Вопрос по поддержке ip/sec в активном состl

Azot

Всем доброго времени суток.

У меня следующий вопрос:

Поднят vpn ip/sec между двумя pfSense, внутренние сети 192.168 и 172.16, все замечательно работает, но несмотря на то что на обоих маршрутизаторах в пунктах KEPP ALIVE\Automatically ping host стоят внутренние ip "противоположных" сетей соединение поддерживается до тех пор пока пока активны противоположные ресурсы сети.

Как все данные действия завершаются - по ощущениям через минуту соединение рвётся, если устроить пинг, то соединение поднимается через 15-25 сек.

Пока что добавил в планировщике задач, на внутреннем сервере, ежеминутный пинг "противоположного" компа, работает постоянно, но хотелось бы разобраться с пунктом Keep Alive

Firewall \ rules \  
ip\sec: разрешено всё
lan: icmp разрешён весь

Какие мысли могут быть по этому поводу?

basterik

что значит по ощущениям соединение рвется? покажите логи из столбца ipsec

Azot

что значит по ощущениям соединение рвется?

отсутствует пинг, rdp, лок\ресурсы.

На шлюзе сети 192.168 с которой осущ вход, логов ип/сек нету, хотя после ночи были, но я их стёр, думал выложить новые…

на другом:

Apr 26 09:21:57 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)
Apr 26 09:21:57 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
Apr 26 09:21:57 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
Apr 26 09:21:57 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
Apr 26 09:21:57 racoon: [Self]: INFO: xx2.243.xx.x8[500] used as isakmp port (fd=15)
Apr 26 09:21:57 racoon: [Self]: INFO: 172.16.0.1[500] used as isakmp port (fd=16)
Apr 26 09:21:57 racoon: INFO: unsupported PF_KEY message REGISTER
Apr 26 09:21:57 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
Apr 26 09:21:57 racoon: [Self]: INFO: xx2.243.xx.x8[500] used as isakmp port (fd=15)
Apr 26 09:21:57 racoon: [Self]: INFO: 172.16.0.1[500] used as isakmp port (fd=16)
Apr 26 09:21:58 racoon: []: INFO: respond new phase 1 negotiation: xx2.243.xx.x8[500]<=>xx1.170.xx.1x0[500]
Apr 26 09:21:58 racoon: INFO: begin Aggressive mode.
Apr 26 09:21:58 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Apr 26 09:21:58 racoon: INFO: received Vendor ID: DPD
Apr 26 09:21:58 racoon: WARNING: No ID match.
Apr 26 09:21:58 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.

ps: хч, последняя строчка, пишет что не может найти Pre-Shared Key ключ, но он и там и там точно одинаковый, и кстати что подразумевается по ID?

basterik

ну когда тунель падает прокрайне мере у меня пишет :

Apr 26 14:18:02

racoon: [xxxx]: INFO: IPsec-SA expired: ESP/Tunnel ip.ip.ip.ip[0]->ip.ip.ip.ip[0] spi=21343760(0x145ae10)

у тебя в логах показывает что тунель еще не установлен, так что мне кажеться что грабли у тебя в чем то другом, проверяй конфиг, или сдесь можешь выложить

Azot

что тунель еще не установлен

вот вот … такое впечатление, что иногда пинг пункта \Keep Alive\ перестаёт работать, и канал разрывается из-за отсутствия активности.

Завтра с утра выложу, а вообще конфиг ip/sec у меня на обоих шлюзах одинаковый, разумеется кроме ip адресов конечных точек и адресов сетей.

basterik

ну и еще в настройке ipsec с моей точки зрения лучше настраивать следующим образом:

Negotiation mode: main

Encryption algorithm: в зависимости на чем стоит pfsense, если на обычном pc то ставить Blowfish

на Phase 2 оставить галку на том же алгоритме что и на Phase 1
Hash algoritm поставил MD5, работает все стабильно.

ну и pre shered key лучше создавать какой либо генерилкой

Azot

В данный момент pfsense с обоих сторон установлена на "обычных" pc. хотя до этого поднимал такой же канал, точно не помню какие параметры шифрования выбирал там между pfsense на "обычном" системнике и роутере LinkSys RV042, там такого не было …

Вот мой конфиг с "одной стороны", с другой тоже самое, только соответственно ip другие.

Pre-Shared key у меня 16 знаков, цифры, заглавные, мелкие буквы, в этом направлении у меня башня уже работает как генерилка...

ps: попробую сменю настройки как ты сказал, интересно то что канал поднимается и держится без проблем, вот только когда активность отсутствует, он разрывается, как только она появляется в течении некоторого времени он поднимается, причём если ставить циклический пинг по времени вручную на компе, или например просто оставить открытую папку "удалёнки", то канал держится.

Azot

А в Main режиме у меня канал не хочет подниматься.

DasTieRR

Заполни поле lifetime

Azot

lifetime а к чему это относится, время через которое пингуются хосты или время поддерживания канала в рабочем состоянии при отсутствии активности, типа 0 - активен постоянно?

