เรามีการเชื่อมต่อ IPSec หลายสิบรายการระหว่างสำนักงานและไซต์ของลูกค้า ที่สำนักงานเราใช้ pfSense V2.4.5
เป็นเกตเวย์ VPN และวาง Ubiquiti Edgerouter X
อุปกรณ์ที่มีเฟิร์มแวร์ล่าสุดบนไซต์ของลูกค้าเพื่อสร้างการเชื่อมต่อด้วย Edgerouter X สร้างการเชื่อมต่อเสมอเนื่องจากเราไม่สามารถส่งต่อพอร์ตบนเครือข่ายของลูกค้าได้เสมอไป ทำสิ่งนี้ได้โดยการส่ง Ping IP ภายในไปยังไซต์สำนักงานของเราทุก ๆ นาที
โดยทั่วไปแล้วการเชื่อมต่อจะเสถียรและทุกอย่างทำงานได้ดีและเป็นไปตามที่คาดไว้ แม้ว่าบางครั้งการเชื่อมต่อจะขาดหายไป "แบบสุ่ม" และไม่กลับมาอีก เข้าดูได้ค่ะ pfSense
(บันทึกของระบบ / IPsec) ที่ Edgerouter พยายามเชื่อมต่อกับ pfSense
บันทึก pfSense:
ฉันไม่เข้าใจว่าเกิดอะไรขึ้นที่นี่เนื่องจากการเชื่อมต่อเฉพาะนี้ทำงานได้ดีและเสถียรเป็นเวลาหลายเดือน ไม่มีอะไรเปลี่ยนแปลงในการกำหนดค่าหรือใน เอดจ์เราเตอร์ X
หรือใน pfSense
นอกจากนี้ยังไม่มีการติดตั้งการอัปเดตเฟิร์มแวร์หรือการรีบูตเกิดขึ้น
สิ่งที่เราพยายามแก้ไขการเชื่อมต่อ:
- รีสตาร์ท Ubitquiti Edgerouter ผ่าน UNMS (เครื่องมือการจัดการแบบรวมศูนย์)
- ฮาร์ดรีสตาร์ทโดยถอดปลั๊กไฟแล้วเชื่อมต่อใหม่
- การลบการตั้งค่า IPSec บน Edgerouter และกำหนดค่า IPsec ใหม่บน edgerouter ตามด้วยการรีบูตเนื่องจากยังใช้งานไม่ได้
- กำหนดค่าการเชื่อมต่อ IPSec ใหม่ใน pfSense (ยังไม่รีบูตเนื่องจากจะทำให้เครือข่ายทั้งหมดของเราล่ม
สำหรับตอนนี้เรามีการเชื่อมต่อ "เสีย" ประมาณ 3 ครั้งจากการเชื่อมต่อ 30-35 สาเหตุคืออะไรและฉันจะแก้ปัญหานี้ได้อย่างไร เราต้องการการเชื่อมต่อ VPN ที่เชื่อถือได้ และหากขาดการเชื่อมต่อเป็นระยะเวลาสั้นๆ อย่างน้อยก็ต้องเชื่อมต่อใหม่โดยอัตโนมัติ!
การกำหนดค่า Ubiquiti Edgerouter-X:
Offcourse การกำหนดค่า pfSense สอดคล้องกับการกำหนดค่าที่ร้องเมื่อการเชื่อมต่อทำงาน
ipsec {
อนุญาตการเข้าถึงอินเทอร์เฟซท้องถิ่นเปิดใช้งาน
auto-firewall-nat-exclude เปิดใช้งาน
esp-กลุ่ม FOO0 {
ปิดใช้งานการบีบอัด
อายุการใช้งาน 3600
อุโมงค์โหมด
pfs เปิดใช้งาน
ข้อเสนอที่ 1 {
การเข้ารหัส aes128
แฮช sha256
}
ข้อเสนอที่ 2 {
การเข้ารหัส aes128
แฮช sha256
}
}
ike กลุ่ม FOO0 {
ikev2-reauth เลขที่
การแลกเปลี่ยนคีย์ ikev2
อายุการใช้งาน 28800
ข้อเสนอที่ 1 {
dh-กลุ่ม14
การเข้ารหัส aes128
แฮช sha256
}
ข้อเสนอที่ 2 {
dh-กลุ่ม14
การเข้ารหัส aes128
แฮช sha256
}
}
ไซต์ต่อไซต์ {
เพียร์ ipsec.company.de {
การรับรองความถูกต้อง {
รหัส an_id_ที่นี่
โหมดก่อนแบ่งปันความลับ
ความลับที่แบ่งปันล่วงหน้า Some_key_h3r3
}
เริ่มต้นประเภทการเชื่อมต่อ
ค่าเริ่มต้น esp-group FOO0
คำอธิบาย IPSec_connection
ike-กลุ่ม FOO0
ikev2-reauth สืบทอด
ที่อยู่ในท้องถิ่นใด ๆ
อุโมงค์ 1 {
อนุญาตให้ปิดการใช้งานเครือข่ายแนท
อนุญาตให้ปิดการใช้งานเครือข่ายสาธารณะ
esp-กลุ่ม FOO0
ท้องถิ่น {
คำนำหน้า 10.130.3.0/24
}
ระยะไกล {
คำนำหน้า 10.128.0.0/16
}
}
}
}
}
ภาพหน้าจอการกำหนดค่า pfSense:
อัปเดต:
Edgerouters ทั้งหมดของเราเชื่อมต่อกับเซิร์ฟเวอร์ UNMS ของเรา และบังเอิญฉันได้กู้คืนข้อมูลสำรอง (สร้างโดยอัตโนมัติโดย UNMS) และการเชื่อมต่อ IPSec ก็ใช้งานได้อีกครั้ง ฉันลองสิ่งนี้กับอุปกรณ์ 2 เครื่อง (ER-X) ที่ต่างกันด้วยปัญหา IPSec เดียวกัน และแก้ปัญหาการเชื่อมต่อ IPSec ที่ "เสียหาย" ที่อุปกรณ์บอทได้ สิ่งที่แปลกคือฉันแน่ใจ 100% ว่าไม่มีการเปลี่ยนแปลงด้วยตนเองในอุปกรณ์ทั้งสองเครื่องระหว่างวันที่สำรองข้อมูลและเวลาที่การเชื่อมต่อขาด นี่ทำให้คิดว่ามีข้อบกพร่องใน EdgeOS ที่ไหนสักแห่ง ??