pfSense to ASA L2L VPN -罕见的、短暂的、但一致的断开连接
这里有人能够为ASA设备和L2L 2.0.1之间的pfSense VPN指定一个稳定的配置吗?我正在使用ASA端最可容纳的设置(DefaultL2LGroup具有多个转换集并使用PSK,以便pfSense设备完成网络的所有指定)和pfSense端最简单的设置(默认设置+不启用DPD +NAT)。P1/P2寿命在两端匹配。P2使用在pfSense中指定的3 3DES/SHA1 1,只需将局域网网络传输到另一个局域网。在网络之间没有IP地址冲突,没有复杂的路由,等等。它几乎是一个/24局域网到另一个/24局域网,它几乎一直工作。然而,隧道间歇性下降(可能每天2-5次),虽然很难预测,但它一直在发生!我一直在拔头发,想让它停止掉下来,但到目前为止,我还没有运气。我甚至从一些同事那里听说,思科的IPSec实现有一些东西,使得pfSense和ASA无法很好地发挥作用。还有什么要尝试的吗?有人能提供一些轶事技巧来诊断和/或修复掉下的隧道吗?
我试过
的东西
- 查看浣熊调试日志
- 消除DPD
- 不同的寿命值(两端)
- 具有ASA初始化通信量(而不是
DefaultL2LGroup)
所有的帮助都是非常感谢的。
回答 1
Server Fault用户
发布于 2013-02-18 22:42:35
我有一个问题,表现出与你的行为几乎相同的行为。我试着用Veeam在VPN上运行场外备份。这项工作通常在2-6小时内运行良好,但在某一时刻会失败。Veeam支持审查了日志,并指出这与质量不佳的网络连接有关。我查看了Cisco ASA防火墙,发现了错误:
show int eth 0/0 | inc errorASA外部接口配置为自动协商速度和双工,并运行在100 Mbit半双工。我手动将接口设置为100 Mbit全双工,并且从那时起就没有出现过离站备份作业的问题。
下面是我在pfSense 2.0.1上使用的设置。请注意,这些设置中有许多不是默认设置,我必须验证Cisco ASA设置是否匹配(特别是生存期)。
第一阶段:
Authentication method: Mutual PSK
Negotiation mode: aggressive
My identifier: KeyID tag, DefaultL2LGroup
Peer identifier: Peer IP address
Policy Generation: Unique
Proposal Checking: Obey
Encryption algorithm: 3DES
Hash algorithm: MD5
DH key group: 2
Lifetime: 86400
NAT Traversal: Enable
Dead Peer Detection: disabled第二阶段:
Mode: Tunnel
Protocol: ESP
Encryption: 3DES
Hash: MD5
PFS key group: off
Lifetime: 28800https://serverfault.com/questions/394737
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号