有没有人能够在ASA设备和pfSense 2.0.1之间为L2L VPN指定一个稳定的configuration? 我正在使用ASA端的最容易设置(带有许多转换集的DefaultL2LGroup ,并使用PSK,以便pfSense设备执行所有指定的networking)以及pfSense端上最简单的设置(默认设置+无DPD + NAT- T使能,两端的P1 / P2生存期匹配,P2使用pfSense中指定的3DES / SHA1,简单地将LANnetworking连接到另一个LAN,networking之间没有IP寻址冲突,没有复杂的路由select等等。几乎所有的局域网/ 24局域网,几乎所有的时间都在运行,但是隧道间歇性的下降(大概是每天2-5次),虽然很难预测,但是所有的我一直在试图让它停止放弃,但到目前为止我还没有运气,甚至有些同事也听说思科的IPSec实施有些问题,使得pfSense和ASA不能很好地发挥作用。还有什么可以尝试吗?任何人都可以提供 ome轶事提示或技巧来诊断和/或修复掉落的隧道?
我已经尝试过的东西
DefaultL2LGroup ) 任何和所有的帮助非常感谢。
我有一个问题,展现出与你的行为几乎相同。 我试图通过VPN与Veeam进行异地备份。 这项工作通常会在2-6个小时之间正常运行,但是在某个时候它会失败。 Veeam支持审查了日志,并指出它与质量差的networking连接有关。 我看着思科ASA防火墙,它显示错误:
show int eth 0/0 | inc error
ASA外部接口被configuration为自动协商速度和双工,并以100 Mbit半双工运行。 我手动将接口设置为100 Mbit全双工,并且没有异地备份工作的问题。
以下是我在pfSense 2.0.1上使用的设置。 请注意,其中一些不是默认设置,我必须validation思科ASA设置匹配(特别是生命周期)。
阶段1:
Authentication method: Mutual PSK Negotiation mode: aggressive My identifier: KeyID tag, DefaultL2LGroup Peer identifier: Peer IP address Policy Generation: Unique Proposal Checking: Obey Encryption algorithm: 3DES Hash algorithm: MD5 DH key group: 2 Lifetime: 86400 NAT Traversal: Enable Dead Peer Detection: disabled
阶段2:
Mode: Tunnel Protocol: ESP Encryption: 3DES Hash: MD5 PFS key group: off Lifetime: 28800