4. Тунель IPSec сеть - сеть периодически падает

Тунель IPSec сеть - сеть периодически падает

  • W

    2 территориально удаленных точки, в каждой из них стоит pfsence 2.0, канал IPsec сеть - сеть настроен и работает. Примерно раз в сутки тоннель падает, создать его заново помогает перезагрузка Diagnostics -> Reboot. Проблема обсуждалась на зарубежных форумах, но суть так и не смог уловить, по моему её не решили. Логи выложу в момент очередного падения туннеля. Какие могут быть мысли по поводу решения проблемы?

    0
  • W

    Nov 18 12:30:05 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:30:05 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:30:05 racoon: INFO: begin Aggressive mode.
    Nov 18 12:30:05 racoon: ERROR: phase1 negotiation failed due to send error. f42b7f2140412aa1:0000000000000000
    Nov 18 12:30:05 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:30:26 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:30:26 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:30:26 racoon: INFO: begin Aggressive mode.
    Nov 18 12:30:26 racoon: ERROR: phase1 negotiation failed due to send error. f2bad67fb2fdc4bc:0000000000000000
    Nov 18 12:30:26 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:30:46 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:30:46 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:30:46 racoon: INFO: begin Aggressive mode.
    Nov 18 12:30:46 racoon: ERROR: phase1 negotiation failed due to send error. 2149b4e4bed1aa4a:0000000000000000
    Nov 18 12:30:46 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:30:48 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:30:48 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:30:48 racoon: INFO: begin Aggressive mode.
    Nov 18 12:30:48 racoon: ERROR: phase1 negotiation failed due to send error. 79d613129ebe3fb0:0000000000000000
    Nov 18 12:30:48 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:31:19 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:31:19 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:31:19 racoon: INFO: begin Aggressive mode.
    Nov 18 12:31:19 racoon: ERROR: phase1 negotiation failed due to send error. 38510c8ce68f9486:0000000000000000
    Nov 18 12:31:19 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:31:41 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:31:41 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:31:41 racoon: INFO: begin Aggressive mode.
    Nov 18 12:31:41 racoon: ERROR: phase1 negotiation failed due to send error. 16bc935dcbd4c1ae:0000000000000000
    Nov 18 12:31:41 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:32:02 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:32:02 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:32:02 racoon: INFO: begin Aggressive mode.
    Nov 18 12:32:02 racoon: ERROR: phase1 negotiation failed due to send error. 1fda3ee1e1ed43cf:0000000000000000
    Nov 18 12:32:02 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:32:23 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:32:23 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:32:23 racoon: INFO: begin Aggressive mode.
    Nov 18 12:32:23 racoon: ERROR: phase1 negotiation failed due to send error. 20136079a90101fd:0000000000000000
    Nov 18 12:32:23 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:32:44 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:32:44 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:32:44 racoon: INFO: begin Aggressive mode.
    Nov 18 12:32:44 racoon: ERROR: phase1 negotiation failed due to send error. e764fcd6b2d90a0a:0000000000000000
    Nov 18 12:32:44 racoon: ERROR: failed to begin ipsec sa negotication.
    Nov 18 12:33:05 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 18 12:33:05 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 18 12:33:05 racoon: INFO: begin Aggressive mode.
    Nov 18 12:33:05 racoon: ERROR: phase1 negotiation failed due to send error. e6b4027104737002:0000000000000000
    Nov 18 12:33:05 racoon: ERROR: failed to begin ipsec sa negotication.

    0
  • X

    Настройки IPSec в студию.

    0
  • W

    Сторона 1




    0
  • W

    сторона 2

    ![lan2 phase1.JPG](/public/imported_attachments/1/lan2 phase1.JPG)
    ![lan2 phase1.JPG_thumb](/public/imported_attachments/1/lan2 phase1.JPG_thumb)
    ![lan2 phase2.JPG](/public/imported_attachments/1/lan2 phase2.JPG)
    ![lan2 phase2.JPG_thumb](/public/imported_attachments/1/lan2 phase2.JPG_thumb)

    0
  • X

    Попробуй для обоих сторон сделать так.
    в первом слайде раз у тебя реальный IP на WANах то убрать опцию

    NAT Traversal - disable
    и время жизни поболее
    Lifetime - 86400

    на второй фазе сделать так.

    Encryption algorithms
    оставить только 3DES

    Hash algorithms без изменений (SHA1 MD5 остаются галки)
    PFS key group - 2
    Lifetime 86400

    Остальное также как и есть у тебя.
    PS для обоих машин одинаково только для сетей зеркально делаем.

