服务器 Gind.cn
  1. 服务器 Gind.cn
  3. pfsense 2.0.2 racoon(ipsec vpn)不可靠
Intereting Posts
Linux内核:传出networking数据包停滞? 如何维护zookeeper合奏? 如何configurationAWS以托pipe我的apex域? 启用S​​MBv1 / CIFSangular色后,Windowsterminal服务器访问被拒绝 EPEL存储库上的nodejs版本 是否有与ufw相同的iptables-apply TFS 2005升级计划到TFS 2010? 使用pipe理员权限执行所有操作的审计跟踪 将Exchange公用文件夹导出到networking驱动器,共享点或PST CISCO 2921和Sonicwall NSA 3600之间的站点到站点VPN:NO_PROPOSAL_CHOSEN PHP的APC – 是100%碎片一件坏事? Nagios在发送通知邮件时不稳定的行为 vmware上的samba,debian squeeze 为什么在事件ID为502的Windows Vista上文件夹redirect失败? NAUbackup – Xenserver 6.5备份解决scheme

pfsense 2.0.2 racoon(ipsec vpn)不可靠

我在pFSense 2.0.2(和2.0.1)上遇到了racoon(ipsec VPN)的问题。 据浣熊所有我的隧道(我有大约130人),但随着时间的推移,越来越多的人不会通过交通。 如果我重启浣熊,隧道又开始工作了一段时间。

几乎没有CPU利用率,只有大约20%的RAM正在使用(在重新启动之前或之后)。

在所有的地点,我正在做DPD,根据PF的隧道了。

刚才Nagios显示我有54个位置,重新启动了racoon,一切都恢复了。

– 编辑 – 另外我应该注意到,我们目前有PF 1.2.3运行这些绝对没有问题,但我也有相同的问题之间的两个PF框(1.2.3 < – > 2.0.2),可能移动为了这个ovpn

– 编辑 –

今天也注意到,它只在几个小时内下降到隧道的50-60,而没有更多。

– 编辑 – 从日志中find这个时,ping一个死的位置:错误:无法启动快速模式,没有ISAKMP SA

– 编辑 – 我发现如果我login到远程networking上的设备,并ping pFnetworking一个新的Phase2创build,隧道再次工作。 当我ping另一个方向时应该打开隧道,但根本不是。

– 编辑 –

在我的情况下,我们连接的调制解调器有一个“保持隧道活着”(而不是DPD)的设置,这似乎解决了这个问题。 看起来pF不会在要求的时候谈判第二阶段,这是非常好奇的。 我每隔几分钟就会发生一次Nagios检查,试图穿越隧道,一旦生命周期过期,应该导致pF执行一个新的P2(或者P1 + P2,如果需要的话),但这不是。 根据pF的IPsec状态页面隧道仍然活着(可能是因为P1仍然有效),当然这显然不是。

对于任何寻找解决scheme的人来说,请尝试以下参考

“要解决这个问题,禁用NAT-T(当pfsense持有公共IP时),如果仍然不能禁用DPD,并将阶段1中的”协商模式“设置为主”

这可能是因为互联网连接的小问题,安全协会不同步。 下次发生的时候,看看“status> ipsec> sad”。 开始ping其他主机,如果超时,并且有超过2(每边一个),然后尝试删除死亡的“数据”SAD,并查看您的ping是否再次启动。 ipsec对我来说非常普遍。

也看看pfsense ipsec日志。 IPSeclogging一切,如果你想在这里更新,我们可以尝试和帮助。 您也可以打开racoon debugging 。

作为一个长期的解决scheme,我现在使用的openvpn ,这是内置于pfsense,我build议设置这个,沿着你的ipsec和移动到它。

也许更喜欢旧SA不应该在哪里? 系统“>”高级“,”其他“,”select较早的IPsec SA“,取消选中该选项。

在我们的networking中同样的问题…

我有pfSense V2.0.1,通过7个分支(B1,B2,B3,B4,B5,B6,B7)通过IPsec VPN连接总部(A)。 在所有分支机构中,我都配有最新固件(V2.0.2.1)的Cisco WRVS4400N路由器。

我在任何地方都有静态的广域网IP,所有的思科路由器都有相同的configuration…唯一的区别是WAN / LAN / WiFi IP和WiFi密码。

我正在使用两个ISP:

  • BELL – > B1,B2,B3,B4,B5和B6

  • VIDEOTRON – > A和B7

所有的互联网连接都是通过一个桥接模式configuration的调制解调器,BELL的模型在所有六个分支中都是相同的。

以下是IPsec的工作原理:

A和B1-B5之间的VPN从两端稳定。 没有问题。

A和B6之间的VPN只有在pfSense方面才是稳定的。 隧道从双方都出现,如果我从Anetworkingping到B6networking(LAN IP)上的PC,我就可以访问了。 不幸的是,B6到A的连接在不到一分钟的时候,在两边都有活动的时候(双方仍然显示隧道一样),并且一直停留下来,直到我从A到B6 ping … At这一点,我再次从双方访问…我们决定交换两台思科路由器(B5与B6),我们发现问题留在分支! 我们要求贝尔调查这个问题,但我们被告知,他们的设备一切正常。 BELL接受replace调制解调器,但不幸的是,这并没有改变任何东西……目前我们唯一的解决scheme是从Anetworking到B6networking的不断ping。

A和B7(同一ISP – VIDEORTON)之间的VPN只能从分支(B7)侧稳定。 B7路由器始终显示隧道,B7没有问题连接到Anetworking。 在pfSense上,我看到隧道每隔1小时就会closures(这是因为阶段2的生命周期),所以无法恢复。 此时,隧道只能从B7端恢复(ping到A网上的一台PC)。 现在我们决定运行一个从B7networking到Anetworking的连续ping。

注:前几天我没有升级pfSense到V2.0.2,但没有任何改变。

我认为问题在于互联网提供商的设备,但基于我对一级和二级支持的经验,不可能certificate这一点。

问候,祝你好运。