pfsense 2.0.2 енота (ipsec vpn) ненадежный
Вероятно, ассоциации безопасности рассинхронизировались из-за небольших сбоев в подключении к Интернету. В следующий раз, когда это произойдет, посмотрите «status> ipsec> sad». Начните пинговать другой хост, если время ожидания истекло и их больше двух (по одному для каждой стороны), затем попробуйте удалить мертвые «данные» SAD и посмотрите, начнутся ли ваши пинги снова. Это было очень распространено для меня с ipsec.
Также посмотрите логи pfsense ipsec. IPSec регистрирует все, и, если вы хотите, обновите его здесь, и мы можем попытаться помочь. Вы также можете включить отладку racoon .
В качестве долгосрочного решения я сейчас использую openvpn , который встроен в pfsense, я бы рекомендовал настроить это вместе с вашим ipsec и переходите к нему.
Может быть, предпочитаю старые SA там, где это не должно ' не быть? Система> Дополнительно, Разное, «Предпочитать старые IPsec SA», снимите этот флажок, если он установлен.
Та же проблема в нашей сети ...
У меня есть pfSense V2.0.1, который соединяет головной офис (A) через IPsec VPN с 7 филиалами (B1, B2, B3, B4 , B5, B6, B7). Во всех филиалах у меня есть маршрутизатор Cisco WRVS4400N с последней прошивкой (V2.0.2.1).
У меня везде статические IP-адреса WAN, и все маршрутизаторы Cisco имеют одинаковую конфигурацию ... Единственное отличие - IP-адреса WAN / LAN / WiFi и пароль WiFi.
Я использую двух интернет-провайдеров:
BELL -> B1, B2, B3, B4, B5 и B6
VIDEOTRON -> A и B7
Все интернет-соединения проходят модем, настроенный в режиме моста, и модель для BELL одинакова для всех шести ветвей.
Вот как работает IPsec:
VPN между A и B1-B5 стабильна с обоих концов. Вообще никаких проблем.
VPN между A и B6 стабильна только со стороны pfSense. Туннель постоянно появляется с обеих сторон, и если я делаю пинг из сети A на ПК в сети B6 (LAN IP), у меня есть доступ. К сожалению, соединение от B6 к A не работает менее чем через минуту, когда на обеих сторонах есть активность (обе стороны по-прежнему показывают туннель как вверх), и оно остается выключенным, пока я не сделаю ping от A до B6 ... в этот момент у меня снова есть доступ с обеих сторон ... Мы решили поменять местами два маршрутизатора Cisco (B5 на B6) и обнаружили, что проблема остается в филиале!?! Мы попросили BELL исследовать проблему, но нам сказали, что с их оборудованием все в порядке. BELL согласился заменить модем, но, к сожалению, это ничего не изменило ... Единственное решение для нас на данный момент - постоянный пинг из сети A в сеть B6.
VPN между A и B7 (тот же ISP - VIDEORTON) стабильна только со стороны ветви (B7). Туннель постоянно отображается на маршрутизаторе B7, и у B7 нет проблем с подключением к сети A. На pfSense я вижу, что туннель отключается каждый 1 час (это из-за времени жизни фазы 2), а затем его невозможно восстановить. В этот момент туннель можно восстановить только со стороны B7 (эхо-запрос на ПК в сети A). На данный момент мы решили запустить постоянный пинг из сети B7 в сеть A.
ПРИМЕЧАНИЕ: Несколько дней назад я обновил pfSense до V2.0.2, но это ничего не изменило.
Я считаю, что проблема в с оборудованием у интернет-провайдеров, но исходя из моего опыта работы с поддержкой первого и второго уровня, это невозможно доказать.
С уважением и удачи.
Туннель постоянно отображается на маршрутизаторе B7, и у B7 нет проблем с подключением к сети A. На pfSense я вижу, что туннель отключается каждый 1 час (это из-за времени жизни фазы 2), а затем его невозможно восстановить. В этот момент туннель может быть восстановлен только со стороны B7 (эхо-запрос на ПК в сети A). На данный момент мы решили запустить постоянный пинг из сети B7 в сеть A.ПРИМЕЧАНИЕ: Несколько дней назад я обновил pfSense до V2.0.2, но это ничего не изменило.
Я считаю, что проблема в с оборудованием у интернет-провайдеров, но исходя из моего опыта работы с поддержкой первого и второго уровня, это невозможно доказать.
С уважением и удачи.
Туннель постоянно отображается на маршрутизаторе B7, и у B7 нет проблем с подключением к сети A. На pfSense я вижу, что туннель отключается каждый 1 час (это из-за времени жизни фазы 2), а затем его невозможно восстановить. В этот момент туннель может быть восстановлен только со стороны B7 (эхо-запрос на ПК в сети A). На данный момент мы решили запустить постоянный пинг из сети B7 в сеть A.ПРИМЕЧАНИЕ: Несколько дней назад я обновил pfSense до V2.0.2, но это ничего не изменило.
Я считаю, что проблема в с оборудованием у интернет-провайдеров, но исходя из моего опыта работы с поддержкой первого и второго уровня, это невозможно доказать.
С уважением и удачи.
На pfSense я вижу, что туннель отключается каждый 1 час (это из-за времени жизни фазы 2), а затем его невозможно восстановить. В этот момент туннель можно восстановить только со стороны B7 (эхо-запрос на ПК в сети A). На данный момент мы решили запустить постоянный пинг из сети B7 в сеть A.ПРИМЕЧАНИЕ: Несколько дней назад я обновил pfSense до V2.0.2, но это ничего не изменило.
Я считаю, что проблема в с оборудованием у интернет-провайдеров, но исходя из моего опыта работы с поддержкой первого и второго уровня, это невозможно доказать.
С уважением и удачи.
На pfSense я вижу, что туннель отключается каждый 1 час (это из-за времени жизни фазы 2), а затем его невозможно восстановить. В этот момент туннель может быть восстановлен только со стороны B7 (эхо-запрос на ПК в сети A). На данный момент мы решили запустить постоянный пинг из сети B7 в сеть A.ПРИМЕЧАНИЕ: Несколько дней назад я обновил pfSense до V2.0.2, но это ничего не изменило.
Я считаю, что проблема в с оборудованием у интернет-провайдеров, но исходя из моего опыта работы с поддержкой первого и второго уровня, это невозможно доказать.
С уважением и удачи.
На очень фундаментальном уровне - если ваше оборудование настолько статично, как вы говорите, тогда все, что вам нужно, это образ Windows 7 (на этом оборудовании, конечно) который настраивается так, как вам нужно, а затем готовится с помощью Sysprep. Затем вы можете использовать что-то вроде команд RunOnce для выполнения действий при первой загрузке.
На мой взгляд, это на самом деле будет самой сложной частью проекта. Если вы новичок в развертывании Windows, вам необходимо проделать настоящую работу по разработке и обучению, особенно в отношении Sysprep и автоматического развертывания.
Кроме того, любой из ваших инструментов создания образов Linux, который может читать NTFS, должен работать нормально. Например, я регулярно использую CloneZilla для создания образов Windows. (Извините, я не уверен, какой именно инструмент в CloneZilla я использую.)
Вот некоторые отправные точки: IP). Если это все еще не помогает, отключите DPD и установите «Согласование. Mode 'в фазе 1 to main "