这里有没有人能够为 ASA 设备和 pfSense 2.0.1 之间的 L2L VPN 指定一个稳定的配置?我在 ASA 端使用最方便的设置(DefaultL2LGroup使用许多转换集并使用 PSK,以便 pfSense 设备完成所有网络指定)并在 pfSense 端使用最简单的设置(默认设置 + 无 DPD + 启用 NAT-T。两端的 P1/P2 生存期匹配。P2 使用 pfSense 中指定的 3DES/SHA1,只是将 LAN 网络隧道传输到另一个 LAN。网络之间没有 IP 寻址冲突,没有复杂的路由等。它几乎是一个 /24 LAN 到另一个 /24 LAN,并且几乎一直有效。但是,隧道会间歇性地掉线(可能每天 2-5 次),虽然很难预测,但它一直在发生!我一直在努力让它停止掉线,但到目前为止我还没有成功。我甚至从一些同事那里听说,思科的 IPSec 实现中存在一些问题,阻碍了 pfSense 和 ASA 很好地配合。还有什么可以解决的吗尝试一下?有人可以提供一些小窍门或小窍门来诊断和/或修复掉线的隧道吗?
我尝试过的事情
- 查看 racoon 调试日志
- 消除DPD
- 不同的生命周期值(两端)
- 让 ASA 发起流量(不
DefaultL2LGroup)
非常感谢任何帮助。
答案1
我遇到的问题与您的问题几乎相同。我尝试通过 VPN 使用 Veeam 运行异地备份。该作业通常会运行 2-6 小时左右,但有时会失败。Veeam 支持人员查看了日志并指出这与网络连接质量差有关。我查看了 Cisco ASA 防火墙,它显示错误:
show int eth 0/0 | inc error
ASA 外部接口配置为自动协商速度和双工,并以 100 Mbit 半双工运行。我手动将接口设置为 100 Mbit 全双工,此后异地备份工作再也没有出现过问题。
以下是我在 pfSense 2.0.1 上使用的设置。请注意,其中许多设置不是默认设置,我必须验证 Cisco ASA 设置是否匹配(尤其是生命周期)。
阶段1:
Authentication method: Mutual PSK
Negotiation mode: aggressive
My identifier: KeyID tag, DefaultL2LGroup
Peer identifier: Peer IP address
Policy Generation: Unique
Proposal Checking: Obey
Encryption algorithm: 3DES
Hash algorithm: MD5
DH key group: 2
Lifetime: 86400
NAT Traversal: Enable
Dead Peer Detection: disabled
阶段2:
Mode: Tunnel
Protocol: ESP
Encryption: 3DES
Hash: MD5
PFS key group: off
Lifetime: 28800