Điểm:0

Tại sao chúng tôi mất kết nối IPSec và không thể thiết lập lại chúng?

lá cờ cn

Chúng tôi có hàng chục kết nối IPSec giữa văn phòng của chúng tôi và các trang web của khách hàng. Tại văn phòng chúng tôi sử dụng pfSense V2.4.5 làm cổng VPN và đặt Ubiquiti Edgerouter X các thiết bị có chương trình cơ sở mới nhất trên các trang web của khách hàng để thiết lập kết nối. Edgerouter X luôn thiết lập kết nối vì không phải lúc nào chúng tôi cũng có khả năng chuyển tiếp các cổng trên (các) mạng khách hàng. Nó thực hiện điều này bằng cách ping một ip nội bộ trên trang web văn phòng của chúng tôi mỗi phút một lần.

Nhìn chung, các kết nối ổn định và mọi thứ đều hoạt động tốt như mong đợi, mặc dù đôi khi kết nối bị mất "ngẫu nhiên" và không hoạt động trở lại. tôi có thể nhìn thấy trong pfSense (Nhật ký hệ thống/IPsec) mà Edgerouter cố gắng kết nối với pfSense.

Nhật ký pfSense: nhập mô tả hình ảnh ở đây

Tôi không hiểu điều gì xảy ra ở đây vì kết nối cụ thể này đã hoạt động tốt và ổn định trong nhiều tháng. Không có gì thay đổi cấu hình, cả trên bộ định tuyến X cũng không phải trong pfSense Ngoài ra, không có bản cập nhật chương trình cơ sở nào được cài đặt hoặc khởi động lại.

Những gì chúng tôi đã cố gắng khắc phục kết nối:

  • Khởi động lại Ubitquiti Edgerouter qua UNMS (công cụ quản lý tập trung)
  • Khởi động lại cứng bằng cách rút nguồn và kết nối lại
  • Xóa cài đặt IPSec trên Edgerouter và định cấu hình lại IPsec trên edgerouter, sau đó khởi động lại vì nó vẫn không hoạt động.
  • Định cấu hình lại kết nối IPSec trong pfSense (Chưa khởi động lại vì điều này sẽ kéo toàn bộ mạng của chúng tôi xuống.

Hiện tại, chúng tôi có khoảng 3 kết nối "bị hỏng" trong số 30-35 kết nối. Whats nguyên nhân và làm thế nào tôi có thể giải quyết điều này? Chúng tôi cần các kết nối VPN đáng tin cậy và nếu chúng bị ngắt kết nối trong một khoảng thời gian thực sự ngắn thì ít nhất chúng cần tự động kết nối lại!

Cấu hình Ubiquiti Edgerouter-X: Tất nhiên, cấu hình pfSense tương ứng với cấu hình dưới đây khi kết nối hoạt động.

 ipsec {
     cho phép truy cập vào giao diện cục bộ cho phép
     bật tự động tường lửa-nat-loại trừ
     nhóm đặc biệt FOO0 {
         vô hiệu hóa nén
         trọn đời 3600
         đường hầm chế độ
         kích hoạt pfs
         đề xuất 1 {
             mã hóa aes128
             băm sha256
         }
         đề xuất 2 {
             mã hóa aes128
             băm sha256
         }
     }
     nhóm ike FOO0 {
         ikev2-reauth không
         trao đổi khóa ikev2
         trọn đời 28800
         đề xuất 1 {
             dh-nhóm 14
             mã hóa aes128
             băm sha256
         }
         đề xuất 2 {
             dh-nhóm 14
             mã hóa aes128
             băm sha256
         }
     }
     bên cạnh {
         ngang hàng ipsec.company.de {
             xác thực {
                 id an_id_here
                 chế độ chia sẻ trước bí mật
                 bí mật trước khi chia sẻ Some_key_h3r3
             }
             bắt đầu kiểu kết nối
             mặc định-esp-nhóm FOO0
             mô tả IPSec_connection
             nhóm ike FOO0
             ikev2-reauth kế thừa
             địa chỉ cục bộ bất kỳ
             đường hầm 1 {
                 cho phép-nat-mạng vô hiệu hóa
                 cho phép vô hiệu hóa mạng công cộng
                 nhóm đặc biệt FOO0
                 địa phương {
                     tiền tố 10.130.3.0/24
                 }
                 Xa xôi {
                     tiền tố 10.128.0.0/16
                 }
             }
         }
     }
 }

ảnh chụp màn hình cấu hình pfSense: nhập mô tả hình ảnh ở đây

CẬP NHẬT: Tất cả các Edgerouter của chúng tôi đều được kết nối với máy chủ UNMS của chúng tôi và thật tình cờ, tôi đã khôi phục một bản sao lưu (được tạo tự động bởi UNMS) và kết nối IPSec đã hoạt động trở lại. Tôi đã thử điều này ở 2 thiết bị (ER-X) khác nhau có cùng một vấn đề IPSec và nó đã giải quyết được vấn đề kết nối IPSec "bị hỏng" ở các thiết bị bot. Điều kỳ lạ là tôi chắc chắn 100% rằng không có thay đổi thủ công nào được thực hiện trên cả hai thiết bị từ ngày sao lưu đến thời điểm kết nối bị ngắt. Điều này khiến tôi nghĩ rằng có một lỗi trong EdgeOS ở đâu đó??

lá cờ me
Tôi có cùng một vấn đề và tôi không biết làm thế nào để giải quyết nó. Đặt lại đường hầm ipsec ở phía ER-X bằng CLI giúp tôi, nhưng nó không thuận tiện. rõ ràng vpn ipsec-ngang hàng
CodeNinja avatar
lá cờ cn
Chúng tôi cũng đã thử `khởi động lại vpn` và `xóa vpn ipsec-peer` nhưng không hoạt động trong các tình huống của chúng tôi (hiện tại chúng tôi đã có 2 lần trên 2 bộ định tuyến biên khác nhau). May mắn thay, đây là lần duy nhất chúng tôi gặp sự cố 2 lần. "Những ngón tay vượt qua"

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.