Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Вопрос по поддержке ip/sec в активном состl

    Scheduled Pinned Locked Moved Russian
    17 Posts 3 Posters 7.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Azot
      last edited by

      Всем доброго времени суток.

      У меня следующий вопрос:

      Поднят vpn ip/sec между двумя pfSense, внутренние сети 192.168 и 172.16, все замечательно работает, но несмотря на то что на обоих маршрутизаторах в пунктах KEPP ALIVE\Automatically ping host стоят внутренние ip "противоположных" сетей соединение поддерживается до тех пор пока пока активны противоположные ресурсы сети.

      Как все данные действия завершаются - по ощущениям через минуту соединение рвётся, если устроить пинг, то соединение поднимается через 15-25 сек.

      Пока что добавил в планировщике задач, на внутреннем сервере, ежеминутный пинг "противоположного" компа, работает постоянно, но хотелось бы разобраться с пунктом Keep Alive

      Firewall \ rules \  
      ip\sec: разрешено всё
      lan: icmp разрешён весь

      Какие мысли могут быть по этому поводу?

      1 Reply Last reply Reply Quote 0
      • B
        basterik
        last edited by

        что значит по ощущениям соединение рвется? покажите логи из столбца ipsec

        1 Reply Last reply Reply Quote 0
        • A
          Azot
          last edited by

          что значит по ощущениям соединение рвется?

          отсутствует пинг, rdp, лок\ресурсы.

          На шлюзе сети 192.168 с которой осущ вход, логов ип/сек нету, хотя после ночи были, но я их стёр, думал выложить новые…

          на другом:

          Apr 26 09:21:57 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)
          Apr 26 09:21:57 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
          Apr 26 09:21:57 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
          Apr 26 09:21:57 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
          Apr 26 09:21:57 racoon: [Self]: INFO: xx2.243.xx.x8[500] used as isakmp port (fd=15)
          Apr 26 09:21:57 racoon: [Self]: INFO: 172.16.0.1[500] used as isakmp port (fd=16)
          Apr 26 09:21:57 racoon: INFO: unsupported PF_KEY message REGISTER
          Apr 26 09:21:57 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
          Apr 26 09:21:57 racoon: [Self]: INFO: xx2.243.xx.x8[500] used as isakmp port (fd=15)
          Apr 26 09:21:57 racoon: [Self]: INFO: 172.16.0.1[500] used as isakmp port (fd=16)
          Apr 26 09:21:58 racoon: []: INFO: respond new phase 1 negotiation: xx2.243.xx.x8[500]<=>xx1.170.xx.1x0[500]
          Apr 26 09:21:58 racoon: INFO: begin Aggressive mode.
          Apr 26 09:21:58 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
          Apr 26 09:21:58 racoon: INFO: received Vendor ID: DPD
          Apr 26 09:21:58 racoon: WARNING: No ID match.
          Apr 26 09:21:58 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.

          ps: хч, последняя строчка, пишет что не может найти Pre-Shared Key ключ, но он и там и там точно одинаковый, и кстати что подразумевается по ID?

          1 Reply Last reply Reply Quote 0
          • B
            basterik
            last edited by

            ну когда тунель падает прокрайне мере у меня пишет :

            Apr 26 14:18:02

            racoon: [xxxx]: INFO: IPsec-SA expired: ESP/Tunnel ip.ip.ip.ip[0]->ip.ip.ip.ip[0] spi=21343760(0x145ae10)

            у тебя в логах показывает что тунель еще не установлен, так что мне кажеться что грабли у тебя в чем то другом, проверяй конфиг, или сдесь можешь выложить

            1 Reply Last reply Reply Quote 0
            • A
              Azot
              last edited by

              что тунель еще не установлен

              вот вот … такое впечатление, что иногда пинг пункта \Keep Alive\ перестаёт работать, и канал разрывается из-за отсутствия активности.

              Завтра с утра выложу, а вообще конфиг ip/sec у меня на обоих шлюзах одинаковый, разумеется кроме ip адресов конечных точек и адресов сетей.

