• Irgendwie find ich grad nichts zu dem Thema ….

    Wie kann man ipsec Tunnels auf permanent on schalten? Wir haben 2 Tunnel zu unterschiedlichen Endpoints (Barracuda & Strongswan) die prinzipiell funktionieren aber nach einiger Zeit disconnecten. Ein Ping auf eine VPN Adresse sorgt für ein reconnect. So weit so gut. Die Tunnel sollen aber permanent aufgebaut bleiben. Wie ist das in pfsense zu bewerkstelligen? (Die Endpoints auf der anderen Seite sind auf perm. on gestellt).

  • LAYER 8 Moderator

    Ahoi,

    ich habe hier Tunnel zu Cisco und Juniper Gegenstellen die ohne seltsame Konfiguration stabil bleiben. In IPSec wäre mir kein Parameter bekannt, der ein "Auflegen" der Verbindung auslösen würde oder dass man den Tunnel auf "always on" stellen müsste.

    Ist zu dem Zeitpunkt vielleicht etwas anderes mit dem Interface nicht in Ordnung? Disconnect des Providers o.ä.?

    Grüße


  • Nein Verbindung ist in Ordnung, ich kann die Verbindungen jederzeit über die Status Page wieder aufbauen. Die PH2 Verbindungen bauen auch nicht gleichzeitig ab.

    DPD ist auch on.

    Ich kenn nur von den alten Lancom Routern eine Option mit der die Haltezeit der VPN Verbindung definiert werden kann, daher dachte ich es gibt was entsprechendes in IPSec. Ich hab in den PH2 keinen Ping Host drinnen, der würde das Problem vermutlich auch lösen.

    Ich hab eben die selben VPN Verbindungen vom Lancom auf pfsense umgestellt, dort wars permanent on, hier nicht.

    –-

    Noch eine andere Frage.... Ich hab gleichzeitig IPSec Mobile VPN und die VPN-VPN Tunnel definiert. Wie kann ich einen Mobile Client auf ein anderes VPN weiterleiten? Irgendwie hakt das. Ipsec Rules hab ich drinnen (Mobile Client Net auf ZielNet allow)


  • So hab nun dich einige posts zu dem Thema gefunden…..

    Das Problem lässt sich soweit eingrenzen

    INFO: ISAKMP-SA expired

    Somit wird die entsprechende SA gedropped und die Verbindung aufgelöst. Die Frage ist nur ... warum? Die Parameter sind auf beiden Seiten identisch (ttls der keys usw). Auch die Tipps mit "Nat-N disable, DPD off oder Policy Generation auf unique) bringen keine Änderung.....

    Und ....  nach einem restart von racoon sind alle vpns per default offline