IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с
-
Здравствуйте
Связаны две сети (основной офис - PF, cisco на практически безлюдном объекте).
IP с двух сторон статические.Cisco выбрана подрядчиком при строительстве, тут мы не влияли на выбор.
Настройки по умолчанию
LifeTime Phase1 = 28800
LifeTime Phase2 = 3600На киске аналогично.
Линк поднимается сразу и без проблем, сетевые устройства доступны в обе стороны.
Есть одно но: по истечении 3600 секунд (LifeTime Phase2) собственно на PfSense исчезает вкладка Show child SA entries и более фаза 2 не отрабатывается. На стороне киски соединение выглядит как установленное как собственно и на PfSense. На киске выставлял и keep Alive и DPD включал, однако безрезультатно. Можно конечно lifetime подогнать поближе, но как-то не по правилам это...
Помогите идеями пожалуйста. -
Добрый
@arkan1973Версия пф?
Что в логах пф в момент пропадания впн-линка? -
Здр
Сделайте время жизни фазы-2 со стороны Cisco чуть меньше чем на PF (минут на 10 ). Пусть Cisco будет инициатором обновления ключей фазы-2.Если не поможет , попробуйте сделать наоборот .
-
Только увидел, что у вас пф 2.3 ((
Обновляйтесь. Там СТОЛЬКО исправили багов по Ipsec etc.
Иначе будете биться об стену, пытаясь понять, почему оно не работает.Зы. Есть немного по циске + пф + ипсек https://administrator.de/forum/zwischen-miktrotik-und-pfsense-gre-tunnel-mit-ipsec-verschluesslung-397059.html
-
Спасибо за предложения, попробую заменить время, потом буду видимо обновляться.
-
@arkan1973
бэкап кофигов не забудьте перед обновлением и версию текущую скачать на всякий.Если версия пф x86, то обновиться до х64 не получится (
Можно попробовать поставить свежий пф и подкинуть конфиги от старого.
На виртбоксе потренироваться сперва. -
@werter said in IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с:
Можно попробовать поставить свежий пф и подкинуть конфиги от старого.
Поднимал 2.3.x x64 с конфигом от 2.2.х x86.
Прямой апгрейд с 2.3 до 2.5 может оказаться проблематичным.
Стоит почитать:
https://docs.netgate.com/pfsense/en/latest/install/upgrade-guide-versions.html#upgrading-from-versions-older-than-pfsense-2-4-0
Если понадобятся промежуточные версии, их можно взять тут:
http://mirror.transip.net/pfsense/downloads/
http://linorg.usp.br/pfsense/downloads/ -
@arkan1973
Добрый день,Аналогичная проблема с pF 2.5.2 и SonicWall. Каждые 3600 просто дропает туннель. Справился тем что поменял шифрование.
-
Может чего в оф доке найдется:
https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec.html
https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec-duplicate-sa.html -
Обновил до 2.5.2. Точнее не обновил, а поднял рядом еще одну виртуальную машину установил на ней pf 2.5.2 и подгрузил XML с предыдущей. Погасил исходную, а на новой виртуально подключил сетевые интерфейсы к виртуальным-же коммутаторам. Все ожило кроме тоннеля с киской.
Полчаса танцев с бубнами, ковыряние конфигураций и пр. Безрезультатно... Ребутнул киску - тоннель ожил (надо было сразу сделать.... Но ведь cisco-же))).Послезавтра буду ковырять на предмет существа вопроса.
По факту доложу. Спасибо за поддержку! -
@arkan1973 said in IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с:
установил на ней pf 2.5.2 и подгрузил XML с предыдущей
2.5.2 поднялся с конфигом от 2.3. Здорово.
-
Здравствуйте!
Ну похоже что победил. Во всяком случае канал стоит почти сутки без обрывов. Достоверно сказать не берусь, т.к. пересоздание Фазы 1 не отловил, но за ее время жизни - 28800 секунд обрывов не было точно. Собственно все свелось к пересозданию профилей с другим шифрованием, как собственно здесь советовали. Всем спасибо.Настройки на картинке: