Почему валится IPSEC?



  • два удаленных офиса соединены по ipsec. На обоих хостах в качестве шлюзов стоит pfSense 2.0

    вот что в логах на стороне сервере с адресом xxx.xxx.xxx.xxx:

    Mar 30 11:27:43 racoon: []: [yyy.yyy.yyy.yyy] INFO: DPD: remote (ISAKMP-SA spi=478eaf47f5047d98:e2f3f9e537a29a00) seems to be dead.
    Mar 30 11:27:43 racoon: INFO: purging ISAKMP-SA spi=478eaf47f5047d98:e2f3f9e537a29a00.
    Mar 30 11:27:43 racoon: INFO: purged IPsec-SA spi=263056510.
    Mar 30 11:27:43 racoon: INFO: purged IPsec-SA spi=201106602.
    Mar 30 11:27:43 racoon: INFO: purged ISAKMP-SA spi=478eaf47f5047d98:e2f3f9e537a29a00.
    Mar 30 11:27:43 racoon: []: INFO: ISAKMP-SA deleted xxx.xxx.xxx.xxx[500]-yyy.yyy.yyy.yyy[500] spi:478eaf47f5047d98:e2f3f9e537a29a00
    Mar 30 11:27:46 racoon: []: INFO: IPsec-SA request for yyy.yyy.yyy.yyy queued due to no phase1 found.
    Mar 30 11:27:46 racoon: []: INFO: initiate new phase 1 negotiation: xxx.xxx.xxx.xxx[500]<=>yyy.yyy.yyy.yyy[500]
    Mar 30 11:27:46 racoon: INFO: begin Identity Protection mode.
    Mar 30 11:27:46 racoon: ERROR: phase1 negotiation failed due to send error. 623a619e0ce5e44a:0000000000000000
    Mar 30 11:27:46 racoon: ERROR: failed to begin ipsec sa negotication.
    Mar 30 11:28:29 racoon: []: INFO: IPsec-SA request for yyy.yyy.yyy.yyy queued due to no phase1 found.

    На стороне с адресом yyy.yyy.yyy.yyy:

    Mar 30 11:27:42 racoon: INFO: purged ISAKMP-SA spi=478eaf47f5047d98:e2f3f9e537a29a00.
    Mar 30 11:27:42 racoon: []: INFO: ISAKMP-SA deleted yyy.yyy.yyy.yyy[500]-xxx.xxx.xxx.xxx[500] spi:478eaf47f5047d98:e2f3f9e537a29a00
    Mar 30 11:28:32 racoon: []: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
    Mar 30 11:28:32 racoon: []: INFO: initiate new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[500]
    Mar 30 11:28:32 racoon: INFO: begin Identity Protection mode.
    Mar 30 11:29:03 racoon: []: [xxx.xxx.xxx.xxx] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP xxx.xxx.xxx.xxx[0]->yyy.yyy.yyy.yyy[0]
    Mar 30 11:29:03 racoon: INFO: delete phase 2 handler.
    Mar 30 11:29:19 racoon: []: [xxx.xxx.xxx.xxx] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
    Mar 30 11:29:22 racoon: ERROR: phase1 negotiation failed due to time up. 68083f38f762421a:0000000000000000



  • Никто не подскажет? СТолько просмотров и тишина..



  • Такая же фигня =( Но мне помогает только ручной перезапуск , пока не понял причину …



  • да, только руками перезапускать. Причем через Status->Ipsec не полнимается, нужно VPN->IPSec edit (ничего не меняем)->save->apply changes а потом только Status->Ipsec нажать на поднятие.



  • На файрволе ничего не закрыто? Может в конфигурации что то не то накликал?

    У меня ЦО и 4 филиала связаны через IPSEC VPN никаких проблем (при чем не везде стабильный интернет).



  • С фаером все норм. Рвется периодически, примерно раз в двое суток.



  • Какие настройки на обоих pfSense ? Версию до 2.01 обновите.



  • У меня 2.0-RC2(i386), 2.0-RELEASE(i386), 2.0.1-RELEASE(amd64) – Полет нормальный.



  • Настройки на одной стороне:

    На другой стороне:

    Обновился на обоих сторонах до 2.0.1, посмотрим…



  • У меня:
    Pharse1: Neagotiation mode: agressive
    Pharse2: Encryption algorithms: AES, Blowfish, 3DES, CAST128

    Все остальное аналогично.



  • После обновления ситуация не изменилась. Валится периодически.



  • @hexdimko:

    После обновления ситуация не изменилась. Валится периодически.

    На вашей второй страничке у меня:
    Phase 2 proposal (SA/Key Exchange)
    Encryption algorithms 
    только 3DES

    Hash algorithms только SHA1
    Туннель не падает, сам работает.
    (обе машины на 1.2.3 работают)



  • пробовал всяко менять настройки, все равно падает примерно раз в двое суток



  • народ кто нить решил эту проблему?



  • Уходом в сторону Openvpn.



  • все то не плохо… но у меня видеонаблюдение на более чем 20 объектов... и ганять такой траффик через 1 точку не хочется... ((((



  • Подниму тему.
    Все практически тоже самое. Перезагружаемся по несколько раз на день.
    Вот мои логи - http://forum.pfsense.org/index.php/topic,53074.0.html.
    Мечтаю уйти с pfSense  ;D


Locked