PS: я не обратил внимания на этот пункт, потому как он вроде как не относится к keep alive

DasTieRR

@Azot:

lifetime а к чему это относится, время через которое пингуются хосты или время поддерживания канала в рабочем состоянии при отсутствии активности, типа 0 - активен постоянно?

PS: я не обратил внимания на этот пункт, потому как он вроде как не относится к keep alive

У меня установлено в 28800 секунд, канал не рвётся.

P.S. Я подозреваю, что это время жизни активного (может и неактивного тоже) канала.

Azot

Lifetime: This is the lifetime the negotiated keys will be valid for. Do not set this to too high of a number (e.g. more than about a day: 86400) as doing so will give people more time to crack the key. Don't be over paranoid either; there is no need to set this to 20 minutes either. One day (86400) is a good setting.

Продолжительность жизни: Это продолжительность "жизни" ключей. Не устанавливайте слишком большое значение (например, более чем 1 дня: 86400) так как это даст людям больше времени, чтобы взломать ключ.
Но не будьте параноиком ))), нет необходимости  устанавливать это значение в 20 минут или около этого. Один день (86400) является хорошей обстановке.

проверим …

проверил:

после установки ЛайфТайма ничего не изменилось, канал также обрывается при отсутствии активности, при появлении (via ping) через некоторое время восстанавливается.

DasTieRR

отличия с моим конфигом:
DPD interval - 60 sec
My identifier - my ip adress
Encryption algorithm - 3des
Hash algorithm - sha1

Encryption algorithms - 3des (одна галка)
Hash algorithms - sha1

Azot

попробую DPD прописать

DPD interval: Enter a value here to enable Dead Peer Detection (e.g. 60 seconds). This will help fully reestablish tunnel when the other side has a problem.

ps: может значение этого времени и имеет отношение к пункту Keep Alive

Azot

Всё равно тоже самое.

basterik

а у вас случаем больших потерь между точками нету? прогоните iperf, потому что настройки все верны. ну и логов желательно поболее.

Azot

basterik

Потерь вродебы нету.

Вот результат тестирования пропускной способности vpn канала

time
0.0-10.7 sec
–----------------
transfer
2.44 Mbytes
–----------------
Bandwidth
1.91 Mbits/sec

PS: По результатам ping, vpn сразу же поднимается при появлении запроса к противоположной стороне vpn канала, пока что я не пускаю всех работать через него, не по тех\соображениям.
Так что при работе всех пользователей черел vpn канал я думаю он будет держаться постоянно, но вдруг какойнибудь чел захочет в воскресенье прийти поработать, а "связи" нету, по идёё спустя "короткий промежуток" времени он должен поднятся, но всётаки хотелось бы чтобы он держался постоянно…
И повторюсь если постоянный пинг организовать средствами сервера в лок\сети, то канал не слетает, так что врятли из-за потерь между точками.

попробую выложить log\и.

---

на "внутреннем" шлюзе (Server1)

циклически повторяющиеся строки

May 3 07:37:26 racoon: [Self]: INFO: server1 [500] used as isakmp port (fd=15)
May 3 07:37:26 racoon: [Self]: INFO: 192.168.1.5[500] used as isakmp port (fd=16)
May 3 07:37:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
May 3 07:37:29 racoon: [Self]: INFO: server1 [500] used as isakmp port (fd=15)
May 3 07:37:29 racoon: [Self]: INFO: 192.168.1.5[500] used as isakmp port (fd=16)
May 3 07:37:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)

на удалённом шлюзе (Server2)

May 3 07:34:26 racoon: []: INFO: IPsec-SA expired: ESP server2[0]->server1[0] spi=958933(0xea1d5)
May 3 07:34:26 racoon: []: INFO: IPsec-SA request for server1 queued due to no phase1 found.
May 3 07:34:26 racoon: []: INFO: initiate new phase 1 negotiation: server2[500]<=>server1[500]
May 3 07:34:26 racoon: INFO: begin Aggressive mode.
May 3 07:34:26 racoon: []: INFO: IPsec-SA expired: ESP/Tunnel server1[0]->server2[0] spi=256149404(0xf44879c)
May 3 07:34:26 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
May 3 07:34:26 racoon: INFO: received Vendor ID: DPD
May 3 07:34:26 racoon: WARNING: No ID match.
May 3 07:34:26 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
May 3 07:34:26 racoon: []: INFO: ISAKMP-SA established server2[500]-server1[500] spi:a03ccce4053a086b:86ab9b7b8d3fe8a6
May 3 07:34:27 racoon: []: INFO: initiate new phase 2 negotiation: server2[500]<=>server1[500]
May 3 07:34:27 racoon: []: INFO: IPsec-SA established: ESP server1[0]->server2[0] spi=182325859(0xade1263)
May 3 07:34:27 racoon: []: INFO: IPsec-SA established: ESP server2[0]->server1[0] spi=36346482(0x22a9a72)