IPsec zwischen zwei OPNsense - Stabilität

[NDregger]

Hallo Freunde der OPNsense,

seid Freitag haben wir endlich zwei DSL Anschlüsse an unseren beiden Schulstandorten was VPN natürlich deutlich erleichert (bislang nur T@School mit dynamischer IP und Zwangstrennung), jetzt steht das Thema Stabilität der VPN Tunnel auf der Agenda.

Ich habe beide Seiten (OPNsense 23.10.2) auf die zusätzlichen WAN Ports umgestellt und die festen IP Adressen der beiden Seiten eingetragen damit sie jetzt eben die neuen Leitungen nutzen was soweit auch funktioniert.


Nur leider schlafen die Tunnel noch ein, irgendwo habe ich einen Fehler in meiner Konfiguration, ich tippe unter Phase 1 ja auf den Bereich Close Action und Unique.

Wie betreibt ihr den IPsec Site 2 Site Verbindungen zwischen zwei OPNsense? IKEv1 oder v2? Das nur eine Seite den Verbindungsaufbau machen sollte habe ich ja schon gelernt, nur was ist sonst noch so für stabile Verbindungen zu beachten?


Grüße aus dem kalten BaWü
Norbert

[uneu]

Zwischen zwei OPNsense habe ich immer IKEv2 am laufen.

[NDregger]

Welche Parameter nutzt Du denn bei den Parametern?

- Close Action
- Unique
- Dead Peer Detection
- Inactivity timeout
- Keyingtries
- Lifetime
- Margintime
- Rekeyfuzz

Grüße aus BaWü
Norbert

[mimugmail]

Keyingtries auf -1 .. der Rest default. Das reicht in der Regel schon

[Monviech (Cedrik)]

Ich kann mich dran erinnern das es ein Problem mit keyingretries gibt wenn man die Legacy Tunnel verwendet.
https://github.com/opnsense/core/issues/6895

Mit Connections läuft die Verbindung zwischen 2 OPNsensen perfekt stabil (mit IKEv2).

[mimugmail]

In Connections ist es 0, bei legacy -1

[NDregger]

Habe es mittlerweile stabil - Problem war Blindheit... Ich hatte nur auf einer Seite DPD aktiviert...

Grüße
Norbert