servidor de firewall, com as seguintes configurações:
Processador: Intel(R) Core(TM) i5-9600K CPU @ 3.70GHz
Armazenamento: SSD/120GB
Memória RAM: 8GB 2666MhzPlaca de rede 1: Dual Giga Intel 82576eb E1g42et Pci-e X1 1000m
Placa de rede 2: Gigabit Pci-express X1 Mymax - Low Profile NfeEstou pensando na questão de Hardware, pois temos além da IPSEC, outros serviços:
- Snort
- OpenVPN
- Firewall
Qual é a recomendação de hardware?
-
@alexandre-angeli said in I**PSEC perdendo conexão:
** desculpe a demora!
Boa tarde,
Não tem problema, estou em Portugal, então há uma diferença em termos de fuso horário
Então.....
Para mim, à primeira vista, o hardware é escasso para tantas coisas IPSec ...
(eu sei que o pfSense funciona com poucos recursos, mas....... hmmmmm? )mas em um ambiente de produção, para tantas conexões IPSec ou OpenVPN, usamos este hardware
agora, estou a construir um que é estável, barato e definitivamente suficiente para os seus propósitos
- este é um Cisco UCS C220M3. Substituí a CPU (uma vez que a velocidade é importante para VPN e não o número de núcleos)
é assim que parece agora:
-Cisco UCS C220M3 V2 (eBay - 225USD - 4 anos de idade - em muito bom estado)
-CPU Intel Xeon E5-2643 V1 (SR0L7) 3,30 Ghz Quad x 2
-RAM 2x16GB ECC - mas isso é um exagero - mas foi assim que eu comprei
-SILICOM INTEL I350AM2 6X RJ-45 PCIE 2.1X8 CARTÃO ADAPTADOR DE REDE DO SERVIDOR PE2G6I35-R - 42USD - novo!Gasto total: 297USD
(é uma unidade relativamente nova e certamente funcionará em multiplicidade)+++editar:
Para isso, não use VM, apenas configuração "bare metal" ...
-
Gostei muito da recomendação de hardware, vou pesquisar a compra pelo Ebay também e tentar com minha gerência a aprovação.
Quanto as quedas da IPSEC. estou confuso ainda quanto ao problema, solicitei mais informações referente ao problema e me apresentaram a seguinte situação: "Quando reiniciado o equipamento da outra ponta, a IPSEC volta a responder normalmente, fica cerca de 1 ou 2 dias e para novamente".
Pedi para rever a configuração da ponta de lá, para fazer o comparativo, pois estou começando a acreditar que o problema não seja relacionado ao pfSense.
-
@alexandre-angeli said in IPSEC perdendo conexão:
pois estou começando a acreditar que o problema não seja relacionado ao pfSense.
de certo não é afiliado com o NGFW (pfSense), está no caminho certo aqui ...
no entanto, muitas conexões em hardware fraco podem causar problemas que não podemos controlar
(Acho que é por isso que alterna entre conexões e satura)podemos usar o dispositivo descrito (Cisco) até 300-350 conexões OpenVPN, com segurança
se IPSec (com muitas conexões), eu prefiro TNSR+++editar:
Eu nem perguntei qual é a largura de banda do seu ISP?
-
@DaddyGo said in IPSEC perdendo conexão:
Eu nem perguntei qual é a largura de banda do seu ISP?
Link de 100Mbps dedicados. Acredita ser pouco para a quantidade de VPN's?
-
@alexandre-angeli said in IPSEC perdendo conexão:
Acredita ser pouco para a quantidade de VPN's?
Bem, isso não é muito para @alexandre-angeli "pois possuímos 205 conexões IPSEC."
se os túneis estiverem saturados, o desprendimento pode ocorrer.... -
Se acontecesse uma matemática exata nas conexões, 100Mb / 205 = 0,48Mb, menos de 500kps por conexão, então dependendo do tráfico, acho que não é muito não rsrs... Isso sem considerar o tráfego gerado dentro da própria empresa.
-
@obmor said in IPSEC perdendo conexão:
conexões, 100Mb / 205 = 0,48Mb, menos de 500kps por conexão
é o que eu quero dizer
-
@DaddyGo sim sim.. só quis colocar em números o que você disse para tornar mais visível.. rsrs...
-
Muito obrigado!
Vou avaliar essa questão.. Por hora não sei o que está ocorrendo, mas as últimas informações são as seguintes:- A IPSEC fica offline enquanto não usa, e comprovei o correto funcionamento, quando pingo ela "levanta" novamente.
- Algumas IPSEC de outra rede aqui da empresa realmente param de funcionar e não voltam, PORÉM ao reiniciar o equipamento lá no cliente volta a responder... Então tenho minhas dúvidas se é algo aqui comigo.
- O hardware é fraco! Vou analisar e tentar a compra de um hardware melhor.
- Link está fraco para a quantidade de VPN's além do tráfego da própria empresa.
Vou marcar como solucionado o POST, pois isso vai requerer dias e dias até melhorar todos os pontos e saber se resolveu. Agradeço demais a disponibilidade de vocês.
-
@alexandre-angeli said in IPSEC perdendo conexão:
A IPSEC fica offline enquanto não usa, e comprovei o correto funcionamento, quando pingo ela "levanta" novamente.
Hmmmm, mas:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/keep-alive.html
