Pessoal, boa tarde. Gostaria de uma ajuda valiosa dos senhores.
Tenho um cliente que mantém uma conexão IPSec com o Uol e estou tendo uma série de dificuldades com o pfSense e a ponta da Uol. Eu estabeleço o tunel, pingo, traço e chego no terminal remoto windows. Porém, eu tenho uma série de problemas com conexões simultâneas e reconexões ao destino. Segue minhas configurações de IPSec, firewall e NAT. #Regras firewall anchor "userrules/*" pass in log quick on $IPsec inet from 192.168.0.0/24 to any keep state label "USER_RULE: UOL_P2P (All)" #Racoon [2.1.5-RELEASE][[email protected]]/root(69): cat /var/etc/ipsec/racoon.conf # This file is automatically generated. Do not edit path pre_shared_key "/var/etc/ipsec/psk.txt"; path certificate "/var/etc/ipsec"; listen { adminsock "/var/db/racoon/racoon.sock" "root" "wheel" 0660; isakmp x.x.x.x [500]; isakmp_natt y.y.y.y [4500]; } extcfg { script "/var/etc/ipsec/ipsec.php" } remote z.z.z.z { ph1id 1; exchange_mode main; my_identifier address x.x.x.x; peers_identifier address y.y.y.y; ike_frag on; generate_policy = on; initial_contact = on; nat_traversal = on; dpd_delay = 10; dpd_maxfail = 5; support_proxy on; proposal_check claim; proposal { authentication_method pre_shared_key; encryption_algorithm aes 128; hash_algorithm sha1; dh_group 5; lifetime time 28800 secs; } } sainfo subnet 192.168.0.0/24 any nat address 172.21.157.11 any subnet 10.129.18.152/29 any { remoteid 1; encryption_algorithm aes 128; authentication_algorithm hmac_sha1; pfs_group 5; lifetime time 3600 secs; compression_algorithm deflate; } Segue um traceroute até o destino. C:\Users\ds>tracert 10.129.18.153 Tracing route to 10.129.18.153 over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 192.168.0.250 2 * * * Request timed out. 3 * * 13 ms 192.168.23.13 4 13 ms 13 ms 13 ms 192.168.23.1 5 13 ms 13 ms 12 ms 192.168.11.221 6 18 ms 19 ms 15 ms 10.132.2.6 7 * * * Request timed out. 8 13 ms 13 ms 14 ms 10.129.18.153 Trace complete. E os estados de conexão: [2.1.5-RELEASE][[email protected]]/root(76): pfctl -vvss | grep 10.129 rl0 tcp 10.129.18.153:3389 <- 192.168.0.251:57813 TIME_WAIT:TIME_WAIT enc0 tcp 192.168.0.251:57813 -> 172.21.157.11:56754 -> 10.129.18.153:3389 TIME_WAIT:TIME_WAIT rl0 tcp 10.129.18.153:3389 <- 192.168.0.251:57824 ESTABLISHED:ESTABLISHED enc0 tcp 192.168.0.251:57824 -> 172.21.157.11:59425 -> 10.129.18.153:3389 ESTABLISHED:ESTABLISHED rl0 tcp 10.129.18.153:3389 <- 192.168.0.251:57829 CLOSED:SYN_SENT enc0 tcp 192.168.0.251:57829 -> 172.21.157.11:62298 -> 10.129.18.153:3389 SYN_SENT:CLOSED [2.1.5-RELEASE][[email protected]]/root(77): O problema que notei é que ele conecta quando não tenho nenhuma conexão pré estabelecida, mantém essa conexão ativa e consigo trafegar dados. Porém, se desconecto, utilizando logoff do terminal server do destino, a conexão fica com status TIME_WAIT e não expira. Se eu faço um filter reload e reinicio o racoon, consigo conectar novamente. Vou ter cerca de 40 conexões simultâneas e este problema está me deixando sem saídas. Alguém já passou por isto e consegue me dar uma luz? Um abraço! Atenciosamente, Fábio Fraga Machado Diretor de Tecnologia e Infraestrutura Data Space Networks & TI : Telefone: (48) 4052-9252 : MSN: [email protected] : GTalk: [email protected] _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
