Je to otravné, po krátkém odpojení IPSec site2site VPN už nedokáže navázat spojení, stav je „připojování“, ale nikdy to neproběhne. Musím rebootovat jedno z pfSense, aby se VPN znovu připojila.
Je toto běžný problém nebo jsem nějaké nastavení přehlédl?
Edit: obě místa mají pfSense 2.5.2.
Tohle často zažívám.
Mé IPsec tunely jsou statické lan-2-lan a spoléhají na IP adresu na obou koncích. Můj ISP si účtuje 5 liber měsíčně za statickou IP adresu (vím, že to tak je!!) Takže se to neděje, a proto musím používat FQDN na nesídle a skripty DDNS k resetování, pokud se změní.
Když WAN zmizí – i při jednoduchém restartu – někdy mi ISP dá jinou IP adresu, a proto musím aktualizovat DDNS, aby se název hostitele a IP shodovaly.
Pak se to zase samo obnoví (jakmile přejde přes negativní náladu z toho, že to nefunguje).
YMMV
Ne, to není běžný problém. Moje IPsec tunely jsou naprosto spolehlivé. Zkontroloval jsi log IPsec? Máš veřejné statické IP, že?
Občas se mi to stává, mám statické IP a vícero WAN (hlavní a záložní) a všechny statické IP. Nedávno jsem řešil tento problém a všiml jsem si, že místo konfigurování tunelu používám skupiny gateway místo rozhraní, a myslím, že to s tím může souviset, stejně jako výpadky některých ISP.
V podstatě pokaždé, když se znovu připojím k tunelu přes jiný WAN, zdá se, že to donutit tunel znovu navázat, a pak ho mohu přepnout zpět a opět se téměř okamžitě připojí.
Díky za radu, ale máme statické IP adresy na obou místech. Po připojení se nezměnily.
Ano, oba konce mají veřejné statické IP, jeden pfSense se připojuje, druhý jen odpovídá. Připojení P1 IPSec je na responderu stále v režimu připojeno, P2 s SPI: 000000, nemohla být odstraněna nebo zmizí. Můžu toto specifické site2site povolit a deaktivovat tak často, jak chci, P2 se už nikdy nepřipojí, dokud nerebootuji připojený pfSense. P1 se znovu připojí po několika pokusech zapnout/vypnout.
V logách zatím dobré rady nevidím, log IPSec uvádí, že je vše připojeno a zobrazuje CHILD_SA s platnými SPIs.
Omlouvám se, ale musím se zeptat: vaše tunely se úplně nepřipojují nebo jen UI hlásí, že nejsou připojené? Bohužel to není totéž. Když jsem používal verzi 2.5.0, UI hlásil všechny tunely jako neaktivní, i když byly spuštěné a fungovaly v pořádku.
Máte nakonfigurovaný DPD?
Je pfSense na obou stranách?
Proč je jedna strana jen responder?
UI říká, že P1 je připojeno, ale P2 není připojeno a nelze se znovu připojit. Když jsou tunely aktivní, spojení je v pořádku a stabilní. Na dashboardu jsou tunely vždy zobrazené jako neaktivní, i když jsou aktivní a fungují.