Постоянно поднятый туннель через Strongswan - как?

0

3

Я уже затрахался, если честно :) Есть два хоста, между ними тоннель, хочу чтобы он поднимался всегда после дисконнекта и пытался это сделать вечно. В OpenVPN с этим проблем нет, а тут... иногда всё же падает каким-то образом и подниматься сам не хочет - ipsec restart на любом из хостов и всё взлетает.

DPD настроен, keyingretries=%forever - что ему не хватает?

config setup

conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=%forever
    authby=secret
    keyexchange=ikev2
    mobike=no
    dpddelay=30s
    dpdtimeout=120s
    dpdaction=restart

conn vpn1
    left=1.1.1.1
    leftid=@host1
    right=2.2.2.2
    rightid=@host2
    type=transport
    auto=start

На втором хосте симметришно.

Ссылка

←	Кто-нибудь юзает резервное копирование на ленты? Поделитесь опытом.

Проблема с софтовым раидом или диском или

→

Нужны куски логов в моменты, когда падает туннель и не поднимается, при этом оглашая в лог причины такого своего поведения, а иначе это все тупое гадание на ровном месте.

whoami ★
(08.03.16 21:56:48 MSK)
Последнее исправление: whoami 08.03.16 21:57:09 MSK (всего исправлений: 1)

Ответ на: комментарий от whoami 08.03.16 21:56:48 MSK

Включив полный дебаг и покопавшись я конечно найду в чём причина, только на это нужно время.

Я создал тему с целью понять - может я какую простую опцию в конфиге упускаю?

Если нет, то я конечно полезу в дебаг.

blind_oracle ★★★★★
(08.03.16 22:57:57 MSK) автор топика

Ответ на: комментарий от blind_oracle 08.03.16 22:57:57 MSK

Попробуй еще добавить

closeaction=restart
rekey=yes

, но в целом все выглядит валидно, и похоже что без дебага не поймать причину.

whoami ★
(08.03.16 23:17:11 MSK)

Ответ на: комментарий от whoami 08.03.16 23:17:11 MSK

closeaction я видел в своё время, но почему-то юзать не стал, не помню. Добавил, спасибо,посмотрю как пойдёт. А rekey по дефолту и так yes.

blind_oracle ★★★★★
(09.03.16 09:53:48 MSK) автор топика

Ссылка

1. OpenVPN тоже падает. Инфа 146%.
2. «иногда всё же падает каким-то образом и подниматься сам не хочет» - это пропадает процесс или процесс есть но не соединяется? Если второе то очень странно, если первое то проверять по крону и стартовать.

anc ★★★★★
(09.03.16 10:02:47 MSK)

Ответ на: комментарий от anc 09.03.16 10:02:47 MSK

1. У меня до жопы OpenVPN тоннелей уже много лет и таких проблем там нет. Инфа 147%. С настройкой в конфиге «keepalive 10 120» всё перезапущается до посинения.

2. Нет, процесс конечно не падает. Отваливается именно сессия, в «ipsec status» показывает что-то вроде

Security Associations (0 up, 0 connecting):

и переконнектиться не желает само.

Да, Strongswan на одном конце 5.2.1, на другом 5.1.2, но думаю что это не особо влияет на их совместимость. Такую проблему я наблюдал и раньше на 4.х версиях.

blind_oracle ★★★★★
(09.03.16 15:44:43 MSK) автор топика

Ответ на: комментарий от blind_oracle 09.03.16 15:44:43 MSK

У меня до жопы OpenVPN тоннелей уже много лет и таких проблем там нет. Инфа 147%. С настройкой в конфиге «keepalive 10 120» всё перезапущается до посинения.

Если в этом смысле, то возможно да. Для меня это в большинстве случаев вред, а не польза. Даже успел забыть почему не использую. )

2. Нет, процесс конечно не падает. Отваливается именно сессия, в «ipsec status» показывает что-то вроде

Может и не в тему, но я с таким сталкивался в связках racoon<->разные_коробки помогло aggressive mode. Сам не пробовал (у меня сабж под десктопно/телефонные соединения используется), но вроде он тоже научился aggressive mode.

anc ★★★★★
(09.03.16 19:02:24 MSK)