Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    IPSec to Dlink DFL-260E через FQDN

    Russian
    2
    6
    2448
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      vitaliy_ last edited by

      Доброго времени, уже второй день мучаюсь, помогите пожалуйста разобраться.

      Итак имеем pfsense 2.1.5 с двумя WAN (белые IP, для них зарегистрировали отдельное имя в глобальном DNS) на одной стороне и на другой Dlink DFL-260E, так же белый IP

      На pfsense создал группу шлюзов, поставил галку динамическое переключение шлюзов, все ОК - шлюзы переключаются - инет не пропадает.

      Настроили IPSEC по одному основному IP, канал поднимался как надо, до тех по пока не начали настраивать failover ipsec. В итоге получили траблу: как только меняем настройки на FQDN, т.е. в настройка pfsense устанавливаем My identifier тип dynamicDNS -> FQDN домена, в настройках dlinka указываем FQDN, странно конечно, но указывать необходимо так dns:FQDN (напр. dns:yandex.ru). Применяем настройки ждем когда поднимется канал, он поднимается…. но только на 5 мин, через 5 мин получаем вот такие ошибки, и канал падает

      
      Feb 12 21:48:16	racoon: [VPN1]: INFO: initiate new phase 2 negotiation: WAN_PF[4500]<=>REMOTEIP[4500]
      Feb 12 21:48:04	racoon: ERROR: REMOTEIP give up to get IPsec-SA due to time up to wait.
      Feb 12 21:47:54	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal f '.
      Feb 12 21:47:54	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
      Feb 12 21:47:44	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal f '.
      Feb 12 21:47:44	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
      Feb 12 21:47:34	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal f '.
      Feb 12 21:47:34	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
      Feb 12 21:47:34	racoon: ERROR: Xauth mode config set but peer did not declare itself as Xauth capable
      Feb 12 21:47:34	racoon: ERROR: Xauth mode config request but peer did not declare itself as Xauth capable
      Feb 12 21:47:34	racoon: ERROR: Xauth mode config request but peer did not declare itself as Xauth capable
      Feb 12 21:47:34	racoon: INFO: NAT detected -> UDP encapsulation (ENC_MODE 1->3).
      Feb 12 21:47:34	racoon: [VPN1]: INFO: initiate new phase 2 negotiation: WAN_PF[4500]<=>REMOTEIP[4500]
      Feb 12 21:47:20	racoon: ERROR: REMOTEIP give up to get IPsec-SA due to time up to wait.
      Feb 12 21:47:10	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal ='.
      Feb 12 21:47:10	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
      Feb 12 21:47:00	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal ='.
      Feb 12 21:47:00	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
      Feb 12 21:46:50	racoon: [VPN1]: [REMOTEIP] ERROR: error message: '"Could not find acceptable proposal ='.
      Feb 12 21:46:50	racoon: [VPN1]: [REMOTEIP] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
      Feb 12 21:46:50	racoon: ERROR: Xauth mode config set but peer did not declare itself as Xauth capable
      Feb 12 21:46:50	racoon: ERROR: Xauth mode config request but peer did not declare itself as Xauth capable
      Feb 12 21:46:50	racoon: ERROR: Xauth mode config request but peer did not declare itself as Xauth capable
      Feb 12 21:46:50	racoon: INFO: NAT detected -> UDP encapsulation (ENC_MODE 1->3).
      Feb 12 21:46:50	racoon: [VPN1]: INFO: initiate new phase 2 negotiation: WAN_PF[4500]<=>REMOTEIP[4500]
      
      

      через 10 мин пинги опять начинают бегать, и через 5 мин опять пропадают, и так до бесконечности.
      Меняем обратно на IP адрес - все взлетает.

      Подскажите пожалуйста куда копать?  :o

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        1. Адресация в сетях за роутерами - разная ?
        2. http://forums.petri.com/showthread.php?t=30257

        There a couple of things to check:

        Check the encryption levels.
        Check the Pre-shared keys
        Check the networks.

        **We figured this out - the remote ASA was not licensed to use AES. Switching to 3DES fixed this up.

        Thanks everyone!**

        So not the same encryption settings

        1 Reply Last reply Reply Quote 0
        • V
          vitaliy_ last edited by

          1. Да, адресация разная со стороны pfsense 192.168.0.0/24 со стороны dlink 10.5.0.0/24
          2. Да уже все на 100 раз перепроверил, из за того то dlink имеет мало настроек для криптографии были сделаны следующие наcтройки на pfsense, которые идентичны настройкам dlink
          Protocol ESP
          Encryption algorithms DES
          Hash algorithms SHA1
          PFS key group none
          Lifetime 3600

          если что то менять в настройках первой/второй фазы racoon сразу же начинает ругаться на несоответствие настроек

          Еще раз повторюсь, если в первой фазе выставлять IP адрес - тоннель поднимается и не падает, но если выставлять DNS имя - вот такая петрушка непонятная.

          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            А в настройках dlink есть ли возможность исп. какой-нибудь dyndns-сервис ? Если есть - воспользуйтесь такой возможностью и обращайтесь к dlink по этому dyndns-имени.

            P.s. Обновите прошивку dlink до самой последней.
            http://ftp.dlink.ru/pub/FireWall/DFL-260E/Firmware/

            1 Reply Last reply Reply Quote 0
            • V
              vitaliy_ last edited by

              dlink обновили

              Не работает :(

              у меня тут мысль пришла, а может он (dlink) в разное время разные IP получает?

              1 Reply Last reply Reply Quote 0
              • V
                vitaliy_ last edited by

                Господа… отбой.

                для мульти WAN только dynamic dns., FQDN в общем DNS не работает.

                Как я понял: клиент по FQDN получает несколько IP,  и видать каждый раз разные (DNS имеет свойство обновляться). dynamic dns возвращает только 1 IP, но при падении канала обновляет на необходимый (на данный момент активный), потом racoon рестартится и получает нужный.

                на данный момент канал поднят уже как мин 20-30 )

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post