PfSense 2.3 und höher IPSec Phase 1 Rekey Einstellungen
Moinsen!
Ab der PfSense 2.3 gibt es beim IPSec-VPN in der Phase 1 unter "Advanced" die Option: "Disable Rekey" und die zugehörige Einstellung "Margintime"
Was hat es damit auf sich? Default ist der Haken bei "Disable Rekey" gesetzt. Will ich das? Ich will doch, dass nach Ablauf der gesetzten Zeit "rekeyed" wird.
Macht das dann nur die Gegenstelle? Habe ich Verbindungsabbrüche zu befürchten, wenn ich das nicht setze?
Was würde ich bei "Margintime" setzen müssen? Defaults gibbet nicht. Hilfe auch nicht. Zumindest nix gefunden.
Ging doch vorher auch immer ohne (Komme von der 2.2.6)
Online finde ich nix, ausser Beiträgen insb. zu IKEv2, die dieses Rekeying Feature besprechen. Verwende aber IKE v1.
Meines Verständnisses nach, wird damit vor Ablauf der Frist versucht, eine neue Phase 1 auszuhandeln. Das ist doch alles in den RFC's definiert? Was hat es damit auf sich?
Weiss das jemand oder hat mal damit experimentiert?
LG
Buc
Ab der PfSense 2.3 gibt es beim IPSec-VPN in der Phase 1 unter "Advanced" die Option: "Disable Rekey" und die zugehörige Einstellung "Margintime"
Was hat es damit auf sich? Default ist der Haken bei "Disable Rekey" gesetzt. Will ich das? Ich will doch, dass nach Ablauf der gesetzten Zeit "rekeyed" wird.
Macht das dann nur die Gegenstelle? Habe ich Verbindungsabbrüche zu befürchten, wenn ich das nicht setze?
Was würde ich bei "Margintime" setzen müssen? Defaults gibbet nicht. Hilfe auch nicht. Zumindest nix gefunden.
Ging doch vorher auch immer ohne (Komme von der 2.2.6)
Online finde ich nix, ausser Beiträgen insb. zu IKEv2, die dieses Rekeying Feature besprechen. Verwende aber IKE v1.
Meines Verständnisses nach, wird damit vor Ablauf der Frist versucht, eine neue Phase 1 auszuhandeln. Das ist doch alles in den RFC's definiert? Was hat es damit auf sich?
Weiss das jemand oder hat mal damit experimentiert?
LG
Buc
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 359495
Url: https://administrator.de/forum/pfsense-2-3-und-hoeher-ipsec-phase-1-rekey-einstellungen-359495.html
Ausgedruckt am: 31.05.2025 um 09:05 Uhr
4 Kommentare
Neuester Kommentar
Zum Thema Rekeying in Phase 1 guckst du hier:
https://wiki.strongswan.org/projects/strongswan/wiki/ExpiryRekey
Besser, da sicherer, ist Rekeying zu aktivieren sofern die Gegenseite das auch supportet !
https://wiki.strongswan.org/projects/strongswan/wiki/ExpiryRekey
Besser, da sicherer, ist Rekeying zu aktivieren sofern die Gegenseite das auch supportet !
Bezieht sich das nicht nur auf IKEv2?
Da mit IKEv1 immer eine komplette "Reauthentication" stattfindet?
Und welchen Wert würde ich da eintragen? In Sekunden oder Stunden? also 3600s oder 1h oder nur 3600 oder nur 1?
Da schweigt sich das Wiki von PfSense und des Schwanen aus...
Und Tante Google gibt mir auch nur irrelevante Ergebnisse...
Frohes neues übrigens!
Buc
Da mit IKEv1 immer eine komplette "Reauthentication" stattfindet?
Und welchen Wert würde ich da eintragen? In Sekunden oder Stunden? also 3600s oder 1h oder nur 3600 oder nur 1?
Da schweigt sich das Wiki von PfSense und des Schwanen aus...
Und Tante Google gibt mir auch nur irrelevante Ergebnisse...
Frohes neues übrigens!
Buc
Cisco hat es im Default auf der ASA auf 28800 Seconds gesetzt. Das ist ja immerhin schon mal eine Grundlage 
Ist es, aber welche Schreibweise will da die PfSense? Auch ihr täte ein default oder ein Hint gut.
Bleibt nur testen.
Buc
Bleibt nur testen.
Buc
