IPSec Caindo Após Atualização

kleitonsoares

Olá pessoal, excelente dia.

Tenho um pfsense rodando a 2 anos 2.1.5-RELEASE (amd64) porém ao atualizar para a nova versão 2.3 minha VPN IPSec não funciona mais.

Na verdade ela conecta, fica por alguns instantes e cai, a conexão só retorna se eu reiniciar o servidor ou o serviço fora isso não volta mais.

Estou a 1 semana pesquisando, tentando, testando e nada. Alguém já passou por isso? pode me ajudar?

rlrobs

Primeiramente (pode ser q nao tenha relação com seu problema): você ta usando ikev2? Se nao estiver, use, pois é mais rápido.

Outra coisa… você realizou upgrade?? Upgrade da 2.1 pra 2.2 nao era recomendada devido a atualização do freebsd... Acredito que da 2.1 pra 2.3 é a mesma situação. O ideal era vc instalar um novo pfsense.

vlw

kleitonsoares

Olá, obrigado por ajudar.

Estou usando o IKEv2 sim.

Sobre a instalação depois de muito tentar eu resolvi, "começar do zero" instalei um novo servidor baixando a ISO do site.

Mesmo assim, eu configurando manualmente o serviço, a conexão é estabelecida e logo após cai.

Meu pfsense está se conectando a um CISCO em um fornecedor.

Por favor, tem alguma idéia? o que posso ter esquecido no firewall ou NAT?

Aguardo, grande abraço.

rlrobs

Faz o seguinte.. na fase 2 tente inserir um ip da rede remota no campo "Automatically ping host"

Obs: tive problema em fechar vpn entre um pfsense e um sonicwall em ikev2. Se possível tente ikev1 tbm

kleitonsoares

Ele já está com o Automatically ping host o Remote Network.

Encryption 3DES/SHA1

rlrobs

Deu uma olhada nos logs do ipsec? Posta aqui.

Você tem acesso a esse CISCO?

kleitonsoares

Uma boa observação que posso fazer também é que quando a conexão é feita, o pouco tempo que ela fica ativa eu não consigo fazer ping. :-[ :-[

kleitonsoares

Veja o LOG

May 13 22:03:38 charon 01[ENC] <con1000|3>generating QUICK_MODE request 864875732 [ HASH ]
May 13 22:03:38 charon 01[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (60 bytes)
May 13 22:03:38 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
May 13 22:03:38 charon 01[ENC] <con1000|3>generating QUICK_MODE request 3128749469 [ HASH SA No ID ID ]
May 13 22:03:38 charon 01[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (172 bytes)
May 13 22:03:38 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
May 13 22:03:38 charon 03[NET] received packet: from 210.26.68.22[500] to 210.119.23.151[500]
May 13 22:03:38 charon 03[NET] waiting for data on sockets
May 13 22:03:38 charon 10[NET] <con1000|3>received packet: from 210.26.68.22[500] to 210.119.23.151[500] (156 bytes)
May 13 22:03:38 charon 10[ENC] <con1000|3>parsed QUICK_MODE response 3128749469 [ HASH SA No ID ID ]
May 13 22:03:38 charon 10[IKE] <con1000|3>CHILD_SA con10017{63} established with SPIs c14224eb_i 5c973745_o and TS 10.200.0.0/23|/0 === 10.91.8.0/21|/0
May 13 22:03:38 charon 10[ENC] <con1000|3>generating QUICK_MODE request 3128749469 [ HASH ]
May 13 22:03:38 charon 10[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (60 bytes)
May 13 22:03:38 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
May 13 22:03:38 charon 10[ENC] <con1000|3>generating QUICK_MODE request 1411318312 [ HASH SA No ID ID ]
May 13 22:03:38 charon 10[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (172 bytes)
May 13 22:03:38 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
May 13 22:03:39 charon 10[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {17}
May 13 22:03:39 charon 14[KNL] <con1000|3>unable to query SAD entry with SPI 756a592f: No such file or directory (2)
May 13 22:03:42 charon 14[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {26}
May 13 22:03:42 charon 09[IKE] <con1000|3>sending retransmit 1 of request message ID 1411318312, seq 14
May 13 22:03:42 charon 09[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (172 bytes)
May 13 22:03:42 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
May 13 22:03:46 charon 15[KNL] <con1000|3>unable to query SAD entry with SPI 756a592f: No such file or directory (2)
May 13 22:03:49 charon 14[IKE] <con1000|3>sending retransmit 2 of request message ID 1411318312, seq 14
May 13 22:03:49 charon 14[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (172 bytes)
May 13 22:03:49 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
May 13 22:03:52 charon 14[KNL] <con1000|3>unable to query SAD entry with SPI 756a592f: No such file or directory (2)
May 13 22:03:53 charon 11[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {31}
May 13 22:03:58 charon 07[KNL] <con1000|3>unable to query SAD entry with SPI 756a592f: No such file or directory (2)
May 13 22:04:02 charon 07[IKE] <con1000|3>sending retransmit 3 of request message ID 1411318312, seq 14
May 13 22:04:02 charon 07[NET] <con1000|3>sending packet: from 210.119.23.151[500] to 210.26.68.22[500] (172 bytes)
May 13 22:04:02 charon 04[NET] sending packet: from 210.119.23.151[500] to 210.26.68.22[500]
May 13 22:04:02 charon 05[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {17}
May 13 22:04:02 charon 06[CFG] ignoring acquire, connection attempt pending
May 13 22:04:04 charon 07[KNL] <con1000|3>unable to query SAD entry with SPI 756a592f: No such file or directory (2)
May 13 22:04:07 charon 06[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {27}
May 13 22:04:07 charon 07[KNL] creating acquire job for policy 210.119.23.151/32|/0 === 210.26.68.22/32|/0 with reqid {19}</con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3></con1000|3>

kleitonsoares

Estas são as configurações avançadas

rlrobs

Testa com Configure Unique IDs = keep

rlrobs

A versão 2.3 tem bastante bug ainda –> https://redmine.pfsense.org/projects/pfsense/issues?set_filter=1&tracker_id=1

Talvez seria interessante vc tentar fechar essa vpn na 2.2.6 (+estável)

kleitonsoares

Por incrível que pareça a 2.2.6 apresentava o mesmo problema, por isso atualizei para a 2.3.

Não sei se estou esquecendo algo no firewall, nat, configuração, já comparei os firewalls e nada….

Só está funcionando na 2.1.5.

Estou quase jogando isso pela janela.

Coloquei os prints do fw e do ipsec

rlrobs

Seu pfsense ta atrás de NAT?

me adiciona no skype ai rlustosa1

JorgeOliveira

Existem alguns bugs com o IPSec na release 2.3.0 que provavelmente estarão resolvidos na 2.3.1.

Experimenta usar um snapshot de desenvolvimento (snapshots.pfsense.org) numa máquina de testes, e verifica se o problema ainda ocorre.

Adicionalmente a versão 2.3.1 deverá sair nos próximos dias.

Boa sorte!

Cumprimentos,
Jorge M. Oliveira

IPSec Caindo Após Atualização

Products

Services

Support

News

Resources

Company

Our Mission

Subscribe to our Newsletter