Вопрос по поддержке ip/sec в активном состl



  • Всем доброго времени суток.

    У меня следующий вопрос:

    Поднят vpn ip/sec между двумя pfSense, внутренние сети 192.168 и 172.16, все замечательно работает, но несмотря на то что на обоих маршрутизаторах в пунктах KEPP ALIVE\Automatically ping host стоят внутренние ip "противоположных" сетей соединение поддерживается до тех пор пока пока активны противоположные ресурсы сети.

    Как все данные действия завершаются - по ощущениям через минуту соединение рвётся, если устроить пинг, то соединение поднимается через 15-25 сек.

    Пока что добавил в планировщике задач, на внутреннем сервере, ежеминутный пинг "противоположного" компа, работает постоянно, но хотелось бы разобраться с пунктом Keep Alive

    Firewall \ rules \  
    ip\sec: разрешено всё
    lan: icmp разрешён весь

    Какие мысли могут быть по этому поводу?



  • что значит по ощущениям соединение рвется? покажите логи из столбца ipsec



  • что значит по ощущениям соединение рвется?

    отсутствует пинг, rdp, лок\ресурсы.

    На шлюзе сети 192.168 с которой осущ вход, логов ип/сек нету, хотя после ночи были, но я их стёр, думал выложить новые…

    на другом:

    Apr 26 09:21:57 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)
    Apr 26 09:21:57 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
    Apr 26 09:21:57 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
    Apr 26 09:21:57 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
    Apr 26 09:21:57 racoon: [Self]: INFO: xx2.243.xx.x8[500] used as isakmp port (fd=15)
    Apr 26 09:21:57 racoon: [Self]: INFO: 172.16.0.1[500] used as isakmp port (fd=16)
    Apr 26 09:21:57 racoon: INFO: unsupported PF_KEY message REGISTER
    Apr 26 09:21:57 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
    Apr 26 09:21:57 racoon: [Self]: INFO: xx2.243.xx.x8[500] used as isakmp port (fd=15)
    Apr 26 09:21:57 racoon: [Self]: INFO: 172.16.0.1[500] used as isakmp port (fd=16)
    Apr 26 09:21:58 racoon: []: INFO: respond new phase 1 negotiation: xx2.243.xx.x8[500]<=>xx1.170.xx.1x0[500]
    Apr 26 09:21:58 racoon: INFO: begin Aggressive mode.
    Apr 26 09:21:58 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
    Apr 26 09:21:58 racoon: INFO: received Vendor ID: DPD
    Apr 26 09:21:58 racoon: WARNING: No ID match.
    Apr 26 09:21:58 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.

    ps: хч, последняя строчка, пишет что не может найти Pre-Shared Key ключ, но он и там и там точно одинаковый, и кстати что подразумевается по ID?



  • ну когда тунель падает прокрайне мере у меня пишет :

    Apr 26 14:18:02

    racoon: [xxxx]: INFO: IPsec-SA expired: ESP/Tunnel ip.ip.ip.ip[0]->ip.ip.ip.ip[0] spi=21343760(0x145ae10)

    у тебя в логах показывает что тунель еще не установлен, так что мне кажеться что грабли у тебя в чем то другом, проверяй конфиг, или сдесь можешь выложить



  • что тунель еще не установлен

    вот вот … такое впечатление, что иногда пинг пункта \Keep Alive\ перестаёт работать, и канал разрывается из-за отсутствия активности.

    Завтра с утра выложу, а вообще конфиг ip/sec у меня на обоих шлюзах одинаковый, разумеется кроме ip адресов конечных точек и адресов сетей.



  • ну и еще в настройке ipsec с моей точки зрения лучше настраивать следующим образом:

    Negotiation mode: main

    Encryption algorithm: в зависимости на чем стоит pfsense, если на обычном pc то ставить Blowfish

    на Phase 2 оставить галку на том же алгоритме что и на Phase 1
    Hash algoritm поставил MD5, работает все стабильно.

    ну и pre shered key лучше создавать какой либо генерилкой



  • В данный момент pfsense с обоих сторон установлена на "обычных" pc. хотя до этого поднимал такой же канал, точно не помню какие параметры шифрования выбирал там между pfsense на "обычном" системнике и роутере LinkSys RV042, там такого не было …

    Вот мой конфиг с "одной стороны", с другой тоже самое, только соответственно ip другие.

    Pre-Shared key у меня 16 знаков, цифры, заглавные, мелкие буквы, в этом направлении у меня башня уже работает как генерилка...

    ps: попробую сменю настройки как ты сказал, интересно то что канал поднимается и держится без проблем, вот только когда активность отсутствует, он разрывается, как только она появляется в течении некоторого времени он поднимается, причём если ставить циклический пинг по времени вручную на компе, или например просто оставить открытую папку "удалёнки", то канал держится.






  • А в Main режиме у меня канал не хочет подниматься.



  • Заполни поле lifetime



  • lifetime а к чему это относится, время через которое пингуются хосты или время поддерживания канала в рабочем состоянии при отсутствии активности, типа 0 - активен постоянно?

