Para quem procura resolução, tente esta referência:
"To resolve this issue disable NAT-T (when pfsense holds the public IP). If that still does not help disable DPD and set 'Negotiation Mode' in Phase 1 to main"
Estou tendo problemas com o racoon (ipsec VPN) no pFSense 2.0.2 (e 2.0.1). De acordo com o racoon, todos os meus túneis estão em alta (eu tenho cerca de 130 deles), mas com o tempo mais e mais deles não passam o tráfego. Se eu reiniciar o racoon, os túneis começarão a funcionar novamente, por um período de tempo.
Quase não há utilização da CPU, apenas cerca de 20% da RAM está sendo usada (antes ou depois da reinicialização do racoon).
Em todos os locais que estou fazendo DPD, de acordo com a PF, os túneis estão em alta.
Agora o Nagios estava mostrando que eu tinha 54 locais, reiniciei o racoon e tudo voltou.
- Editar - Também devo observar, atualmente temos o pF 1.2.3 executando estes com absolutamente nenhum problema, mas eu tenho o mesmo problema entre as duas caixas de PF (1.2.3 < - > 2.0.2), provavelmente movendo-se para ovpn para isso.
- Editar -
Também notamos hoje que ele só cai para 50-60 dos túneis por algumas horas, e não mais.
- Editar - Nos logs, encontrei isso ao pingar um local inativo: ERRO: não pode iniciar o modo rápido, não há ISAKMP-SA
- Editar - O que eu estou achando é que se eu fizer login em um dispositivo na rede remota e fazer ping na rede pF, uma nova Fase2 será criada e o túnel funcionará novamente. Ele deve estar abrindo o túnel quando eu pingar na outra direção, mas simplesmente não é.
- Editar -
No meu caso, os modems aos quais estamos nos conectando possuem uma configuração para "keep tunnel alive" (não DPD), que parece funcionar em torno deste problema que o pF está tendo. Parece que o pF não negociará uma fase 2 quando for solicitada, o que é extremamente curioso. Tenho verificações do Nagios acontecendo a cada dois minutos tentando atravessar o túnel, o que deve fazer com que o pF faça um novo P2 (ou P1 + P2, se necessário), uma vez que a vida útil tenha expirado, mas não é. De acordo com a página de status do IPsec do pF, o túnel ainda está ativo (provavelmente porque o P1 ainda é válido) quando é óbvio que não.
Para quem procura resolução, tente esta referência:
"To resolve this issue disable NAT-T (when pfsense holds the public IP). If that still does not help disable DPD and set 'Negotiation Mode' in Phase 1 to main"
É provável que as associações de segurança estejam fora de sincronia devido a pequenos problemas na conexão com a Internet. Da próxima vez que isso acontecer, dê uma olhada em "status > ipsec > sad". Comece a executar o ping do outro host, se houver tempo limite e houver mais de 2 (um para cada lado) e tente excluir os SADs de "dados" mortos e veja se seus pings começam novamente. Isso foi muito comum para mim com ipsec.
Veja também os logs ipsec do pfsense. O IPSec registra tudo, e se você deseja atualizá-lo aqui, podemos tentar ajudar. Você também pode ativar a depuração do racoon.
Como uma solução a longo prazo, eu uso openvpn hoje em dia, que é construído em pfsense, eu recomendaria definição isso, ao lado do seu ipsec e passar para ele.
Talvez preferir SAs antigos onde não deveria ser? Sistema > Avançado, Diversos, "Preferir SAs IPsec mais antigos", desmarque essa opção se estiver marcada.
O mesmo problema em nossa rede ...
Eu tenho o pfSense V2.0.1 que conecta a matriz (A) por meio da VPN IPsec com sete ramificações (B1, B2, B3, B4, B5, B6, B7). Em todas as filiais, tenho o roteador Cisco WRVS4400N com o firmware mais recente (V2.0.2.1).
Eu tenho IPs WAN estáticos em todos os lugares e todos os roteadores Cisco têm configuração idêntica ... as únicas diferenças são os IPs WAN / LAN / WiFi e a senha do WiFi.
Estou usando dois ISPs:
BELL - > B1, B2, B3, B4, B5 e B6
VIDEOTRON - > A e B7
Todas as conexões da Internet são feitas através de um modem configurado no modo bridge e o modelo do BELL é o mesmo em todas as seis filiais.
Veja como o IPsec funciona:
A VPN entre A e B1-B5 é estável de ambas as extremidades. Nenhum problema em tudo.
A VPN entre A e B6 é estável apenas no lado do pfSense. O túnel aparece o tempo todo de ambos os lados e se eu fizer ping da rede A para um PC na rede B6 (LAN IP) eu tenho acesso. Infelizmente, a conexão de B6 para A não funciona depois de menos de um minuto quando há atividade em ambos os lados (ambos os lados ainda mostram o túnel como para cima) e permanece até que eu faça ping de A para B6 ... Nesse ponto eu tenho acesso de ambos os lados novamente ... Decidimos trocar dois dos roteadores Cisco (B5 com B6) e descobrimos que o problema fica com o branch!?! Nós solicitamos a BELL para investigar o problema, mas nos disseram que está tudo bem com o equipamento deles. BELL aceitou substituir o modem, mas infelizmente isso não mudou nada ... A única solução para nós no momento é um ping constante da rede A para a rede B6.
A VPN entre A e B7 (o mesmo ISP - VIDEORTON) é estável apenas do lado da ramificação (B7). O túnel aparece o tempo todo no roteador B7 e o B7 não tem problemas para se conectar à rede A. No pfSense eu vejo o túnel descendo a cada 1 hora (isso é devido à vida útil da Fase 2) e então ele não pode ser restaurado. Nesse ponto, o túnel pode ser restaurado apenas a partir do lado B7 (ping para um PC na rede A). Por enquanto, decidimos executar um ping constante da rede B7 para a rede A.
NOTA: Poucos dias atrás eu atualizei o pfSense para a V2.0.2, mas isso não mudou nada.
Acredito que o problema esteja no equipamento dos provedores de Internet, mas, com base em minha experiência com o suporte de primeiro e segundo nível, não é possível provar isso.
Cumprimentos e boa sorte.