<![CDATA[pfsense-to-kerio (с балансировкой)]]>Всем добрейшего!
Есть первый Керио control с балансировкой (2 провайдера).
К нему подключается по ipsec pfsense.
После установления соединения м поднятия всех фаз2 - трафик ходит между керио и компаов за pfsense.
Проходит 1/2/5 часов пинги не проходят. Смотрю в таблице маршрутов - вижу это (фото)

Есть второй Керио control с балансировкой (2 провайдера).
К нему подключается также по ipsec pfsense. Такой ерунды нет. Трафик ходит обоюдно, глюков не замечено, маршрута, подобного этому нет.
Читал что это может быть из за балансировки (отказаться не могу от него) когда керио VPN в режиме пассив. А как pfsense перевести в режим пассив, пока не понимаю.Screenshot_10.jpg

]]>https://forum.netgate.com/topic/172364/pfsense-to-kerio-с-балансировкойRSS for NodeFri, 12 Jun 2026 16:55:13 GMTMon, 23 May 2022 06:33:43 GMT60<![CDATA[Reply to pfsense-to-kerio (с балансировкой) on Mon, 23 May 2022 11:37:16 GMT]]>@konstanti
спасибо, да настройки здесь немного другие. перевел в режим None (Responer only). Спасибо.

]]>https://forum.netgate.com/post/1043314https://forum.netgate.com/post/1043314Mon, 23 May 2022 11:37:16 GMT<![CDATA[Reply to pfsense-to-kerio (с балансировкой) on Mon, 23 May 2022 11:38:59 GMT]]>@serg-3
если я ничего не путаю , то из документации на Strongswan следует

<child>.start_action
none
Action to perform after loading the configuration. 
The default of none loads the connection only, which then can be manually initiated or used as a responder configuration. 
The value trap installs a trap policy which triggers the tunnel as soon as matching traffic has been detected. The value start initiates the connection actively. 
These two modes can be combined with trap|start, to immediately initiate a connection for which trap policies have been installed.
When unloading or replacing a CHILD_SA configuration having a start_action different from none, the inverse action is performed. Configurations with start get closed while those with trap get uninstalled (both happens for connections with trap|start).

что по умолчанию (как у Вас ) , то PF выступает , как ответчик (не инициатор )
У меня версия несколько подревнее (да , простят меня некоторые форумчане )
Покажите , Пожалуйста , какие есть опции выбора в настройках

Child SA Start Action

Child SA Close Action

]]>https://forum.netgate.com/post/1043313https://forum.netgate.com/post/1043313Mon, 23 May 2022 11:38:59 GMT<![CDATA[Reply to pfsense-to-kerio (с балансировкой) on Mon, 23 May 2022 10:59:58 GMT]]>@konstanti
Screenshot_11.jpg

у меня так, параметров таких нет (2.6.0)

]]>https://forum.netgate.com/post/1043312https://forum.netgate.com/post/1043312Mon, 23 May 2022 10:59:58 GMT<![CDATA[Reply to pfsense-to-kerio (с балансировкой) on Mon, 23 May 2022 09:57:05 GMT]]>@serg-3

35d2b143-04ff-4a46-84a4-29b1719e6e96-image.png

Поясните , Пожалуйста , как IPSEC туннель может присутствовать в таблице маршрутов ? Это немаршрутизируемый тип соединения

]]>https://forum.netgate.com/post/1043309https://forum.netgate.com/post/1043309Mon, 23 May 2022 09:57:05 GMT<![CDATA[Reply to pfsense-to-kerio (с балансировкой) on Mon, 23 May 2022 09:38:52 GMT]]>@werter
ipsec-vti не умеет,
от керио отказаться увы, не смогу пока , легче тогда будет поднять на удаленной площадке ломаный керио

А сам pfsense не умеет пассивный режим? Или только может быть инициатором подключения?

]]>https://forum.netgate.com/post/1043307https://forum.netgate.com/post/1043307Mon, 23 May 2022 09:38:52 GMT<![CDATA[Reply to pfsense-to-kerio (с балансировкой) on Mon, 23 May 2022 08:53:58 GMT]]>Добрый
@serg-3
Рисуйте схему сети с адресацией.
Керио ipsec vti умеет? Если да, то рекомендую ipsec vti + bgp или ospf.
Зы. Идеальный вариант - отказаться от керио в пользу пф.

]]>https://forum.netgate.com/post/1043304https://forum.netgate.com/post/1043304Mon, 23 May 2022 08:53:58 GMT