IPSec Caindo Após Atualização



  • Olá pessoal, excelente dia.

    Tenho um pfsense rodando a 2 anos 2.1.5-RELEASE (amd64) porém ao atualizar para a nova versão 2.3 minha VPN IPSec não funciona mais.

    Na verdade ela conecta, fica por alguns instantes e cai, a conexão só retorna se eu reiniciar o servidor ou o serviço fora isso não volta mais.

    Estou a 1 semana pesquisando, tentando, testando e nada. Alguém já passou por isso? pode me ajudar?



  • Primeiramente (pode ser q nao tenha relação com seu problema): você ta usando ikev2? Se nao estiver, use, pois é mais rápido.

    Outra coisa… você realizou upgrade?? Upgrade da 2.1 pra 2.2 nao era recomendada devido a atualização do freebsd... Acredito que da 2.1 pra 2.3 é a mesma situação. O ideal era vc instalar um novo pfsense.

    vlw



  • Olá, obrigado por ajudar.

    Estou usando o IKEv2 sim.

    Sobre a instalação depois de muito tentar eu resolvi, "começar do zero" instalei um novo servidor baixando a ISO do site.

    Mesmo assim, eu configurando manualmente o serviço, a conexão é estabelecida e logo após cai.

    Meu pfsense está se conectando a um CISCO em um fornecedor.

    Por favor, tem alguma idéia? o que posso ter esquecido no firewall ou NAT?

    Aguardo, grande abraço.



  • Faz o seguinte.. na fase 2 tente inserir um ip da rede remota no campo "Automatically ping host"

    Obs: tive problema em fechar vpn entre um pfsense e um sonicwall em ikev2. Se possível tente ikev1 tbm



  • Ele já está com o Automatically ping host o Remote Network.

    Encryption 3DES/SHA1



  • Deu uma olhada nos logs do ipsec? Posta aqui.

    Você tem acesso a esse CISCO?



  • Uma boa observação que posso fazer também é que quando a conexão é feita, o pouco tempo que ela fica ativa eu não consigo fazer ping.  :-[ :-[



  • Veja o LOG

    May 13 22:03:38 charon 01[ENC] <con1000|3>generating QUICK_MODE request 864875732 [ HASH ]
    May 13 22:03:38 charon 01[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (60 bytes)
    May 13 22:03:38 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
    May 13 22:03:38 charon 01[ENC] <con1000|3>generating QUICK_MODE request 3128749469 [ HASH SA No ID ID ]
    May 13 22:03:38 charon 01[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (172 bytes)
    May 13 22:03:38 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
    May 13 22:03:38 charon 03[NET] received packet: from 210.26.68.22[500] to 210.119.23.151[500]
    May 13 22:03:38 charon 03[NET] waiting for data on sockets
    May 13 22:03:38 charon 10[NET] <con1000|3>received packet: from 210.26.68.22[500] to 210.119.23.151[500] (156 bytes)
    May 13 22:03:38 charon 10[ENC] <con1000|3>parsed QUICK_MODE response 3128749469 [ HASH SA No ID ID ]
    May 13 22:03:38 charon 10[IKE] <con1000|3>CHILD_SA con10017{63} established with SPIs c14224eb_i 5c973745_o and TS 10.200.0.0/23|/0 === 10.91.8.0/21|/0
    May 13 22:03:38 charon 10[ENC] <con1000|3>generating QUICK_MODE request 3128749469 [ HASH ]
    May 13 22:03:38 charon 10[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (60 bytes)
    May 13 22:03:38 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
    May 13 22:03:38 charon 10[ENC] <con1000|3>generating QUICK_MODE request 1411318312 [ HASH SA No ID ID ]
    May 13 22:03:38 charon 10[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (172 bytes)
    May 13 22:03:38 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
    May 13 22:03:39 charon 10[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {17}
    May 13 22:03:39 charon 14[KNL] <con1000|3>unable to query SAD entry with SPI 756a592f: No such file or directory (2)
    May 13 22:03:42 charon 14[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {26}
    May 13 22:03:42 charon 09[IKE] <con1000|3>sending retransmit 1 of request message ID 1411318312, seq 14
    May 13 22:03:42 charon 09[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (172 bytes)
    May 13 22:03:42 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
    May 13 22:03:46 charon 15[KNL] <con1000|3>unable to query SAD entry with SPI 756a592f: No such file or directory (2)
    May 13 22:03:49 charon 14[IKE] <con1000|3>sending retransmit 2 of request message ID 1411318312, seq 14
    May 13 22:03:49 charon 14[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (172 bytes)
    May 13 22:03:49 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
    May 13 22:03:52 charon 14[KNL] <con1000|3>unable to query SAD entry with SPI 756a592f: No such file or directory (2)
    May 13 22:03:53 charon 11[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {31}
    May 13 22:03:58 charon 07[KNL] <con1000|3>unable to query SAD entry with SPI 756a592f: No such file or directory (2)
    May 13 22:04:02 charon 07[IKE] <con1000|3>sending retransmit 3 of request message ID 1411318312, seq 14
    May 13 22:04:02 charon 07[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (172 bytes)
    May 13 22:04:02 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
    May 13 22:04:02 charon 05[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {17}
    May 13 22:04:02 charon 06[CFG] ignoring acquire, connection attempt pending
    May 13 22:04:04 charon 07[KNL] <con1000|3>unable to query SAD entry with SPI 756a592f: No such file or directory (2)
    May 13 22:04:07 charon 06[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {27}
    May 13 22:04:07 charon 07[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {19}</con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3>



  • Estas são as configurações avançadas




  • Testa com Configure Unique IDs = keep



  • A versão 2.3 tem bastante bug ainda –> https://redmine.pfsense.org/projects/pfsense/issues?set_filter=1&tracker_id=1

    Talvez seria interessante vc tentar fechar essa vpn na 2.2.6 (+estável)



  • Por incrível que pareça a 2.2.6 apresentava o mesmo problema, por isso atualizei para a 2.3.

    Não sei se estou esquecendo algo no firewall, nat, configuração, já comparei os firewalls e nada….

    Só está funcionando na 2.1.5.

    Estou quase jogando isso pela janela.

    Coloquei os prints do fw e do ipsec








  • Seu pfsense ta atrás de NAT?

    me adiciona no skype ai rlustosa1



  • Existem alguns bugs com o IPSec na release 2.3.0 que provavelmente estarão resolvidos na 2.3.1.

    Experimenta usar um snapshot de desenvolvimento (snapshots.pfsense.org) numa máquina de testes, e verifica se o problema ainda ocorre.

    Adicionalmente a versão 2.3.1 deverá sair nos próximos dias.

    Boa sorte!

    Cumprimentos,
    Jorge M. Oliveira


Log in to reply