4
PfSense 2.3 und höher IPSec Phase 1 Rekey Einstellungen
Moinsen!
Ab der PfSense 2.3 gibt es beim IPSec-VPN in der Phase 1 unter "Advanced" die Option: "Disable Rekey" und die zugehörige Einstellung "Margintime"
Was hat es damit auf sich? Default ist der Haken bei "Disable Rekey" gesetzt. Will ich das? Ich will doch, dass nach Ablauf der gesetzten Zeit "rekeyed" wird.
Macht das dann nur die Gegenstelle? Habe ich Verbindungsabbrüche zu befürchten, wenn ich das nicht setze?
Was würde ich bei "Margintime" setzen müssen? Defaults gibbet nicht. Hilfe auch nicht. Zumindest nix gefunden.
Ging doch vorher auch immer ohne (Komme von der 2.2.6)
Online finde ich nix, ausser Beiträgen insb. zu IKEv2, die dieses Rekeying Feature besprechen. Verwende aber IKE v1.
Meines Verständnisses nach, wird damit vor Ablauf der Frist versucht, eine neue Phase 1 auszuhandeln. Das ist doch alles in den RFC's definiert? Was hat es damit auf sich?
Weiss das jemand oder hat mal damit experimentiert?
LG
Buc
Ab der PfSense 2.3 gibt es beim IPSec-VPN in der Phase 1 unter "Advanced" die Option: "Disable Rekey" und die zugehörige Einstellung "Margintime"
Was hat es damit auf sich? Default ist der Haken bei "Disable Rekey" gesetzt. Will ich das? Ich will doch, dass nach Ablauf der gesetzten Zeit "rekeyed" wird.
Macht das dann nur die Gegenstelle? Habe ich Verbindungsabbrüche zu befürchten, wenn ich das nicht setze?
Was würde ich bei "Margintime" setzen müssen? Defaults gibbet nicht. Hilfe auch nicht. Zumindest nix gefunden.
Ging doch vorher auch immer ohne (Komme von der 2.2.6)
Online finde ich nix, ausser Beiträgen insb. zu IKEv2, die dieses Rekeying Feature besprechen. Verwende aber IKE v1.
Meines Verständnisses nach, wird damit vor Ablauf der Frist versucht, eine neue Phase 1 auszuhandeln. Das ist doch alles in den RFC's definiert? Was hat es damit auf sich?
Weiss das jemand oder hat mal damit experimentiert?
LG
Buc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 359495
Url: https://administrator.de/contentid/359495
Printed on: April 19, 2024 at 09:04 o'clock
4 Comments
Latest comment
Zum Thema Rekeying in Phase 1 guckst du hier:
https://wiki.strongswan.org/projects/strongswan/wiki/ExpiryRekey
Besser, da sicherer, ist Rekeying zu aktivieren sofern die Gegenseite das auch supportet !
https://wiki.strongswan.org/projects/strongswan/wiki/ExpiryRekey
Besser, da sicherer, ist Rekeying zu aktivieren sofern die Gegenseite das auch supportet !
Bezieht sich das nicht nur auf IKEv2?
Da mit IKEv1 immer eine komplette "Reauthentication" stattfindet?
Und welchen Wert würde ich da eintragen? In Sekunden oder Stunden? also 3600s oder 1h oder nur 3600 oder nur 1?
Da schweigt sich das Wiki von PfSense und des Schwanen aus...
Und Tante Google gibt mir auch nur irrelevante Ergebnisse...
Frohes neues übrigens!
Buc
Da mit IKEv1 immer eine komplette "Reauthentication" stattfindet?
Und welchen Wert würde ich da eintragen? In Sekunden oder Stunden? also 3600s oder 1h oder nur 3600 oder nur 1?
Da schweigt sich das Wiki von PfSense und des Schwanen aus...
Und Tante Google gibt mir auch nur irrelevante Ergebnisse...
Frohes neues übrigens!
Buc
Cisco hat es im Default auf der ASA auf 28800 Seconds gesetzt. Das ist ja immerhin schon mal eine Grundlage 
Ist es, aber welche Schreibweise will da die PfSense? Auch ihr täte ein default oder ein Hint gut.
Bleibt nur testen.
Buc
Bleibt nur testen.
Buc
