Рвется VPN канал между CISCO и Pfsence



  • Добрый день. Поднял VPN Ipsec между cisco pfsense (2.0.2-RELEASE (amd64) ) Через какой то промежуток времени(Время не замерял) рвется VPN канал и пинги перестают ходить.
    Параметры настройки CISCO

    crypto isakmp policy 1
    encr 3des
    authentication pre-share
    group 2
    lifetime 3600
    crypto isakmp key 123456789 address <внешний ip PFSENSE>
    crypto isakmp keepalive 3600
    !
    !
    crypto ipsec transform-set MyTransformSet esp-3des esp-sha-hmac
    !
    crypto map MapKir 10 ipsec-isakmp
    set peer <внешний ip PFSENSE>
    set transform-set MyTransformSet
    set pfs group2
    match address gate

    interface FastEthernet0/1
    description Internet
    crypto map MapKir

    ip access-list extended gate
    permit ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255
    !
    access-list 102 deny  ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255
    access-list 102 deny  icmp 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255
    access-list 102 permit ip 192.168.11.0 0.0.0.255 any

    Параметры PFSENSE

    path pre_shared_key "/var/etc/psk.txt";

    path certificate  "/var/etc";

    listen
    {
            adminsock "/var/db/racoon/racoon.sock" "root" "wheel" 0660;
            isakmp <ip pfsense="">[500];
            isakmp_natt <ip pfsense="">[4500];
    }

    remote <ip cisco="">{
            ph1id 1;
            exchange_mode main;                                                                                                                               
            my_identifier address <ip pfsense="">peers_identifier address <ip cisco="">;
            ike_frag on;
            generate_policy = on;
            initial_contact = on;
            nat_traversal = off;

    support_proxy on;
            proposal_check claim;

    proposal
            {
                    authentication_method pre_shared_key;
                    encryption_algorithm 3des;
                    hash_algorithm sha1;
                    dh_group 2;
                    lifetime time 3600 secs;
            }
    }

    sainfo subnet 192.168.0.0/16 any subnet 192.168.11.0/24 any
    {
            remoteid 1;
            encryption_algorithm 3des;
            authentication_algorithm hmac_sha1;
            pfs_group 2;
            lifetime time 3600 secs;
            compression_algorithm deflate;
    }
    После перезапуска сервиса, канал начинает работать.
    Друзья скажите в какую сторону уже копать.</ip></ip></ip></ip></ip>



  • Копать в сторону логов.


Log in to reply