Cisco

pfSense 到 ASA L2L VPN - 不頻繁、短暫但始終如一的斷開連接

  • February 18, 2013

這裡有沒有人能夠為 ASA 設備和 pfSense 2.0.1 之間的 L2L VPN 指定穩定的配置?我在 ASA 端使用最合適的設置(DefaultL2LGroups IPSec 實施使 pfSense 和 ASA 無法正常執行。還有什麼可以嘗試的嗎?任何人都可以提供一些軼事提示或技巧來診斷和/或修復掉線的隧道嗎?

我嘗試過的事情

  • 查看 racoon 調試日誌
  • 消除 DPD
  • 不同的生命週期價值(兩端)
  • 讓 ASA 發起流量(不是DefaultL2LGroup

非常感謝任何和所有幫助。

我遇到了一個問題,其行為幾乎與您的相同。我試圖通過 VPN 使用 Veeam 執行異地備份。這項工作通常會在 2-6 小時之間正常執行,但在某些時候它會失敗。Veeam 支持人員查看了日誌,並指出這與網路連接質量差有關。我查看了 Cisco ASA 防火牆,它顯示錯誤:

show int eth 0/0 | inc error

ASA 外部介面配置為自動協商速度和雙工,並以 100 Mbit 半雙工執行。我手動將介面設置為 100 Mbit 全雙工,此後異地備份作業沒有出現問題。

這是我在 pfSense 2.0.1 上使用的設置。請注意,其中一些不是預設設置,我必須驗證 Cisco ASA 設置是否匹配(尤其是生命週期)。

階段1:

Authentication method: Mutual PSK
Negotiation mode: aggressive
My identifier: KeyID tag, DefaultL2LGroup
Peer identifier: Peer IP address
Policy Generation: Unique
Proposal Checking: Obey
Encryption algorithm: 3DES
Hash algorithm: MD5
DH key group: 2
Lifetime: 86400
NAT Traversal: Enable
Dead Peer Detection: disabled

階段2:

Mode: Tunnel
Protocol: ESP
Encryption: 3DES
Hash: MD5
PFS key group: off
Lifetime: 28800

引用自:https://serverfault.com/questions/394737