<![CDATA[PFS не запускается с VPN IKEv2]]>Здравствуйте, Я настроил IPSEC VPN между двумя маршрутизаторами Cisco iOS. Он работает с IKEv2 (конфигурация ниже). VPN работает, трафик проходит, но PFS в фазе 2, судя по выводу ниже, не работает. R1#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.10.10.1/500 10.10.10.2/500 none/none READY Encr: AES-GCM, keysize: 256, PRF: SHA512, Hash: None,
DH Grp:24
, Auth sign: PSK, Auth verify: PSK
R1#show crypto ipsec sa detail
interface: Tunnel0 PFS (Y/N):
N
, DH group:
none Конфигурация ниже довольно проста R1#
crypto ikev2 proposal PROPOSAL encryption aes-gcm-256 prf sha512 group 24
!
crypto ikev2 policy POLICY proposal PRP-VPN
!
crypto ikev2 keyring KEYRING peer R2 description R2 address 10.10.10.2 pre-shared-key local PSKEY pre-shared-key remote PSKEY !
!
crypto ikev2 profile PROFILE-P1 match identity remote address 10.10.10.0 255.255.255.0 match address local 10.10.10.1 identity local address 10.10.10.1 authentication remote pre-share authentication local pre-share keyring local KEYRING lifetime 28800 dpd 30 10 periodic
!
crypto ipsec transform-set TFS esp-gcm 256 mode tunnel
!
crypto ipsec profile PROFILE-P2 set security-association lifetime kilobytes disable set transform-set TFS set pfs group24 set ikev2-profile PROFILE-P1
!
interface Tunnel0 ip address 192.168.0.1 255.255.255.252 tunnel source 10.10.10.1 tunnel mode ipsec ipv4 tunnel destination 10.10.10.2 tunnel protection ipsec profile PROFILE-P2 Может ли кто-нибудь поделиться своим опытом о том, что может быть не так, что PFS не запускается, и как лучше всего устранить эту проблему?
Должна ли выбранная группа DH соответствовать выбранному шифрованию фазы 1 и фазы 2?
Оба устройства — Cisco ISR 881 с версией 159-3.M7 Спасибо Марк

]]>https://sla247.ru/forum/topic/2391/pfs-не-запускается-с-vpn-ikev2RSS for NodeFri, 15 May 2026 10:27:14 GMTMon, 02 Mar 2026 12:42:08 GMT60<![CDATA[Reply to PFS не запускается с VPN IKEv2 on Mon, 02 Mar 2026 12:42:11 GMT]]>точно в цель
@Роб Ингрэм
сработал на славу

]]>https://sla247.ru/forum/post/16787https://sla247.ru/forum/post/16787Mon, 02 Mar 2026 12:42:11 GMT<![CDATA[Reply to PFS не запускается с VPN IKEv2 on Mon, 02 Mar 2026 12:42:10 GMT]]>@Роб Ингрэм Спасибо! Мы каждый день узнаем что-то новое. Проверим и свяжемся с вами. Спасибо Марк

]]>https://sla247.ru/forum/post/16786https://sla247.ru/forum/post/16786Mon, 02 Mar 2026 12:42:10 GMT<![CDATA[Reply to PFS не запускается с VPN IKEv2 on Mon, 02 Mar 2026 12:42:09 GMT]]>@Mark Pace Balzan
Если PFS настроен правильно на обоих узлах, то PFS будет отображаться только после перегенерации ключа IPSec SA (после создания первого CHILD_SA), поэтому подождите, пока IPsec SA перегенерирует ключ, и проверьте снова.

]]>https://sla247.ru/forum/post/16785https://sla247.ru/forum/post/16785Mon, 02 Mar 2026 12:42:09 GMT