PFSense 2.0 RC 3 / plantage de Racoon



  • Bonjour à la communauté francophone de PFSense !

    Cela fait maintenant deux mois que je sue sang et eau pour migrer le routeur d'un client (je suis prestataire informatique) depuis IPCop vers PFSense.
    Au passage, je pense pouvoir renseigner les personnes qui se trouveraient dans le même cas, au moins sur les problématiques simples.

    Aujourd'hui, tout fonctionne correctement : une ligne SDSL principale avec plus de 150 tunnels ipsec site à site, une ligne ADSL secondaire pour le surf et les mails exchange, du WIFI sur un VLAN, Squid, OpenVPN, bref …

    Mais je me suis connecté tout à l'heure et a mon grand désarroi tous mes tunnels ipsec étaient fermés ! En fait racoon a planté ce matin, sans crier gare.
    Ma question est très simple : quel est la ligne de script SH magique qui me permet de relancer racoon si celui-ci est arrêté ? Ceci en attendant la résolution du problème évidemment ...



  • Squid, 150 tunnels IPSec ? Sur la même machine ? Il y a une dissonance que je ne comprend pas bien entre un ipcop, 150 liens site à site, deux mois de migration, utilisation d'une version qui n'est que RC … Je ne comprend pas tout.



  • Bonjour,
    désolé pour la dissonance (cognitive ?).

    • 150 tunnels ipsec et squid sur la même machine car c'est une machine neuve (core I3 / 2 Go de ram / etc …), donc j'ai estimé qu'elle pouvait supporter le tout mais cela peut être une erreur. D'ailleurs squid n'est qu'un essai pour le moment et n'est pas indispensable (~15 utilisateurs derrière, donc ...)
    • deux mois de migration car je faisais d'autres choses en même temps, et parce que j'ai migré "automatiquement" mes tunnels ipsec depuis une configuration ip cop vers le config.xml et qu'une petite erreur se répercutait sur le racoon.conf et empêchait la moitié de mes tunnels de monter.
    • Utilisation d'une version RC et pas béta en attendant la sortie de la release (ce qui est fait aujourd'hui !) car lors d'une de mes nombreuses lectures de wiki, doc, posts de forum concernant PFSense, j'ai pu acquérir la certitude que la version 1.2 ne convenait pas, essentiellement à cause d'une mauvaise gestion du NAT-T par le racoon. En outre je ne voulais pas subir une seconde phase de migration entre la 1.2 et la 2.0 (j'aime bien bidouiller et expérimenter, mais pour moi l'informatique n'est pas juste un hobbie, ça paye aussi les crédits et les factures !)

    J'espère que les choses sont désormais plus claires.
    J'ai fait appel à la bonne volonté des personnes du personne pour pouvoir mettre en place un "watchog" sur le démon racoon en attendant la résolution du problème, mes compétences en Freebsd étant plutôt réduites, ce qui n'empêche pas tout le respect et l'admiration possible pour ce produit.

    Voila.



  • Machine neuve ou non, il y a quelques incompréhensions :

    • les tunnels Ipsec (ou OpenVPN) font partie des taches de base d'un firewall,
    • le proxy (et tout ce qui va avec) ne devraient pas être sur la même machine (car le job et les contraintes sont très différentes),
    • un VLAN ne vaut pas une zone physique en terme de sécurité (et c'est juste un peu le but !),
    • beta, rc, release : c'est la même différence qu'évaluation, test et production.

    Créer "automatiquement" des tunnels (en modifiant le fichier backup et en restaurant) peut être une bonne idée.
    Encore faut-il avoir parfaitement compris comment générer … sans erreur !

    NB : 150 tunnels Ipsec ? AMHA il faut réserver Ipsec à des liaisons sites-à-sites et préférer OpenVPN pour les liaisons roadwarrior.

    NB : la config initiale ne tournait pas sur ipcop ! 150 tunnels, il aurait disjoncté avant ! Enfin je peux me tromper ...



  • Bonsoir jdh,
    @jdh:

    Machine neuve ou non, il y a quelques incompréhensions :

    • les tunnels Ipsec (ou OpenVPN) font partie des taches de base d'un firewall,
    • le proxy (et tout ce qui va avec) ne devraient pas être sur la même machine (car le job et les contraintes sont très différentes),
    • un VLAN ne vaut pas une zone physique en terme de sécurité (et c'est juste un peu le but !),
    • beta, rc, release : c'est la même différence qu'évaluation, test et production.

    je prends bonne note de ces remarques. Le proxy est juste un essai et comme je l'ai précisé ce n'est pas une fonction obligatoire à réaliser.
    De toutes façons je ne voit pas la corrélation entre le plantage de racoon et squid ! Au pire une machine surchargée rame un peu et utilise le swap.

    Pour les VLAN je ne suis pas vraiment d'accord, mais je ne demande qu'a réviser mon jugement !
    Quoi qu'il en soit sur cette machine la DMZ accessible depuis IPSec et le LAN sont sur deux cartes réseaux physiques distinctes. Pour le WIFI je n'avais plus de slots disponibles et le chipset de  la carte intégrée n'est pas reconnu correctement par freebsd donc … VLAN.

    Enfin PFsense est toujours (virtuellement) en test, mais il est parfois impossible dans la vraie vie de faire des tests poussés et complets sur une plateforme séparée. Dans le cas présent il aurait fallu se connecter à 150 sites et créer des tunnels auxilaires connectés à la plateforme de test, lancer les batchs de récupération de fichiers qui tourne en prod dessus pour être sûr, demander à des users de se connecter en openVPN, etc ... J'ai laissé IPCop fonctionnel au cas ou.
    Et sans vouloir jouer sur les mots, dans RC il y a release et candidate. Ce n'est plus une version de test, mais bien une version opérationnelle qui peut comporter des bugs.

    @jdh:

    Créer "automatiquement" des tunnels (en modifiant le fichier backup et en restaurant) peut être une bonne idée.
    Encore faut-il avoir parfaitement compris comment générer … sans erreur !

    Eh bien je pense l'avoir compris. Mais nul n'est à l'abri d'une erreur, et c'est en faisant une modification manuelle que celle-ci a été commise.
    A quelque chose malheur est bon : le forum anglais porte désormais la trace de cette erreur, ce qui sauvera peut-être quelqu'un d'autre dans le futur !

    @jdh:

    NB : 150 tunnels Ipsec ? AMHA il faut réserver Ipsec à des liaisons sites-à-sites et préférer OpenVPN pour les liaisons roadwarrior.
    NB : la config initiale ne tournait pas sur ipcop ! 150 tunnels, il aurait disjoncté avant ! Enfin je peux me tromper …

    Il y a plus de 150 liaisons sites à sites, le road warrior se fait via openVPN.
    Sur le forum général, un membre éminent m'a indiqué qu'une machine costaud pouvait supporter plus de 500 tunnels ipsec.

    Et Icop 1.4 a parfaitement tourné avec cette configuration pendant 4 ans sur un pentium 3 (même si au début il y avait seulement 90 tunnels). Mais la version 2 est en version Alpha peu dynamique, d’où mon détour par PFSense.
    Néanmoins je regrette un peu de ne pas avoir tout simplement fait acheter un Zywall 1000 à mon client et économisé 40 heures de boulot, mais c'est un autre débat …



  • 150 tunnel c'est pas la mort :-)
    Je confirme que ca tourne bien meme avec le double ou le quadruple, je préconise juste de dédier une machine à la concentration IPSEC quand on gere beaucoup de tunnels pour segmenter les rôles et casser les dépendances de services. Je fais de même avec les concentrateurs openVPN pour nomades quand on gere des flotttes de centaines de nomades.

    Pour ce qui est de racoon, quand vous dites les tunnels étaient "fermés", dans quelle situation étiez vous:

    • aucun tunnel n'est UP dans les status/IPSEC et racoon est en état arrêté dans status/services
    • aucun tunnel n'est UP dans les status/IPSEC et racoon est en état démarré dans status/services

    Dans le premier cas c'est anormal et je n'ai jamais vu cette situation et pourtant j'ai des dizaines de clusters en production sur les 5 continents.
    Dans le second cas, c'est normal si aucun trafic à destination ou en provenance des réseaux distants n'a circulé depuis l'expiration de la durée de vie du tunnel. Sur 150 tunnels c'est rare… mais pas impossible si la durée de vie est courte et que les sites distants n'ont aucune activité la nuit (du type point de vente)
    Avez vous relevé les dernieres lignes de log dans l'onglet IPSEC ? des lignes particulieres dans system logs ?

    Pour ce qui est du Zywall, une fois pfsense maitrisé, il revient plus cher ;-)



  • Bonjour Juve,
    je réponds avec un peu de retard.

    Je suis maintenant en version release et le problème persiste.

    Racoon plante une ou deux fois par jour. il est signalé "arrêté" dans la liste des services et donc forcément plus aucun tunnel n'est up.
    Un script (check_reload_status de mémoire) le relance heureusement tous les xx minutes mais c'est quand même … embêtant.

    Dans le log IPSec j'ai pas mal de choses concernant des tunnels qui se montent mal (mauvaise configuration du routeur de l'autre coté, c'est une opération que je mon client réalise lui-même). Et soudain, le crash.
    Dans le system log rien de spécial avant le crash.

    voila.
    Je suis content de savoir que certains utilisent PFSense dans un vrai environnement et pas seulement dans le cadre d'un projet de fin d'étude.
    J'ai été sans doute un peu ironique pour le zywall, mais je crois sincèrement, et avec tout le respect que je dois aux personnes qui ont  participé au projet, que la version 2 n'est pas un produit fini.
    J'ai encore buté sur un problème idiot il y a une semaine : impossible de configurer un modem ADSL en PPOE : l'authentification avec le FAI échoue. Evidemment j'ai testé la chaine depuis un PC avec une bête connexion PPOE windows qui marche sans problème.

    Maintenant que j'y ai passé 50 H sur l'installation je vais le laisser en place, mais c'est vraiment très décevant, et je déconseille TRES fortement son installation a quelqu'un qui a moins de 10 ans d'expérience en informatique.



  • Bonsoir,

    pfSense reste en effet un outil destiné aux personnes ayant de solides bases, il faut savoir ce que l'on fait, et ce que l'on veut faire et en comprendre le fonctionnement. Mais ceci est un autre débat.  ;)

    Le bug Ipsec m'intrigue. Avez vous tenté de lancer racoon en debug (http://doc.pfsense.org/index.php/IPSec_Troubleshooting) ? Peut etre aurons nous plus d'information lors du crash.

    Vous utilisez PPTP en parallele .? http://redmine.pfsense.org/issues/1421



  • Bonjour,

    non, je n'utilise pas de PPTP.
    J'ai lancé le racoon en mode debug mais cela ne m'a pas donné d'infos supplémentaires.
    J'ai des core dump mais … qu'en faire ?

    Au demeurant la plateforme tourne quand même en production depuis 3 semaines sans trop de problème. Touchons du bois ...


Log in to reply