pfsense-to-kerio (с балансировкой)
-
Всем добрейшего!
Есть первый Керио control с балансировкой (2 провайдера).
К нему подключается по ipsec pfsense.
После установления соединения м поднятия всех фаз2 - трафик ходит между керио и компаов за pfsense.
Проходит 1/2/5 часов пинги не проходят. Смотрю в таблице маршрутов - вижу это (фото)Есть второй Керио control с балансировкой (2 провайдера).
К нему подключается также по ipsec pfsense. Такой ерунды нет. Трафик ходит обоюдно, глюков не замечено, маршрута, подобного этому нет.
Читал что это может быть из за балансировки (отказаться не могу от него) когда керио VPN в режиме пассив. А как pfsense перевести в режим пассив, пока не понимаю. -
Добрый
@serg-3
Рисуйте схему сети с адресацией.
Керио ipsec vti умеет? Если да, то рекомендую ipsec vti + bgp или ospf.
Зы. Идеальный вариант - отказаться от керио в пользу пф. -
@werter
ipsec-vti не умеет,
от керио отказаться увы, не смогу пока , легче тогда будет поднять на удаленной площадке ломаный кериоА сам pfsense не умеет пассивный режим? Или только может быть инициатором подключения?
-
Поясните , Пожалуйста , как IPSEC туннель может присутствовать в таблице маршрутов ? Это немаршрутизируемый тип соединения
-
у меня так, параметров таких нет (2.6.0)
-
@serg-3
если я ничего не путаю , то из документации на Strongswan следует<child>.start_action none Action to perform after loading the configuration. The default of none loads the connection only, which then can be manually initiated or used as a responder configuration. The value trap installs a trap policy which triggers the tunnel as soon as matching traffic has been detected. The value start initiates the connection actively. These two modes can be combined with trap|start, to immediately initiate a connection for which trap policies have been installed. When unloading or replacing a CHILD_SA configuration having a start_action different from none, the inverse action is performed. Configurations with start get closed while those with trap get uninstalled (both happens for connections with trap|start).
что по умолчанию (как у Вас ) , то PF выступает , как ответчик (не инициатор )
У меня версия несколько подревнее (да , простят меня некоторые форумчане )
Покажите , Пожалуйста , какие есть опции выбора в настройкахChild SA Start Action
Child SA Close Action
-
@konstanti
спасибо, да настройки здесь немного другие. перевел в режим None (Responer only). Спасибо.