              1 Reply Last reply Reply Quote 0
              • B
                basterik
                last edited by

                ну и еще в настройке ipsec с моей точки зрения лучше настраивать следующим образом:

                Negotiation mode: main

                Encryption algorithm: в зависимости на чем стоит pfsense, если на обычном pc то ставить Blowfish

                на Phase 2 оставить галку на том же алгоритме что и на Phase 1
                Hash algoritm поставил MD5, работает все стабильно.

                ну и pre shered key лучше создавать какой либо генерилкой

                1 Reply Last reply Reply Quote 0
                • A
                  Azot
                  last edited by

                  В данный момент pfsense с обоих сторон установлена на "обычных" pc. хотя до этого поднимал такой же канал, точно не помню какие параметры шифрования выбирал там между pfsense на "обычном" системнике и роутере LinkSys RV042, там такого не было …

                  Вот мой конфиг с "одной стороны", с другой тоже самое, только соответственно ip другие.

                  Pre-Shared key у меня 16 знаков, цифры, заглавные, мелкие буквы, в этом направлении у меня башня уже работает как генерилка...

                  ps: попробую сменю настройки как ты сказал, интересно то что канал поднимается и держится без проблем, вот только когда активность отсутствует, он разрывается, как только она появляется в течении некоторого времени он поднимается, причём если ставить циклический пинг по времени вручную на компе, или например просто оставить открытую папку "удалёнки", то канал держится.

                  1.JPG
                  1.JPG_thumb
                  2.JPG
                  2.JPG_thumb

                  1 Reply Last reply Reply Quote 0
                  • A
                    Azot
                    last edited by

                    А в Main режиме у меня канал не хочет подниматься.

                    1 Reply Last reply Reply Quote 0
                    • D
                      DasTieRR
                      last edited by

                      Заполни поле lifetime

                      1 Reply Last reply Reply Quote 0
                      • A
                        Azot
                        last edited by

                        lifetime а к чему это относится, время через которое пингуются хосты или время поддерживания канала в рабочем состоянии при отсутствии активности, типа 0 - активен постоянно?

                        PS: я не обратил внимания на этот пункт, потому как он вроде как не относится к keep alive

                        1 Reply Last reply Reply Quote 0
                        • D
                          DasTieRR
                          last edited by

                          @Azot:

                          lifetime а к чему это относится, время через которое пингуются хосты или время поддерживания канала в рабочем состоянии при отсутствии активности, типа 0 - активен постоянно?

                          PS: я не обратил внимания на этот пункт, потому как он вроде как не относится к keep alive

                          У меня установлено в 28800 секунд, канал не рвётся.

                          P.S. Я подозреваю, что это время жизни активного (может и неактивного тоже) канала.

                          1 Reply Last reply Reply Quote 0
                          • A
                            Azot
                            last edited by

                            Lifetime: This is the lifetime the negotiated keys will be valid for. Do not set this to too high of a number (e.g. more than about a day: 86400) as doing so will give people more time to crack the key. Don't be over paranoid either; there is no need to set this to 20 minutes either. One day (86400) is a good setting.

                            Продолжительность жизни: Это продолжительность "жизни" ключей. Не устанавливайте слишком большое значение (например, более чем 1 дня: 86400) так как это даст людям больше времени, чтобы взломать ключ.
                            Но не будьте параноиком ))), нет необходимости  устанавливать это значение в 20 минут или около этого. Один день (86400) является хорошей обстановке.

                            проверим …

                            проверил:

                            после установки ЛайфТайма ничего не изменилось, канал также обрывается при отсутствии активности, при появлении (via ping) через некоторое время восстанавливается.

                            1 Reply Last reply Reply Quote 0
                            • D
                              DasTieRR
                              last edited by

                              отличия с моим конфигом:
                              DPD interval - 60 sec
                              My identifier - my ip adress
                              Encryption algorithm - 3des
                              Hash algorithm - sha1

                              Encryption algorithms - 3des (одна галка)
                              Hash algorithms - sha1

                              1 Reply Last reply Reply Quote 0
                              • A
                                Azot
                                last edited by

                                попробую DPD прописать

                                DPD interval: Enter a value here to enable Dead Peer Detection (e.g. 60 seconds). This will help fully reestablish tunnel when the other side has a problem.

