Chúng tôi có hàng chục kết nối IPSec giữa văn phòng của chúng tôi và các trang web của khách hàng. Tại văn phòng chúng tôi sử dụng pfSense V2.4.5
làm cổng VPN và đặt Ubiquiti Edgerouter X
các thiết bị có chương trình cơ sở mới nhất trên các trang web của khách hàng để thiết lập kết nối. Edgerouter X luôn thiết lập kết nối vì không phải lúc nào chúng tôi cũng có khả năng chuyển tiếp các cổng trên (các) mạng khách hàng. Nó thực hiện điều này bằng cách ping một ip nội bộ trên trang web văn phòng của chúng tôi mỗi phút một lần.
Nhìn chung, các kết nối ổn định và mọi thứ đều hoạt động tốt như mong đợi, mặc dù đôi khi kết nối bị mất "ngẫu nhiên" và không hoạt động trở lại. tôi có thể nhìn thấy trong pfSense
(Nhật ký hệ thống/IPsec) mà Edgerouter cố gắng kết nối với pfSense.
Nhật ký pfSense:
Tôi không hiểu điều gì xảy ra ở đây vì kết nối cụ thể này đã hoạt động tốt và ổn định trong nhiều tháng. Không có gì thay đổi cấu hình, cả trên bộ định tuyến X
cũng không phải trong pfSense
Ngoài ra, không có bản cập nhật chương trình cơ sở nào được cài đặt hoặc khởi động lại.
Những gì chúng tôi đã cố gắng khắc phục kết nối:
- Khởi động lại Ubitquiti Edgerouter qua UNMS (công cụ quản lý tập trung)
- Khởi động lại cứng bằng cách rút nguồn và kết nối lại
- Xóa cài đặt IPSec trên Edgerouter và định cấu hình lại IPsec trên edgerouter, sau đó khởi động lại vì nó vẫn không hoạt động.
- Định cấu hình lại kết nối IPSec trong pfSense (Chưa khởi động lại vì điều này sẽ kéo toàn bộ mạng của chúng tôi xuống.
Hiện tại, chúng tôi có khoảng 3 kết nối "bị hỏng" trong số 30-35 kết nối. Whats nguyên nhân và làm thế nào tôi có thể giải quyết điều này? Chúng tôi cần các kết nối VPN đáng tin cậy và nếu chúng bị ngắt kết nối trong một khoảng thời gian thực sự ngắn thì ít nhất chúng cần tự động kết nối lại!
Cấu hình Ubiquiti Edgerouter-X:
Tất nhiên, cấu hình pfSense tương ứng với cấu hình dưới đây khi kết nối hoạt động.
ipsec {
cho phép truy cập vào giao diện cục bộ cho phép
bật tự động tường lửa-nat-loại trừ
nhóm đặc biệt FOO0 {
vô hiệu hóa nén
trọn đời 3600
đường hầm chế độ
kích hoạt pfs
đề xuất 1 {
mã hóa aes128
băm sha256
}
đề xuất 2 {
mã hóa aes128
băm sha256
}
}
nhóm ike FOO0 {
ikev2-reauth không
trao đổi khóa ikev2
trọn đời 28800
đề xuất 1 {
dh-nhóm 14
mã hóa aes128
băm sha256
}
đề xuất 2 {
dh-nhóm 14
mã hóa aes128
băm sha256
}
}
bên cạnh {
ngang hàng ipsec.company.de {
xác thực {
id an_id_here
chế độ chia sẻ trước bí mật
bí mật trước khi chia sẻ Some_key_h3r3
}
bắt đầu kiểu kết nối
mặc định-esp-nhóm FOO0
mô tả IPSec_connection
nhóm ike FOO0
ikev2-reauth kế thừa
địa chỉ cục bộ bất kỳ
đường hầm 1 {
cho phép-nat-mạng vô hiệu hóa
cho phép vô hiệu hóa mạng công cộng
nhóm đặc biệt FOO0
địa phương {
tiền tố 10.130.3.0/24
}
Xa xôi {
tiền tố 10.128.0.0/16
}
}
}
}
}
ảnh chụp màn hình cấu hình pfSense:
CẬP NHẬT:
Tất cả các Edgerouter của chúng tôi đều được kết nối với máy chủ UNMS của chúng tôi và thật tình cờ, tôi đã khôi phục một bản sao lưu (được tạo tự động bởi UNMS) và kết nối IPSec đã hoạt động trở lại. Tôi đã thử điều này ở 2 thiết bị (ER-X) khác nhau có cùng một vấn đề IPSec và nó đã giải quyết được vấn đề kết nối IPSec "bị hỏng" ở các thiết bị bot. Điều kỳ lạ là tôi chắc chắn 100% rằng không có thay đổi thủ công nào được thực hiện trên cả hai thiết bị từ ngày sao lưu đến thời điểm kết nối bị ngắt. Điều này khiến tôi nghĩ rằng có một lỗi trong EdgeOS ở đâu đó??