pfsense 2.0.2 racoon（ipsec vpn）信頼性が低い

Question

PFSense 2.0.2（および2.0.1）のracoon（ipsec VPN）に問題があります。アライグマによると、私のトンネルはすべて稼働しています（約130個あります）が、時間の経過とともに、ますます多くのトンネルがトラフィックを通過しなくなります。アライグマを再起動すると、しばらくの間、トンネルが再び機能し始めます。

CPU使用率はほとんどなく、約20％RAMが使用されています（racoonの再起動の前後）。

私がDPDを行っているすべての場所で、PFによると、トンネルは稼働しています。

ちょうど今、Nagiosは私が54のダウンロケーションを持っていて、アライグマを再開したことを示していました、そしてすべてが戻ってきました。

-編集-また、現在、pF 1.2.3でこれらをまったく問題なく実行していますが、2つのPFボックス（1.2.3 <-> 2.0.2）間で同じ問題が発生し、移動する可能性があります。このためにovpnに。

-編集-

また、今日、数時間でトンネルが50〜60個までしか落下せず、それ以上は落下しないことに気づきました。

-編集-デッドロケーションにpingを実行したときにこれを見つけたログから：エラー：クイックモードを開始できません。ISAKMP-SAがありません

-編集-リモートネットワーク上のデバイスにログインしてpFネットワークにpingを実行すると、新しいPhase2が作成され、トンネルが再び機能することがわかります。反対方向にpingを実行すると、トンネルが開くはずですが、そうではありません。

-編集-

私の場合、接続しているモデムには「トンネルを存続させる」（DPDではない）設定があります。これは、pFが抱えているこの問題の回避策のようです。 pFは、要求されたときにフェーズ2をネゴシエートしないようですが、これは非常に興味深いことです。トンネルを通過しようとすると、数分ごとにNagiosチェックが発生します。これにより、有効期限が切れると、pFは新しいP2（または必要に応じてP1 + P2）を実行するはずですが、そうではありません。 pFのIPsecステータスページによると、明らかにそうでない場合でも、トンネルはまだ生きています（おそらく、P1はまだ有効であるためです）。

Matt · Answer

解決策をお探しの方は、このリファレンスをお試しください。

http://forum.pfsense.org/index.php?topic=44895.

「この問題を解決するには、NAT-Tを無効にします（pfsenseがパブリックIPを保持している場合）。それでもDPDを無効にし、フェーズ1の「ネゴシエーションモード」をメインに設定します。」

Sc0rian · Answer

インターネット接続の一時的な中断が原因で、セキュリティアソシエーションが同期しなくなっている可能性があります。次回それが発生したときは、「status> ipsec> sad」を見てください。タイムアウトになり、2つ以上（各サイドに1つ）ある場合は、他のホストへのpingを開始し、デッド「データ」SADを削除して、pingが再開されるかどうかを確認します。これは、ipsecを使用する私にとって非常に一般的でした。

Pfsenseipsecログもご覧ください。 IPSecはすべてをログに記録します。必要に応じて、ここで更新してください。サポートを提供します。アライグマをオンにすることもできますデバッグ。

長期的な解決策として、私はpfsenseに組み込まれている openvpn を使用します。これを、ipsecと一緒に設定して、そこに移動することをお勧めします。

user155809 · Answer

私たちのネットワークで同じ問題...

7つのブランチ（B1、B2、B3、B4、B5、B6、B7）を備えたIPsec VPNを介して本社（A）を接続するpfSenseV2.0.1があります。すべてのブランチに、最新のファームウェア（V2.0.2.1）を備えたCiscoWRVS4400Nルータがあります。

私はどこにでも静的WAN IPを持っており、すべてのCiscoルーターは同じ構成を持っています...唯一の違いはWAN/LAN/WiFiIPとWiFiパスワードです。

私は2つのISPを使用しています：

ベル-> B1、B2、B3、B4、B5、B6
VIDEOTRON-> AおよびB7

すべてのインターネット接続はブリッジモードで構成されたモデムを介して行われ、BELLのモデルは6つのブランチすべてで同じです。

IPsecの仕組みは次のとおりです。

AとB1-B5の間のVPNは、両端から安定しています。全く問題ありません。

AとB6の間のVPNは、pfSense側からのみ安定しています。トンネルは常に両側から表示され、AネットワークからB6ネットワーク（LAN IP）上のPCにpingを実行するとアクセスできます。残念ながら、B6からAへの接続は、両側でアクティビティが発生すると1分も経たないうちに機能せず（両側でトンネルがアップとして表示されます）、AからB6にpingを実行するまでダウンしたままになります...その時点で、再び両側からアクセスできます... 2つのCiscoルーター（B5とB6）を交換することにしましたが、問題はブランチにあることがわかりました！？！私たちはBELLに問題の調査を依頼しましたが、彼らの機器はすべて問題ないと言われました。 BELLはモデムの交換を受け入れましたが、残念ながら何も変更されませんでした...現時点での唯一の解決策は、AネットワークからB6ネットワークへの常時pingです。

AとB7（同じISP-VIDEORTON）間のVPNは、ブランチ（B7）側からのみ安定しています。トンネルはB7ルーターに常に表示され、B7はAネットワークへの接続に問題はありません。 pfSenseで、トンネルが1時間ごとにダウンしているのがわかります（これはフェーズ2のライフタイムのためです）。その後、トンネルを復元できません。その時点で、トンネルはB7側からのみ復元できます（Aネットワーク上のPCにpingを実行します）。今のところ、B7ネットワークからAネットワークへの一定のpingを実行することにしました。

注：数日前にpfSenseをV2.0.2にアップグレードしましたが、何も変更されませんでした。

問題はインターネットプロバイダーの機器にあると思いますが、第1レベルと第2レベルのサポートに関する私の経験に基づいて、それを証明することはできません。

よろしくと幸運。

Chris Buechler · Answer

あるべきではない古いSAを好むのではないでしょうか。 [システム]> [詳細]、[その他]、[古いIPsec SAを優先する]、チェックされている場合はオフにします。