IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с
-
Здр
Сделайте время жизни фазы-2 со стороны Cisco чуть меньше чем на PF (минут на 10 ). Пусть Cisco будет инициатором обновления ключей фазы-2.Если не поможет , попробуйте сделать наоборот .
-
Только увидел, что у вас пф 2.3 ((
Обновляйтесь. Там СТОЛЬКО исправили багов по Ipsec etc.
Иначе будете биться об стену, пытаясь понять, почему оно не работает.Зы. Есть немного по циске + пф + ипсек https://administrator.de/forum/zwischen-miktrotik-und-pfsense-gre-tunnel-mit-ipsec-verschluesslung-397059.html
-
Спасибо за предложения, попробую заменить время, потом буду видимо обновляться.
-
@arkan1973
бэкап кофигов не забудьте перед обновлением и версию текущую скачать на всякий.Если версия пф x86, то обновиться до х64 не получится (
Можно попробовать поставить свежий пф и подкинуть конфиги от старого.
На виртбоксе потренироваться сперва. -
@werter said in IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с:
Можно попробовать поставить свежий пф и подкинуть конфиги от старого.
Поднимал 2.3.x x64 с конфигом от 2.2.х x86.
Прямой апгрейд с 2.3 до 2.5 может оказаться проблематичным.
Стоит почитать:
https://docs.netgate.com/pfsense/en/latest/install/upgrade-guide-versions.html#upgrading-from-versions-older-than-pfsense-2-4-0
Если понадобятся промежуточные версии, их можно взять тут:
http://mirror.transip.net/pfsense/downloads/
http://linorg.usp.br/pfsense/downloads/ -
@arkan1973
Добрый день,Аналогичная проблема с pF 2.5.2 и SonicWall. Каждые 3600 просто дропает туннель. Справился тем что поменял шифрование.
-
Может чего в оф доке найдется:
https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec.html
https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec-duplicate-sa.html -
Обновил до 2.5.2. Точнее не обновил, а поднял рядом еще одну виртуальную машину установил на ней pf 2.5.2 и подгрузил XML с предыдущей. Погасил исходную, а на новой виртуально подключил сетевые интерфейсы к виртуальным-же коммутаторам. Все ожило кроме тоннеля с киской.
Полчаса танцев с бубнами, ковыряние конфигураций и пр. Безрезультатно... Ребутнул киску - тоннель ожил (надо было сразу сделать.... Но ведь cisco-же))).Послезавтра буду ковырять на предмет существа вопроса.
По факту доложу. Спасибо за поддержку! -
@arkan1973 said in IpSec Site-to-Site (PF 2.3.4 & CiscoRV260) отвал по истечении 3600 с:
установил на ней pf 2.5.2 и подгрузил XML с предыдущей
2.5.2 поднялся с конфигом от 2.3. Здорово.
-
Здравствуйте!
Ну похоже что победил. Во всяком случае канал стоит почти сутки без обрывов. Достоверно сказать не берусь, т.к. пересоздание Фазы 1 не отловил, но за ее время жизни - 28800 секунд обрывов не было точно. Собственно все свелось к пересозданию профилей с другим шифрованием, как собственно здесь советовали. Всем спасибо.Настройки на картинке: