Тунель IPSec сеть - сеть периодически падает



  • 2 территориально удаленных точки, в каждой из них стоит pfsence 2.0, канал IPsec сеть - сеть настроен и работает. Примерно раз в сутки тоннель падает, создать его заново помогает перезагрузка Diagnostics -> Reboot. Проблема обсуждалась на зарубежных форумах, но суть так и не смог уловить, по моему её не решили. Логи выложу в момент очередного падения туннеля. Какие могут быть мысли по поводу решения проблемы?



  • Nov 18 12:30:05 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:30:05 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:30:05 racoon: INFO: begin Aggressive mode.
    Nov 18 12:30:05 racoon: ERROR: phase1 negotiation failed due to send error. f42b7f2140412aa1:0000000000000000
    Nov 18 12:30:05 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:30:26 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:30:26 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:30:26 racoon: INFO: begin Aggressive mode.
    Nov 18 12:30:26 racoon: ERROR: phase1 negotiation failed due to send error. f2bad67fb2fdc4bc:0000000000000000
    Nov 18 12:30:26 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:30:46 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:30:46 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:30:46 racoon: INFO: begin Aggressive mode.
    Nov 18 12:30:46 racoon: ERROR: phase1 negotiation failed due to send error. 2149b4e4bed1aa4a:0000000000000000
    Nov 18 12:30:46 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:30:48 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:30:48 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:30:48 racoon: INFO: begin Aggressive mode.
    Nov 18 12:30:48 racoon: ERROR: phase1 negotiation failed due to send error. 79d613129ebe3fb0:0000000000000000
    Nov 18 12:30:48 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:31:19 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:31:19 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:31:19 racoon: INFO: begin Aggressive mode.
    Nov 18 12:31:19 racoon: ERROR: phase1 negotiation failed due to send error. 38510c8ce68f9486:0000000000000000
    Nov 18 12:31:19 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:31:41 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:31:41 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:31:41 racoon: INFO: begin Aggressive mode.
    Nov 18 12:31:41 racoon: ERROR: phase1 negotiation failed due to send error. 16bc935dcbd4c1ae:0000000000000000
    Nov 18 12:31:41 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:32:02 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:32:02 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:32:02 racoon: INFO: begin Aggressive mode.
    Nov 18 12:32:02 racoon: ERROR: phase1 negotiation failed due to send error. 1fda3ee1e1ed43cf:0000000000000000
    Nov 18 12:32:02 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:32:23 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:32:23 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:32:23 racoon: INFO: begin Aggressive mode.
    Nov 18 12:32:23 racoon: ERROR: phase1 negotiation failed due to send error. 20136079a90101fd:0000000000000000
    Nov 18 12:32:23 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:32:44 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:32:44 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:32:44 racoon: INFO: begin Aggressive mode.
    Nov 18 12:32:44 racoon: ERROR: phase1 negotiation failed due to send error. e764fcd6b2d90a0a:0000000000000000
    Nov 18 12:32:44 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:33:05 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:33:05 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:33:05 racoon: INFO: begin Aggressive mode.
    Nov 18 12:33:05 racoon: ERROR: phase1 negotiation failed due to send error. e6b4027104737002:0000000000000000
    Nov 18 12:33:05 racoon: ERROR: failed to begin ipsec sa negotication.



  • Настройки IPSec в студию.



  • Сторона 1






  • сторона 2

    ![lan2 phase1.JPG](/public/imported_attachments/1/lan2 phase1.JPG)
    ![lan2 phase1.JPG_thumb](/public/imported_attachments/1/lan2 phase1.JPG_thumb)
    ![lan2 phase2.JPG](/public/imported_attachments/1/lan2 phase2.JPG)
    ![lan2 phase2.JPG_thumb](/public/imported_attachments/1/lan2 phase2.JPG_thumb)



  • Попробуй для обоих сторон сделать так.
    в первом слайде раз у тебя реальный IP на WANах то убрать опцию

    NAT Traversal - disable
    и время жизни поболее
    Lifetime - 86400

    на второй фазе сделать так.

    Encryption algorithms
    оставить только 3DES

    Hash algorithms без изменений (SHA1 MD5 остаются галки)
    PFS key group - 2
    Lifetime 86400

    Остальное также как и есть у тебя.
    PS для обоих машин одинаково только для сетей зеркально делаем.



  • спасибо, попробуем… результат отпишу



  • попробуй когда упадет туннель не систему ребутить, а только сервис ракона. И посмотри что у тебя стоит там где "разрешить использование старых SA"



  • рвется все равно, в логах токое
    Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.1/32[0] 192.168.6.0/24[0] proto=any dir=out
    Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.0/24[0] 192.168.6.1/32[0] proto=any dir=in
    Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.0/24[0] 192.168.0.0/24[0] proto=any dir=out
    Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.0.0/24[0] 192.168.6.0/24[0] proto=any dir=in
    Nov 24 22:45:58 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 24 22:45:58 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 24 22:45:58 racoon: INFO: begin Aggressive mode.
    Nov 24 22:46:29 racoon: [wan1_to_wan2]: [85.113.36.63] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 85.113.36.63[0]->85.113.41.146[0]
    Nov 24 22:46:29 racoon: INFO: delete phase 2 handler.
    Nov 24 22:46:48 racoon: ERROR: phase1 negotiation failed due to time up. c04521d29bb1d07f:0000000000000000
    Nov 24 22:48:08 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 24 22:48:08 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 24 22:48:08 racoon: INFO: begin Aggressive mode.
    Nov 24 22:48:39 racoon: [wan1_to_wan2]: [85.113.36.63] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 85.113.36.63[0]->85.113.41.146[0]
    Nov 24 22:48:39 racoon: INFO: delete phase 2 handler.
    Nov 24 22:48:52 racoon: [wan1_to_wan2]: [85.113.36.63] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
    Nov 24 22:48:58 racoon: ERROR: phase1 negotiation failed due to time up. 8cd2c4f784fbff76:0000000000000000



  • востановление тунеля иногда помогает перезапуск службы ракон. Однако непонятно почему, но иногда перезагрузка одной стороны не помогает, необходимо перезагрузить шлюзы на обоих концах туннеля. Иногода первая перезагрузка не помогает, а помогает вторая или третья. В общем непонятки одни. Уважаемые форумчане какие еще бубут мысли?



  • Только что попробовал, после падения канала если запустить вручную на вкладке "Status: IPsec", тоннель заводится.



  • сегодня утром тоннель опять оборвался, в логах каждые 5 минут
    Nov 27 13:37:58 racoon: ERROR: phase1 negotiation failed due to send error. 11bc162f8cf99861:0000000000000000
    Nov 27 13:37:58 racoon: ERROR: failed to begin ipsec sa negotication.



  • что может означать этот, взято с заграничной ветки форума
    http://forum.pfsense.org/index.php/topic,42850.0.html
    jimp
    Administrator
    Hero Member


    Offline Offline

    Posts: 8746

    View Profile

    Re: IPSec Stops working within 24 hours 2.0-RELEASE (amd64)
    « Reply #1 on: November 14, 2011, 09:37:04 am »

    By chance are you also running PPTP server on your firewall?

    http://redmine.pfsense.org/issues/1421

    If so, make sure that your PPTP server address is not set to an in-use IP, especially a WAN IP.
    Logged
    Need help fast? Try Commercial Support !

    Co-Author of pfSense: The Definitive Guide . - Check the Doc Wiki for FAQs & How-Tos.

    Do not PM for help ; Keep all issues in the forum
    eprimaveri
    Newbie
    *
    Offline Offline

    Posts: 5

    View Profile

    Re: IPSec Stops working within 24 hours 2.0-RELEASE (amd64)
    « Reply #2 on: November 14, 2011, 11:33:12 am »

    Yes I am. Ok so I will change that to a local IP and test again. Thank you for posting that information.



  • Версии ПФсенсов одинаковые?



  • да, мало того установлены с одного диска



  • а канал стабилен между офисами?
    Может чего добавить в крон если падает то перезапускать IPSec



  • @xtc:

    а канал стабилен между офисами?
    Может чего добавить в крон если падает то перезапускать IPSec

    думаю что эта штуковина задумана таким образом что канал должен сам подниматься, замеченно что в суббтоту когда работает один сотрудник и трафик минимальный канал рвется по 5 раз за рабочий день, видимо засыпает при неактивности, причем пинги противоположной сети не пробуждают канал, именно эту проблему обсуждали на зарубежной ветке форума.
    Лично что я могу сейчас поставить чтобы решить проблему, это ipfire, на этой системе канал держался ьолее 2х лет, и поднимался в любой критической ситуации, даже при внизапном отключении электричества. До ipfire у меня был печальный опыт работы на clearos там канал ipsec так же падает и помогает только перезагрузка. Сегодня завтра установлю ipfire о результатаю работы системы отпишу сдесь. Еще возникла мысль, может затем попробоавть pfsence версией ниже 2,0?



  • пинги для поддержания работы тунеля пускаете внутри тунеля? попробуйте снаружи, пров может не понимать что это нужный трафик.
    также почему бы не попробовать опенвпн?


Log in to reply