    PS: я не обратил внимания на этот пункт, потому как он вроде как не относится к keep alive



  • @Azot:

    lifetime а к чему это относится, время через которое пингуются хосты или время поддерживания канала в рабочем состоянии при отсутствии активности, типа 0 - активен постоянно?

    PS: я не обратил внимания на этот пункт, потому как он вроде как не относится к keep alive

    У меня установлено в 28800 секунд, канал не рвётся.

    P.S. Я подозреваю, что это время жизни активного (может и неактивного тоже) канала.



  • Lifetime: This is the lifetime the negotiated keys will be valid for. Do not set this to too high of a number (e.g. more than about a day: 86400) as doing so will give people more time to crack the key. Don't be over paranoid either; there is no need to set this to 20 minutes either. One day (86400) is a good setting.

    Продолжительность жизни: Это продолжительность "жизни" ключей. Не устанавливайте слишком большое значение (например, более чем 1 дня: 86400) так как это даст людям больше времени, чтобы взломать ключ.
    Но не будьте параноиком ))), нет необходимости  устанавливать это значение в 20 минут или около этого. Один день (86400) является хорошей обстановке.

    проверим …

    проверил:

    после установки ЛайфТайма ничего не изменилось, канал также обрывается при отсутствии активности, при появлении (via ping) через некоторое время восстанавливается.



  • отличия с моим конфигом:
    DPD interval - 60 sec
    My identifier - my ip adress
    Encryption algorithm - 3des
    Hash algorithm - sha1

    Encryption algorithms - 3des (одна галка)
    Hash algorithms - sha1



  • попробую DPD прописать

    DPD interval: Enter a value here to enable Dead Peer Detection (e.g. 60 seconds). This will help fully reestablish tunnel when the other side has a problem.

    ps: может значение этого времени и имеет отношение к пункту Keep Alive



  • Всё равно тоже самое.



  • а у вас случаем больших потерь между точками нету? прогоните iperf, потому что настройки все верны. ну и логов желательно поболее.



  • basterik

    Потерь вродебы нету.

    Вот результат тестирования пропускной способности vpn канала

    time
    0.0-10.7 sec
    –----------------
    transfer
    2.44 Mbytes
    –----------------
    Bandwidth
    1.91 Mbits/sec

    PS: По результатам ping, vpn сразу же поднимается при появлении запроса к противоположной стороне vpn канала, пока что я не пускаю всех работать через него, не по тех\соображениям.
    Так что при работе всех пользователей черел vpn канал я думаю он будет держаться постоянно, но вдруг какойнибудь чел захочет в воскресенье прийти поработать, а "связи" нету, по идёё спустя "короткий промежуток" времени он должен поднятся, но всётаки хотелось бы чтобы он держался постоянно…
    И повторюсь если постоянный пинг организовать средствами сервера в лок\сети, то канал не слетает, так что врятли из-за потерь между точками.

    попробую выложить log\и.


    на "внутреннем" шлюзе (Server1)

    циклически повторяющиеся строки

    May 3 07:37:26 racoon: [Self]: INFO: server1 [500] used as isakmp port (fd=15)
    May 3 07:37:26 racoon: [Self]: INFO: 192.168.1.5[500] used as isakmp port (fd=16)
    May 3 07:37:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
    May 3 07:37:29 racoon: [Self]: INFO: server1 [500] used as isakmp port (fd=15)
    May 3 07:37:29 racoon: [Self]: INFO: 192.168.1.5[500] used as isakmp port (fd=16)
    May 3 07:37:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)

    на удалённом шлюзе (Server2)

    May 3 07:34:26 racoon: []: INFO: IPsec-SA expired: ESP server2[0]->server1[0] spi=958933(0xea1d5)
    May 3 07:34:26 racoon: []: INFO: IPsec-SA request for server1 queued due to no phase1 found.
    May 3 07:34:26 racoon: []: INFO: initiate new phase 1 negotiation: server2[500]<=>server1[500]
    May 3 07:34:26 racoon: INFO: begin Aggressive mode.
    May 3 07:34:26 racoon: []: INFO: IPsec-SA expired: ESP/Tunnel server1[0]->server2[0] spi=256149404(0xf44879c)
    May 3 07:34:26 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
    May 3 07:34:26 racoon: INFO: received Vendor ID: DPD
    May 3 07:34:26 racoon: WARNING: No ID match.
    May 3 07:34:26 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
    May 3 07:34:26 racoon: []: INFO: ISAKMP-SA established server2[500]-server1[500] spi:a03ccce4053a086b:86ab9b7b8d3fe8a6
    May 3 07:34:27 racoon: []: INFO: initiate new phase 2 negotiation: server2[500]<=>server1[500]
    May 3 07:34:27 racoon: []: INFO: IPsec-SA established: ESP server1[0]->server2[0] spi=182325859(0xade1263)
    May 3 07:34:27 racoon: []: INFO: IPsec-SA established: ESP server2[0]->server1[0] spi=36346482(0x22a9a72)


Locked