我在 pFSense 2.0.2(和 2.0.1)上使用 racoon(ipsec VPN)时遇到了问题。根据 racoon 的说法,我的所有隧道都已启动(我有大约 130 个隧道),但随着时间的推移,越来越多的隧道无法传输流量。如果我重新启动 racoon,隧道会在一段时间内重新开始工作。
CPU 几乎没有利用率,只有大约 20% 的 RAM 被使用 (在 racoon 重启之前或之后)。
在所有我进行 DPD 的地点,根据 PF 的说法,隧道都已建成。
刚才 Nagios 显示我有 54 个宕机位置,重新启动了 racoon,一切都恢复了。
-- 编辑 -- 另外我应该注意,我们目前有 pF 1.2.3 运行这些,完全没有问题,但我在两个 PF 盒(1.2.3 <-> 2.0.2)之间确实遇到了同样的问题,很可能为此转移到 ovpn。
- 编辑 -
今天还注意到,几个小时内它最多只能丢弃 50-60 个隧道,而不会更多。
-- 编辑 -- 从日志中,我在 ping 一个死点时发现了这一点:错误:无法启动快速模式,没有 ISAKMP-SA
-- 编辑 -- 我发现,如果我登录到远程网络上的设备并 ping pF 网络,则会创建一个新的 Phase2,并且隧道再次工作。当我 ping 另一个方向时,它应该打开隧道,但事实并非如此。
- 编辑 -
就我而言,我们连接的调制解调器有一个“保持隧道活动”(不是 DPD)的设置,这似乎可以解决 pF 遇到的这个问题。似乎 pF 不会在请求时协商第 2 阶段,这非常令人好奇。我每隔几分钟就会进行一次 Nagios 检查,尝试穿过隧道,这应该会导致 pF 在生命周期到期后执行新的 P2(或 P1+P2,如果需要),但事实并非如此。根据 pF 的 IPsec 状态页面,隧道仍然处于活动状态(可能是因为 P1 仍然有效),但显然不是。
答案1
对于任何寻求解决方案的人,请尝试以下参考:
“要解决此问题,请禁用 NAT-T(当 pfsense 拥有公共 IP 时)。如果这仍然无济于事,请禁用 DPD 并将第 1 阶段的“协商模式”设置为主要模式”
答案2
答案3
也许在不应该的地方偏爱旧的 SA?系统>高级,杂项,“首选较旧的 IPsec SA”,如果已选中,请取消选中。
答案4
我们的网络中也存在同样的问题...
我有 pfSense V2.0.1,它通过 IPsec VPN 将总部 (A) 与 7 个分支机构 (B1、B2、B3、B4、B5、B6、B7) 连接起来。在所有分支机构中,我都有带有最新固件 (V2.0.2.1) 的 Cisco WRVS4400N 路由器。
我到处都有静态 WAN IP,并且所有思科路由器都有相同的配置……唯一的区别是 WAN/LAN/WiFi IP 和 WiFi 密码。
我正在使用两个 ISP:
铃声——> B1、B2、B3、B4、B5 和 B6
VIDEOTRON --> A 和 B7
所有互联网连接均通过桥接模式配置的调制解调器进行,并且 BELL 的模型在所有六个分支机构中都是相同的。
IPsec 的工作原理如下:
A 和 B1-B5 之间的 VPN 两端都很稳定。完全没有问题。
A 和 B6 之间的 VPN 仅在 pfSense 端稳定。隧道始终从两侧显示,如果我从 A 网络 ping 到 B6 网络上的 PC(LAN IP),我就可以访问。不幸的是,当两侧都有活动时(两侧仍显示隧道已启动),从 B6 到 A 的连接在不到一分钟后就不起作用了,并且它一直处于关闭状态,直到我从 A ping 到 B6... 此时我再次可以从两侧访问...我们决定交换两个思科路由器(B5 和 B6),我们发现问题仍然出在分支机构!?!我们要求 BELL 调查问题,但被告知他们的设备一切正常。BELL 同意更换调制解调器,但不幸的是,这并没有改变任何东西......目前我们唯一的解决方案是从 A 网络到 B6 网络进行持续 ping。
A 和 B7(同一个 ISP - VIDEORTON)之间的 VPN 仅在分支(B7)端稳定。隧道始终显示在 B7 路由器上,并且 B7 连接到 A 网络没有任何问题。在 pfSense 上,我看到隧道每 1 小时关闭一次(这是由于第 2 阶段的生命周期),然后无法恢复。此时隧道只能从 B7 端恢复(ping 到 A 网络上的 PC)。现在我们决定从 B7 网络到 A 网络运行持续 ping。
注意:几天前我确实将 pfSense 升级到 V2.0.2,但没有任何改变。
我认为问题出在互联网提供商的设备上,但根据我对第一和第二级支持的经验,无法证明这一点。
谨致问候,祝你好运。