我们的办公室和客户站点之间有数十个 IPSec 连接。在办公室,我们使用pfSense V2.4.5VPN 网关,并将装有Ubiquiti Edgerouter X最新固件的设备放置在客户站点上以建立连接。Edgerouter X 始终会建立连接,因为我们并不总是能够转发客户网络上的端口。它通过每分钟 ping 一次我们办公室站点上的内部 IP 来实现这一点。
总体而言,连接稳定,一切运行正常,符合预期,但有时连接会“随机”丢失,并且不会恢复。我可以在pfSense(系统日志/ IPsec)中看到 Edgerouter 尝试连接到 pfSense。
pfSense 日志:
我不明白这里发生了什么,因为这个特定的连接已经好几个月了,运行良好且稳定。配置没有任何变化,无论是在Edgerouter X还是在pfSense,也没有安装任何固件更新或发生重新启动。
我们尝试修复此连接的方法:
- 通过 UNMS(集中管理工具)重启 Ubitquiti Edgerouter
- 拔下电源并重新连接,进行硬重启
- 删除 Edgerouter 上的 IPSec 设置并在 Edgerouter 上重新配置 IPsec,然后重新启动,因为它仍然不起作用。
- 在 pfSense 中重新配置 IPSec 连接(无需重新启动,因为这将拉垮整个网络。
目前,我们在 30-35 个连接中大约有 3 个“断开”的连接。原因是什么?我该如何解决?我们需要可靠的 VPN 连接,如果它们断开的时间很短,至少需要自动重新连接!
Ubiquiti Edgerouter-X 配置: 当然,当连接正常时,pfSense 配置与下面的配置相对应。
ipsec {
allow-access-to-local-interface enable
auto-firewall-nat-exclude enable
esp-group FOO0 {
compression disable
lifetime 3600
mode tunnel
pfs enable
proposal 1 {
encryption aes128
hash sha256
}
proposal 2 {
encryption aes128
hash sha256
}
}
ike-group FOO0 {
ikev2-reauth no
key-exchange ikev2
lifetime 28800
proposal 1 {
dh-group 14
encryption aes128
hash sha256
}
proposal 2 {
dh-group 14
encryption aes128
hash sha256
}
}
site-to-site {
peer ipsec.company.de {
authentication {
id an_id_here
mode pre-shared-secret
pre-shared-secret Some_key_h3r3
}
connection-type initiate
default-esp-group FOO0
description IPSec_connection
ike-group FOO0
ikev2-reauth inherit
local-address any
tunnel 1 {
allow-nat-networks disable
allow-public-networks disable
esp-group FOO0
local {
prefix 10.130.3.0/24
}
remote {
prefix 10.128.0.0/16
}
}
}
}
}
屏幕截图 pfSense 配置:
更新: 我们所有的 Edgerouter 都连接到我们的 UNMS 服务器,巧合的是,我恢复了备份(由 UNMS 自动创建),IPSec 连接又恢复了。我在 2 个具有相同 IPSec 问题的不同(ER-X)设备上尝试了此操作,它解决了机器人设备上“断开”的 IPSec 连接问题。奇怪的是,我 100% 确定在备份日期和连接断开时间之间没有对两个设备进行任何手动更改。这让我认为 EdgeOS 中某个地方有错误??