pfSense к ASA L2L VPN - нечастые, коротко длительные, но последовательные разъединения
Иметь script_week проверьте, работает ли это на дне 1 из месяца. Если это, то имейте его выход прежде, чем сделать любую реальную работу. Например, в сценарии удара, такая проверка могла бы быть похожей на это:
if [ `/bin/date +%d` = "01" ]; then exit 0; fi
Если Вы предпочитаете, Вы могли бы уехать script_week неизмененный и вместо этого помещенный подобная проверка в crontab запись для script_week, что-то вроде этого:
59 12 * * 1 user if [ `/bin/date +\%d` != "01" ]; then script_week; fi
У меня было проблема, поведение которой практически идентично вашему. Я пытался выполнить резервное копирование за пределами площадки с помощью Veeam через VPN. Работа обычно выполнялась нормально где-то 2-6 часов, но в какой-то момент выходила из строя. Служба поддержки Veeam проверила журналы и указала, что это связано с плохим качеством сетевого подключения. Я посмотрел на межсетевой экран Cisco ASA, и он показал ошибки:
show int eth 0/0 | inc error
Внешний интерфейс ASA был настроен на автоматическое согласование скорости и дуплекса, и работал в полудуплексе 100 Мбит. Я вручную установил для интерфейса 100 Мбит полнодуплексный режим, и с тех пор у меня не было проблем с удаленным резервным копированием.
Вот настройки, которые я использую в pfSense 2.0.1. Обратите внимание, что некоторые из них не были настройками по умолчанию, и мне пришлось проверить соответствие настроек Cisco ASA (особенно время жизни).
Фаза 1:
Authentication method: Mutual PSK
Negotiation mode: aggressive
My identifier: KeyID tag, DefaultL2LGroup
Peer identifier: Peer IP address
Policy Generation: Unique
Proposal Checking: Obey
Encryption algorithm: 3DES
Hash algorithm: MD5
DH key group: 2
Lifetime: 86400
NAT Traversal: Enable
Dead Peer Detection: disabled
Фаза 2:
Mode: Tunnel
Protocol: ESP
Encryption: 3DES
Hash: MD5
PFS key group: off
Lifetime: 28800