    0
  • W

    спасибо, попробуем… результат отпишу

    0
  • M

    попробуй когда упадет туннель не систему ребутить, а только сервис ракона. И посмотри что у тебя стоит там где "разрешить использование старых SA"

    0
  • W

    рвется все равно, в логах токое
    Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.1/32[0] 192.168.6.0/24[0] proto=any dir=out
    Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.0/24[0] 192.168.6.1/32[0] proto=any dir=in
    Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.6.0/24[0] 192.168.0.0/24[0] proto=any dir=out
    Nov 24 22:45:48 racoon: ERROR: such policy already exists. anyway replace it: 192.168.0.0/24[0] 192.168.6.0/24[0] proto=any dir=in
    Nov 24 22:45:58 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 24 22:45:58 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 24 22:45:58 racoon: INFO: begin Aggressive mode.
    Nov 24 22:46:29 racoon: [wan1_to_wan2]: [85.113.36.63] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 85.113.36.63[0]->85.113.41.146[0]
    Nov 24 22:46:29 racoon: INFO: delete phase 2 handler.
    Nov 24 22:46:48 racoon: ERROR: phase1 negotiation failed due to time up. c04521d29bb1d07f:0000000000000000
    Nov 24 22:48:08 racoon: [wan1_to_wan2]: INFO: IPsec-SA request for 85.113.36.63 queued due to no phase1 found.
    Nov 24 22:48:08 racoon: [wan1_to_wan2]: INFO: initiate new phase 1 negotiation: 85.113.41.146[500]<=>85.113.36.63[500]
    Nov 24 22:48:08 racoon: INFO: begin Aggressive mode.
    Nov 24 22:48:39 racoon: [wan1_to_wan2]: [85.113.36.63] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 85.113.36.63[0]->85.113.41.146[0]
    Nov 24 22:48:39 racoon: INFO: delete phase 2 handler.
    Nov 24 22:48:52 racoon: [wan1_to_wan2]: [85.113.36.63] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
    Nov 24 22:48:58 racoon: ERROR: phase1 negotiation failed due to time up. 8cd2c4f784fbff76:0000000000000000

    0
  • W

    востановление тунеля иногда помогает перезапуск службы ракон. Однако непонятно почему, но иногда перезагрузка одной стороны не помогает, необходимо перезагрузить шлюзы на обоих концах туннеля. Иногода первая перезагрузка не помогает, а помогает вторая или третья. В общем непонятки одни. Уважаемые форумчане какие еще бубут мысли?

    0
  • W

    Только что попробовал, после падения канала если запустить вручную на вкладке "Status: IPsec", тоннель заводится.

    0
  • W

    сегодня утром тоннель опять оборвался, в логах каждые 5 минут
    Nov 27 13:37:58 racoon: ERROR: phase1 negotiation failed due to send error. 11bc162f8cf99861:0000000000000000
    Nov 27 13:37:58 racoon: ERROR: failed to begin ipsec sa negotication.

    0
  • W

    что может означать этот, взято с заграничной ветки форума
    http://forum.pfsense.org/index.php/topic,42850.0.html
    jimp
    Administrator
    Hero Member

    Offline Offline

    Posts: 8746

    View Profile

    Re: IPSec Stops working within 24 hours 2.0-RELEASE (amd64)
    « Reply #1 on: November 14, 2011, 09:37:04 am »

    By chance are you also running PPTP server on your firewall?

    http://redmine.pfsense.org/issues/1421

    If so, make sure that your PPTP server address is not set to an in-use IP, especially a WAN IP.
    Logged
    Need help fast? Try Commercial Support !

    Co-Author of pfSense: The Definitive Guide . - Check the Doc Wiki for FAQs & How-Tos.

    Do not PM for help ; Keep all issues in the forum
    eprimaveri
    Newbie
    *
    Offline Offline

    Posts: 5

    View Profile

    Re: IPSec Stops working within 24 hours 2.0-RELEASE (amd64)
    « Reply #2 on: November 14, 2011, 11:33:12 am »

    Yes I am. Ok so I will change that to a local IP and test again. Thank you for posting that information.

    0
  • X

    Версии ПФсенсов одинаковые?

    0
  • W

    да, мало того установлены с одного диска

    0
  • X

    а канал стабилен между офисами?
    Может чего добавить в крон если падает то перезапускать IPSec

    0
  • W

    @xtc:

    а канал стабилен между офисами?
    Может чего добавить в крон если падает то перезапускать IPSec

    думаю что эта штуковина задумана таким образом что канал должен сам подниматься, замеченно что в суббтоту когда работает один сотрудник и трафик минимальный канал рвется по 5 раз за рабочий день, видимо засыпает при неактивности, причем пинги противоположной сети не пробуждают канал, именно эту проблему обсуждали на зарубежной ветке форума.
    Лично что я могу сейчас поставить чтобы решить проблему, это ipfire, на этой системе канал держался ьолее 2х лет, и поднимался в любой критической ситуации, даже при внизапном отключении электричества. До ipfire у меня был печальный опыт работы на clearos там канал ipsec так же падает и помогает только перезагрузка. Сегодня завтра установлю ipfire о результатаю работы системы отпишу сдесь. Еще возникла мысль, может затем попробоавть pfsence версией ниже 2,0?

    0
  • A

    пинги для поддержания работы тунеля пускаете внутри тунеля? попробуйте снаружи, пров может не понимать что это нужный трафик.
    также почему бы не попробовать опенвпн?

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy