PfSense 2.3 und höher IPSec Phase 1 Rekey Einstellungen
Moinsen!
Ab der PfSense 2.3 gibt es beim IPSec-VPN in der Phase 1 unter "Advanced" die Option: "Disable Rekey" und die zugehörige Einstellung "Margintime"
Was hat es damit auf sich? Default ist der Haken bei "Disable Rekey" gesetzt. Will ich das? Ich will doch, dass nach Ablauf der gesetzten Zeit "rekeyed" wird.
Macht das dann nur die Gegenstelle? Habe ich Verbindungsabbrüche zu befürchten, wenn ich das nicht setze?
Was würde ich bei "Margintime" setzen müssen? Defaults gibbet nicht. Hilfe auch nicht. Zumindest nix gefunden.
Ging doch vorher auch immer ohne (Komme von der 2.2.6)
Online finde ich nix, ausser Beiträgen insb. zu IKEv2, die dieses Rekeying Feature besprechen. Verwende aber IKE v1.
Meines Verständnisses nach, wird damit vor Ablauf der Frist versucht, eine neue Phase 1 auszuhandeln. Das ist doch alles in den RFC's definiert? Was hat es damit auf sich?
Weiss das jemand oder hat mal damit experimentiert?
LG
Buc
Ab der PfSense 2.3 gibt es beim IPSec-VPN in der Phase 1 unter "Advanced" die Option: "Disable Rekey" und die zugehörige Einstellung "Margintime"
Was hat es damit auf sich? Default ist der Haken bei "Disable Rekey" gesetzt. Will ich das? Ich will doch, dass nach Ablauf der gesetzten Zeit "rekeyed" wird.
Macht das dann nur die Gegenstelle? Habe ich Verbindungsabbrüche zu befürchten, wenn ich das nicht setze?
Was würde ich bei "Margintime" setzen müssen? Defaults gibbet nicht. Hilfe auch nicht. Zumindest nix gefunden.
Ging doch vorher auch immer ohne (Komme von der 2.2.6)
Online finde ich nix, ausser Beiträgen insb. zu IKEv2, die dieses Rekeying Feature besprechen. Verwende aber IKE v1.
Meines Verständnisses nach, wird damit vor Ablauf der Frist versucht, eine neue Phase 1 auszuhandeln. Das ist doch alles in den RFC's definiert? Was hat es damit auf sich?
Weiss das jemand oder hat mal damit experimentiert?
LG
Buc
Please also mark the comments that contributed to the solution of the article
Content-Key: 359495
Url: https://administrator.de/contentid/359495
Printed on: April 25, 2024 at 06:04 o'clock
4 Comments
Latest comment
Zum Thema Rekeying in Phase 1 guckst du hier:
https://wiki.strongswan.org/projects/strongswan/wiki/ExpiryRekey
Besser, da sicherer, ist Rekeying zu aktivieren sofern die Gegenseite das auch supportet !
https://wiki.strongswan.org/projects/strongswan/wiki/ExpiryRekey
Besser, da sicherer, ist Rekeying zu aktivieren sofern die Gegenseite das auch supportet !