У нас есть десятки соединений IPSec между нашим офисом и сайтами клиентов. В офисе мы используем pfSense V2.4.5 в качестве VPN-шлюза и размещения Ubiquiti Edgerouter X устройства с последней прошивкой на сайтах клиентов, с которыми нужно установить соединение. Edgerouter X всегда устанавливает соединение, поскольку у нас не всегда есть возможность перенаправить порты в сети (сетях) клиента. Он делает это, пингуя внутренний IP-адрес нашего офиса каждую минуту.
В целом соединения стабильны, все работает нормально и ожидаемо, хотя иногда соединение теряется "случайно" и не восстанавливается. я вижу в pfSense (Системные журналы/IPsec), которые Edgerouter пытается подключить к pfSense.
Журнал pfSense:
Я не понимаю, что здесь происходит, поскольку это конкретное соединение работало нормально и стабильно в течение нескольких месяцев. Ничего не изменилось ни в конфиге, ни в Edgerouter X ни в pfSense Также не устанавливаются обновления прошивки или происходят перезагрузки.
Что мы пытались исправить в связи:
- Перезапустите Ubitquiti Edgerouter через UNMS (инструмент централизованного управления).
- Жесткий перезапуск путем отключения питания и повторного подключения
- Удаление настроек IPSec на Edgerouter и повторная настройка IPsec на Edgerouter с последующей перезагрузкой, так как это все еще не работает.
- Перенастройка соединения IPSec в pfSense (пока без перезагрузки, так как это приведет к отключению всей нашей сети.
На данный момент у нас есть около 3 "сломанных" соединений из 30-35 соединений. В чем причина и как я могу это решить? Нам нужны надежные VPN-соединения, и если они отключаются на очень короткий период, им, по крайней мере, нужно автоматически переподключаться!
Конфигурация Ubiquiti Edgerouter-X:
Конечно, конфигурация pfSense соответствует приведенной ниже конфигурации, поскольку соединение работало.
ipsec {
разрешить доступ к локальному интерфейсу
автоматическое исключение брандмауэра nat
esp-группа FOO0 {
сжатие отключить
срок службы 3600
туннель режима
пфс включить
предложение 1 {
шифрование aes128
хэш ша256
}
предложение 2 {
шифрование aes128
хэш ша256
}
}
ike-группа FOO0 {
ikev2-reauth нет
обмен ключами ikev2
срок службы 28800
предложение 1 {
дх-группа 14
шифрование aes128
хэш ша256
}
предложение 2 {
дх-группа 14
шифрование aes128
хэш ша256
}
}
между сайтами {
партнер ipsec.company.de {
аутентификация {
идентификатор an_id_here
режим предварительно разделенного секрета
предварительный общий секрет Some_key_h3r3
}
инициировать тип соединения
по умолчанию-esp-группа FOO0
описание IPSec_connection
ike-группа FOO0
ikev2-reauth наследовать
локальный адрес любой
туннель 1 {
разрешить nat-сети отключить
разрешить общедоступные сети отключить
esp-группа FOO0
местный {
префикс 10.130.3.0/24
}
удаленный {
префикс 10.128.0.0/16
}
}
}
}
}
скриншот конфигурации pfSense:
ОБНОВИТЬ:
Все наши Edgerouter подключены к нашему серверу UNMS, и по стечению обстоятельств я восстановил резервную копию (сделанную автоматически UNMS), и соединение IPSec снова заработало. Я попробовал это на 2 разных (ER-X) устройствах с одной и той же проблемой IPSec, и это решило проблему «сломанного» соединения IPSec на бот-устройствах. Странно то, что я на 100% уверен, что никаких ручных изменений на обоих устройствах между датой резервного копирования и моментом разрыва соединения не производилось. Это пусть встретится с мыслью, что где-то есть ошибка в EdgeOS??