                                ps: может значение этого времени и имеет отношение к пункту Keep Alive

                                1 Reply Last reply Reply Quote 0
                                • A
                                  Azot
                                  last edited by

                                  Всё равно тоже самое.

                                  1 Reply Last reply Reply Quote 0
                                  • B
                                    basterik
                                    last edited by

                                    а у вас случаем больших потерь между точками нету? прогоните iperf, потому что настройки все верны. ну и логов желательно поболее.

                                    1 Reply Last reply Reply Quote 0
                                    • A
                                      Azot
                                      last edited by

                                      basterik

                                      Потерь вродебы нету.

                                      Вот результат тестирования пропускной способности vpn канала

                                      time
                                      0.0-10.7 sec
                                      –----------------
                                      transfer
                                      2.44 Mbytes
                                      –----------------
                                      Bandwidth
                                      1.91 Mbits/sec

                                      PS: По результатам ping, vpn сразу же поднимается при появлении запроса к противоположной стороне vpn канала, пока что я не пускаю всех работать через него, не по тех\соображениям.
                                      Так что при работе всех пользователей черел vpn канал я думаю он будет держаться постоянно, но вдруг какойнибудь чел захочет в воскресенье прийти поработать, а "связи" нету, по идёё спустя "короткий промежуток" времени он должен поднятся, но всётаки хотелось бы чтобы он держался постоянно…
                                      И повторюсь если постоянный пинг организовать средствами сервера в лок\сети, то канал не слетает, так что врятли из-за потерь между точками.

                                      попробую выложить log\и.


                                      на "внутреннем" шлюзе (Server1)

                                      циклически повторяющиеся строки

                                      May 3 07:37:26 racoon: [Self]: INFO: server1 [500] used as isakmp port (fd=15)
                                      May 3 07:37:26 racoon: [Self]: INFO: 192.168.1.5[500] used as isakmp port (fd=16)
                                      May 3 07:37:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
                                      May 3 07:37:29 racoon: [Self]: INFO: server1 [500] used as isakmp port (fd=15)
                                      May 3 07:37:29 racoon: [Self]: INFO: 192.168.1.5[500] used as isakmp port (fd=16)
                                      May 3 07:37:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)

                                      на удалённом шлюзе (Server2)

                                      May 3 07:34:26 racoon: []: INFO: IPsec-SA expired: ESP server2[0]->server1[0] spi=958933(0xea1d5)
                                      May 3 07:34:26 racoon: []: INFO: IPsec-SA request for server1 queued due to no phase1 found.
                                      May 3 07:34:26 racoon: []: INFO: initiate new phase 1 negotiation: server2[500]<=>server1[500]
                                      May 3 07:34:26 racoon: INFO: begin Aggressive mode.
                                      May 3 07:34:26 racoon: []: INFO: IPsec-SA expired: ESP/Tunnel server1[0]->server2[0] spi=256149404(0xf44879c)
                                      May 3 07:34:26 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
                                      May 3 07:34:26 racoon: INFO: received Vendor ID: DPD
                                      May 3 07:34:26 racoon: WARNING: No ID match.
                                      May 3 07:34:26 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
                                      May 3 07:34:26 racoon: []: INFO: ISAKMP-SA established server2[500]-server1[500] spi:a03ccce4053a086b:86ab9b7b8d3fe8a6
                                      May 3 07:34:27 racoon: []: INFO: initiate new phase 2 negotiation: server2[500]<=>server1[500]
                                      May 3 07:34:27 racoon: []: INFO: IPsec-SA established: ESP server1[0]->server2[0] spi=182325859(0xade1263)
                                      May 3 07:34:27 racoon: []: INFO: IPsec-SA established: ESP server2[0]->server1[0] spi=36346482(0x22a9a72)

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.