เหตุใดเราจึงสูญเสียการเชื่อมต่อ IPSec และไม่สามารถสร้างใหม่ได้

เรามีการเชื่อมต่อ IPSec หลายสิบรายการระหว่างสำนักงานและไซต์ของลูกค้า ที่สำนักงานเราใช้ pfSense V2.4.5 เป็นเกตเวย์ VPN และวาง Ubiquiti Edgerouter X อุปกรณ์ที่มีเฟิร์มแวร์ล่าสุดบนไซต์ของลูกค้าเพื่อสร้างการเชื่อมต่อด้วย Edgerouter X สร้างการเชื่อมต่อเสมอเนื่องจากเราไม่สามารถส่งต่อพอร์ตบนเครือข่ายของลูกค้าได้เสมอไป ทำสิ่งนี้ได้โดยการส่ง Ping IP ภายในไปยังไซต์สำนักงานของเราทุก ๆ นาที

โดยทั่วไปแล้วการเชื่อมต่อจะเสถียรและทุกอย่างทำงานได้ดีและเป็นไปตามที่คาดไว้ แม้ว่าบางครั้งการเชื่อมต่อจะขาดหายไป "แบบสุ่ม" และไม่กลับมาอีก เข้าดูได้ค่ะ pfSense (บันทึกของระบบ / IPsec) ที่ Edgerouter พยายามเชื่อมต่อกับ pfSense

บันทึก pfSense:

ฉันไม่เข้าใจว่าเกิดอะไรขึ้นที่นี่เนื่องจากการเชื่อมต่อเฉพาะนี้ทำงานได้ดีและเสถียรเป็นเวลาหลายเดือน ไม่มีอะไรเปลี่ยนแปลงในการกำหนดค่าหรือใน เอดจ์เราเตอร์ X หรือใน pfSense นอกจากนี้ยังไม่มีการติดตั้งการอัปเดตเฟิร์มแวร์หรือการรีบูตเกิดขึ้น

สิ่งที่เราพยายามแก้ไขการเชื่อมต่อ:

• รีสตาร์ท Ubitquiti Edgerouter ผ่าน UNMS (เครื่องมือการจัดการแบบรวมศูนย์)
• ฮาร์ดรีสตาร์ทโดยถอดปลั๊กไฟแล้วเชื่อมต่อใหม่
• การลบการตั้งค่า IPSec บน Edgerouter และกำหนดค่า IPsec ใหม่บน edgerouter ตามด้วยการรีบูตเนื่องจากยังใช้งานไม่ได้
• กำหนดค่าการเชื่อมต่อ IPSec ใหม่ใน pfSense (ยังไม่รีบูตเนื่องจากจะทำให้เครือข่ายทั้งหมดของเราล่ม

สำหรับตอนนี้เรามีการเชื่อมต่อ "เสีย" ประมาณ 3 ครั้งจากการเชื่อมต่อ 30-35 สาเหตุคืออะไรและฉันจะแก้ปัญหานี้ได้อย่างไร เราต้องการการเชื่อมต่อ VPN ที่เชื่อถือได้ และหากขาดการเชื่อมต่อเป็นระยะเวลาสั้นๆ อย่างน้อยก็ต้องเชื่อมต่อใหม่โดยอัตโนมัติ!

การกำหนดค่า Ubiquiti Edgerouter-X: Offcourse การกำหนดค่า pfSense สอดคล้องกับการกำหนดค่าที่ร้องเมื่อการเชื่อมต่อทำงาน

 ipsec {
     อนุญาตการเข้าถึงอินเทอร์เฟซท้องถิ่นเปิดใช้งาน
     auto-firewall-nat-exclude เปิดใช้งาน
     esp-กลุ่ม FOO0 {
         ปิดใช้งานการบีบอัด
         อายุการใช้งาน 3600
         อุโมงค์โหมด
         pfs เปิดใช้งาน
         ข้อเสนอที่ 1 {
             การเข้ารหัส aes128
             แฮช sha256
         }
         ข้อเสนอที่ 2 {
             การเข้ารหัส aes128
             แฮช sha256
         }
     }
     ike กลุ่ม FOO0 {
         ikev2-reauth เลขที่
         การแลกเปลี่ยนคีย์ ikev2
         อายุการใช้งาน 28800
         ข้อเสนอที่ 1 {
             dh-กลุ่ม14
             การเข้ารหัส aes128
             แฮช sha256
         }
         ข้อเสนอที่ 2 {
             dh-กลุ่ม14
             การเข้ารหัส aes128
             แฮช sha256
         }
     }
     ไซต์ต่อไซต์ {
         เพียร์ ipsec.company.de {
             การรับรองความถูกต้อง {
                 รหัส an_id_ที่นี่
                 โหมดก่อนแบ่งปันความลับ
                 ความลับที่แบ่งปันล่วงหน้า Some_key_h3r3
             }
             เริ่มต้นประเภทการเชื่อมต่อ
             ค่าเริ่มต้น esp-group FOO0
             คำอธิบาย IPSec_connection
             ike-กลุ่ม FOO0
             ikev2-reauth สืบทอด
             ที่อยู่ในท้องถิ่นใด ๆ
             อุโมงค์ 1 {
                 อนุญาตให้ปิดการใช้งานเครือข่ายแนท
                 อนุญาตให้ปิดการใช้งานเครือข่ายสาธารณะ
                 esp-กลุ่ม FOO0
                 ท้องถิ่น {
                     คำนำหน้า 10.130.3.0/24
                 }
                 ระยะไกล {
                     คำนำหน้า 10.128.0.0/16
                 }
             }
         }
     }
 }

ภาพหน้าจอการกำหนดค่า pfSense:

อัปเดต: Edgerouters ทั้งหมดของเราเชื่อมต่อกับเซิร์ฟเวอร์ UNMS ของเรา และบังเอิญฉันได้กู้คืนข้อมูลสำรอง (สร้างโดยอัตโนมัติโดย UNMS) และการเชื่อมต่อ IPSec ก็ใช้งานได้อีกครั้ง ฉันลองสิ่งนี้กับอุปกรณ์ 2 เครื่อง (ER-X) ที่ต่างกันด้วยปัญหา IPSec เดียวกัน และแก้ปัญหาการเชื่อมต่อ IPSec ที่ "เสียหาย" ที่อุปกรณ์บอทได้ สิ่งที่แปลกคือฉันแน่ใจ 100% ว่าไม่มีการเปลี่ยนแปลงด้วยตนเองในอุปกรณ์ทั้งสองเครื่องระหว่างวันที่สำรองข้อมูลและเวลาที่การเชื่อมต่อขาด นี่ทำให้คิดว่ามีข้อบกพร่องใน EdgeOS ที่ไหนสักแห่ง ??