Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Рвется VPN канал между CISCO и Pfsence

    Scheduled Pinned Locked Moved Russian
    2 Posts 2 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      neodiz
      last edited by

      Добрый день. Поднял VPN Ipsec между cisco pfsense (2.0.2-RELEASE (amd64) ) Через какой то промежуток времени(Время не замерял) рвется VPN канал и пинги перестают ходить.
      Параметры настройки CISCO

      crypto isakmp policy 1
      encr 3des
      authentication pre-share
      group 2
      lifetime 3600
      crypto isakmp key 123456789 address <внешний ip PFSENSE>
      crypto isakmp keepalive 3600
      !
      !
      crypto ipsec transform-set MyTransformSet esp-3des esp-sha-hmac
      !
      crypto map MapKir 10 ipsec-isakmp
      set peer <внешний ip PFSENSE>
      set transform-set MyTransformSet
      set pfs group2
      match address gate

      interface FastEthernet0/1
      description Internet
      crypto map MapKir

      ip access-list extended gate
      permit ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255
      !
      access-list 102 deny  ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255
      access-list 102 deny  icmp 192.168.11.0 0.0.0.255 192.168.0.0 0.0.255.255
      access-list 102 permit ip 192.168.11.0 0.0.0.255 any

      Параметры PFSENSE

      path pre_shared_key "/var/etc/psk.txt";

      path certificate  "/var/etc";

      listen
      {
              adminsock "/var/db/racoon/racoon.sock" "root" "wheel" 0660;
              isakmp <ip pfsense="">[500];
              isakmp_natt <ip pfsense="">[4500];
      }

      remote <ip cisco="">{
              ph1id 1;
              exchange_mode main;                                                                                                                               
              my_identifier address <ip pfsense="">peers_identifier address <ip cisco="">;
              ike_frag on;
              generate_policy = on;
              initial_contact = on;
              nat_traversal = off;

      support_proxy on;
              proposal_check claim;

      proposal
              {
                      authentication_method pre_shared_key;
                      encryption_algorithm 3des;
                      hash_algorithm sha1;
                      dh_group 2;
                      lifetime time 3600 secs;
              }
      }

      sainfo subnet 192.168.0.0/16 any subnet 192.168.11.0/24 any
      {
              remoteid 1;
              encryption_algorithm 3des;
              authentication_algorithm hmac_sha1;
              pfs_group 2;
              lifetime time 3600 secs;
              compression_algorithm deflate;
      }
      После перезапуска сервиса, канал начинает работать.
      Друзья скажите в какую сторону уже копать.</ip></ip></ip></ip></ip>

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Копать в сторону логов.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.