pfsense 2.0.2 racoon (ipsec vpn) não confiável

4

Estou tendo problemas com o racoon (ipsec VPN) no pFSense 2.0.2 (e 2.0.1). De acordo com o racoon, todos os meus túneis estão em alta (eu tenho cerca de 130 deles), mas com o tempo mais e mais deles não passam o tráfego. Se eu reiniciar o racoon, os túneis começarão a funcionar novamente, por um período de tempo.

Quase não há utilização da CPU, apenas cerca de 20% da RAM está sendo usada (antes ou depois da reinicialização do racoon).

Em todos os locais que estou fazendo DPD, de acordo com a PF, os túneis estão em alta.

Agora o Nagios estava mostrando que eu tinha 54 locais, reiniciei o racoon e tudo voltou.

- Editar - Também devo observar, atualmente temos o pF 1.2.3 executando estes com absolutamente nenhum problema, mas eu tenho o mesmo problema entre as duas caixas de PF (1.2.3 < - > 2.0.2), provavelmente movendo-se para ovpn para isso.

- Editar -

Também notamos hoje que ele só cai para 50-60 dos túneis por algumas horas, e não mais.

- Editar - Nos logs, encontrei isso ao pingar um local inativo: ERRO: não pode iniciar o modo rápido, não há ISAKMP-SA

- Editar - O que eu estou achando é que se eu fizer login em um dispositivo na rede remota e fazer ping na rede pF, uma nova Fase2 será criada e o túnel funcionará novamente. Ele deve estar abrindo o túnel quando eu pingar na outra direção, mas simplesmente não é.

- Editar -

No meu caso, os modems aos quais estamos nos conectando possuem uma configuração para "keep tunnel alive" (não DPD), que parece funcionar em torno deste problema que o pF está tendo. Parece que o pF não negociará uma fase 2 quando for solicitada, o que é extremamente curioso. Tenho verificações do Nagios acontecendo a cada dois minutos tentando atravessar o túnel, o que deve fazer com que o pF faça um novo P2 (ou P1 + P2, se necessário), uma vez que a vida útil tenha expirado, mas não é. De acordo com a página de status do IPsec do pF, o túnel ainda está ativo (provavelmente porque o P1 ainda é válido) quando é óbvio que não.

    
por cpuguy83 14.01.2013 / 15:22

4 respostas

3

Para quem procura resolução, tente esta referência:

"To resolve this issue disable NAT-T (when pfsense holds the public IP). If that still does not help disable DPD and set 'Negotiation Mode' in Phase 1 to main"

    
por 30.08.2013 / 00:41
1

É provável que as associações de segurança estejam fora de sincronia devido a pequenos problemas na conexão com a Internet. Da próxima vez que isso acontecer, dê uma olhada em "status > ipsec > sad". Comece a executar o ping do outro host, se houver tempo limite e houver mais de 2 (um para cada lado) e tente excluir os SADs de "dados" mortos e veja se seus pings começam novamente. Isso foi muito comum para mim com ipsec.

Veja também os logs ipsec do pfsense. O IPSec registra tudo, e se você deseja atualizá-lo aqui, podemos tentar ajudar. Você também pode ativar a depuração do racoon.

Como uma solução a longo prazo, eu uso openvpn hoje em dia, que é construído em pfsense, eu recomendaria definição isso, ao lado do seu ipsec e passar para ele.

    
por 14.01.2013 / 17:46
0

Talvez preferir SAs antigos onde não deveria ser? Sistema > Avançado, Diversos, "Preferir SAs IPsec mais antigos", desmarque essa opção se estiver marcada.

    
por 16.01.2013 / 03:32
0

O mesmo problema em nossa rede ...

Eu tenho o pfSense V2.0.1 que conecta a matriz (A) por meio da VPN IPsec com sete ramificações (B1, B2, B3, B4, B5, B6, B7). Em todas as filiais, tenho o roteador Cisco WRVS4400N com o firmware mais recente (V2.0.2.1).

Eu tenho IPs WAN estáticos em todos os lugares e todos os roteadores Cisco têm configuração idêntica ... as únicas diferenças são os IPs WAN / LAN / WiFi e a senha do WiFi.

Estou usando dois ISPs:

  • BELL - > B1, B2, B3, B4, B5 e B6

  • VIDEOTRON - > A e B7

Todas as conexões da Internet são feitas através de um modem configurado no modo bridge e o modelo do BELL é o mesmo em todas as seis filiais.

Veja como o IPsec funciona:

A VPN entre A e B1-B5 é estável de ambas as extremidades. Nenhum problema em tudo.

A VPN entre A e B6 é estável apenas no lado do pfSense. O túnel aparece o tempo todo de ambos os lados e se eu fizer ping da rede A para um PC na rede B6 (LAN IP) eu tenho acesso. Infelizmente, a conexão de B6 para A não funciona depois de menos de um minuto quando há atividade em ambos os lados (ambos os lados ainda mostram o túnel como para cima) e permanece até que eu faça ping de A para B6 ... Nesse ponto eu tenho acesso de ambos os lados novamente ... Decidimos trocar dois dos roteadores Cisco (B5 com B6) e descobrimos que o problema fica com o branch!?! Nós solicitamos a BELL para investigar o problema, mas nos disseram que está tudo bem com o equipamento deles. BELL aceitou substituir o modem, mas infelizmente isso não mudou nada ... A única solução para nós no momento é um ping constante da rede A para a rede B6.

A VPN entre A e B7 (o mesmo ISP - VIDEORTON) é estável apenas do lado da ramificação (B7). O túnel aparece o tempo todo no roteador B7 e o B7 não tem problemas para se conectar à rede A. No pfSense eu vejo o túnel descendo a cada 1 hora (isso é devido à vida útil da Fase 2) e então ele não pode ser restaurado. Nesse ponto, o túnel pode ser restaurado apenas a partir do lado B7 (ping para um PC na rede A). Por enquanto, decidimos executar um ping constante da rede B7 para a rede A.

NOTA: Poucos dias atrás eu atualizei o pfSense para a V2.0.2, mas isso não mudou nada.

Acredito que o problema esteja no equipamento dos provedores de Internet, mas, com base em minha experiência com o suporte de primeiro e segundo nível, não é possível provar isso.

Cumprimentos e boa sorte.

    
por 24.01.2013 / 04:36