IPSec to Dlink DFL-260E через FQDN



  • Доброго времени, уже второй день мучаюсь, помогите пожалуйста разобраться.

    Итак имеем pfsense 2.1.5 с двумя WAN (белые IP, для них зарегистрировали отдельное имя в глобальном DNS) на одной стороне и на другой Dlink DFL-260E, так же белый IP

    На pfsense создал группу шлюзов, поставил галку динамическое переключение шлюзов, все ОК - шлюзы переключаются - инет не пропадает.

    Настроили IPSEC по одному основному IP, канал поднимался как надо, до тех по пока не начали настраивать failover ipsec. В итоге получили траблу: как только меняем настройки на FQDN, т.е. в настройка pfsense устанавливаем My identifier тип dynamicDNS -> FQDN домена, в настройках dlinka указываем FQDN, странно конечно, но указывать необходимо так dns:FQDN (напр. dns:yandex.ru). Применяем настройки ждем когда поднимется канал, он поднимается…. но только на 5 мин, через 5 мин получаем вот такие ошибки, и канал падает

    
    Feb 12 21:48:16	racoon: [VPN1]: INFO: initiate new phase 2 negotiation: WAN_PF[4500]<=>REMOTEIP[4500]
    Feb 12 21:48:04	racoon: ERROR: REMOTEIP give up to get IPsec-SA due to time up to wait.
    Feb 12 21:47:54	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal f '.
    Feb 12 21:47:54	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
    Feb 12 21:47:44	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal f '.
    Feb 12 21:47:44	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
    Feb 12 21:47:34	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal f '.
    Feb 12 21:47:34	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
    Feb 12 21:47:34	racoon: ERROR: Xauth mode config set but peer did not declare itself as Xauth capable
    Feb 12 21:47:34	racoon: ERROR: Xauth mode config request but peer did not declare itself as Xauth capable
    Feb 12 21:47:34	racoon: ERROR: Xauth mode config request but peer did not declare itself as Xauth capable
    Feb 12 21:47:34	racoon: INFO: NAT detected -> UDP encapsulation (ENC_MODE 1->3).
    Feb 12 21:47:34	racoon: [VPN1]: INFO: initiate new phase 2 negotiation: WAN_PF[4500]<=>REMOTEIP[4500]
    Feb 12 21:47:20	racoon: ERROR: REMOTEIP give up to get IPsec-SA due to time up to wait.
    Feb 12 21:47:10	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal ='.
    Feb 12 21:47:10	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
    Feb 12 21:47:00	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal ='.
    Feb 12 21:47:00	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
    Feb 12 21:46:50	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal ='.
    Feb 12 21:46:50	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
    Feb 12 21:46:50	racoon: ERROR: Xauth mode config set but peer did not declare itself as Xauth capable
    Feb 12 21:46:50	racoon: ERROR: Xauth mode config request but peer did not declare itself as Xauth capable
    Feb 12 21:46:50	racoon: ERROR: Xauth mode config request but peer did not declare itself as Xauth capable
    Feb 12 21:46:50	racoon: INFO: NAT detected -> UDP encapsulation (ENC_MODE 1->3).
    Feb 12 21:46:50	racoon: [VPN1]: INFO: initiate new phase 2 negotiation: WAN_PF[4500]<=>REMOTEIP[4500]
    
    

    через 10 мин пинги опять начинают бегать, и через 5 мин опять пропадают, и так до бесконечности.
    Меняем обратно на IP адрес - все взлетает.

    Подскажите пожалуйста куда копать?  :o



  • 1. Адресация в сетях за роутерами - разная ?
    2. http://forums.petri.com/showthread.php?t=30257

    There a couple of things to check:

    Check the encryption levels.
    Check the Pre-shared keys
    Check the networks.

    **We figured this out - the remote ASA was not licensed to use AES. Switching to 3DES fixed this up.

    Thanks everyone!**

    So not the same encryption settings



  • 1. Да, адресация разная со стороны pfsense 192.168.0.0/24 со стороны dlink 10.5.0.0/24
    2. Да уже все на 100 раз перепроверил, из за того то dlink имеет мало настроек для криптографии были сделаны следующие наcтройки на pfsense, которые идентичны настройкам dlink
    Protocol ESP
    Encryption algorithms DES
    Hash algorithms SHA1
    PFS key group none
    Lifetime 3600

    если что то менять в настройках первой/второй фазы racoon сразу же начинает ругаться на несоответствие настроек

    Еще раз повторюсь, если в первой фазе выставлять IP адрес - тоннель поднимается и не падает, но если выставлять DNS имя - вот такая петрушка непонятная.



  • А в настройках dlink есть ли возможность исп. какой-нибудь dyndns-сервис ? Если есть - воспользуйтесь такой возможностью и обращайтесь к dlink по этому dyndns-имени.

    P.s. Обновите прошивку dlink до самой последней.
    http://ftp.dlink.ru/pub/FireWall/DFL-260E/Firmware/



  • dlink обновили

    Не работает :(

    у меня тут мысль пришла, а может он (dlink) в разное время разные IP получает?



  • Господа… отбой.

    для мульти WAN только dynamic dns., FQDN в общем DNS не работает.

    Как я понял: клиент по FQDN получает несколько IP,  и видать каждый раз разные (DNS имеет свойство обновляться). dynamic dns возвращает только 1 IP, но при падении канала обновляет на необходимый (на данный момент активный), потом racoon рестартится и получает нужный.

    на данный момент канал поднят уже как мин 20-30 )