Problema no IPsec - PfSense

CledTawn · 8 de novembro de 2019

Olá, então, venho tendo um problema nos tunel do IPsec, anda tendo uma queda direto e tenho que ficar dando reboot para voltar, e mesmo assim tem dois tuneis que não conectam, alguém poderia me dar uma solução?
Aqui um print abaixo demonstrando.

Cadu Campos · 8 de novembro de 2019

Olá amigo, tudo bem?

O log do servidor informa o que?

Att;

CledTawn · 25 de novembro de 2019

@Cadu Campos

Diariamente temos problemas na conexão VPN da Empresa X (SP) que não conseguimos identificar o motivo.

Somente conseguimos restabelecer a conexão usando método "bill gates" (reiniciando nosso gateway), o que ocasiona diversos problemas na empresa Y.

Capturei um trecho de nosso log do IPSec onde (ao meu ver) parece que a conexão pode estar sendo recusada.

sera que existe alguma configuração do lado da Empresa X que poderia estar ocasionando o problema?
(Obs: o erro destacado em negrito se repete diversas vezes, e quando conseguimos restabelecer a conexão, ele para de aparecer)

.
.
.
Nov 12 09:45:37    charon: 12[IKE] CHILD_SA con2{2} established with SPIs cca8583d_i a805cc12_o and TS 10.55.3.44/30|10.10.10.0/24 === !0.@5.@#.2#$/3!|/#
Nov 12 09:45:37    charon: 12[IKE] <con2|11> CHILD_SA con2{2} established with SPIs cca8583d_i a805cc12_o and TS 10.55.3.44/30|10.10.10.0/24 === !0.@5.@#.2#$/3!|/#
.
.
.
.
.
Nov 12 09:42:35    charon: 06[NET] sending packet: from 1#$.9#.2@#.1@#[500] to 2@@.1@@.3@.@8[500] (96 bytes)
Nov 12 09:42:35    charon: 06[ENC] generating CREATE_CHILD_SA response 480 [ N(TS_UNACCEPT) ]
Nov 12 09:42:35    charon: 06[IKE] failed to establish CHILD_SA, keeping IKE_SA
Nov 12 09:42:35    charon: 06[IKE] <con2|1> failed to establish CHILD_SA, keeping IKE_SA
Nov 12 09:42:35    charon: 06[IKE] traffic selectors @0.@@.3.4@/@2|/0 1@.@@[email protected]@/@0|/0 === 1@.@@[email protected]@@/@@|/0 @0.@@.@@.2@@/@@|/0 inacceptable
Nov 12 09:42:35    charon: 06[IKE] <con2|1> traffic selectors @0.@@[email protected]@/@@|/0 1@.@@.@.@@/@@|/0 === 10.55.32.205/32|/0 1@.@@.@@.@@5/3@|/0 inacceptable
Nov 12 09:42:35    charon: 06[ENC] parsed CREATE_CHILD_SA request 480 [ SA No KE TSi TSr ]
Nov 12 09:42:35    charon: 06[NET] received packet: from 2@@.@@5.@6.@8[500] to @@@.@4.@@0.@@2[500] (528 bytes)
Nov 12 09:42:33    charon: 06[NET] sending packet: from @@[email protected]@@.@@2[500] to @@0.@@5.@6.@8[500] (96 bytes)
.
.

Cadu Campos · 26 de novembro de 2019

@CledTawn

Verifique o tipo de criptografia em ambos os lados, pois o servidor não está aceitando a que está em uso para estabelecer o CHILD_SA (IKEv2), o que está ocorrendo, a vpn é fechada porém o child_sa não estabelece por problema do tipo da criptografia, o tempo de vida da vpn é expirado e a sessão é derrubada.

Att;