Настроил ipsec\l2tp сервер. Для теста решил перекачать большой файл по FTP. Поймал несколько проблем.
1) После 3-5 секунд нормальной закачки в логи вываливается сообщение:
Jul 9 11:27:10 vpn racoon: DEBUG: KA: 192.168.1.110[4500]->xx.xx.xx.xx[4500] Jul 9 11:27:10 vpn racoon: DEBUG: sockname 192.168.1.110[4500] Jul 9 11:27:10 vpn racoon: DEBUG: send packet from 192.168.1.110[4500] Jul 9 11:27:10 vpn racoon: DEBUG: send packet to xx.xx.xx.xx[4500] Jul 9 11:27:10 vpn racoon: DEBUG: src4 192.168.1.110[4500] Jul 9 11:27:10 vpn racoon: DEBUG: dst4 xx.xx.xx.xx[4500] Jul 9 11:27:10 vpn racoon: DEBUG: 1 times of 1 bytes message will be sent to xx.xx.xx.xx[4500] Jul 9 11:27:10 vpn racoon: DEBUG: #012ffИ передача виснет наглухо. Потом xl2tpd ругался на таймауты и убивал тунель.
Отключил keep-alive с помощью «natt-keepalive = 0 sec;». После этого непрерывная нормальная работа увеличилась до 3-5 минут. По истечении этого времени в логах появляется такое:
Jul 9 18:29:59 vpn racoon: INFO: respond new phase 2 negotiation: 192.168.1.110[4500]<=>xx.xx.xx.xx[56265] Jul 9 18:29:59 vpn racoon: INFO: Adjusting my encmode UDP-Transport->Transport Jul 9 18:29:59 vpn racoon: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2) Jul 9 18:29:59 vpn racoon: INFO: purged IPsec-SA proto_id=ESP spi=2834276621. Jul 9 18:30:29 vpn racoon: ERROR: xx.xx.xx.xx give up to get IPsec-SA due to time up to wait. Jul 9 18:33:22 vpn racoon: INFO: respond new phase 2 negotiation: 192.168.1.110[4500]<=>xx.xx.xx.xx[56265]После этого с вероятностью 0.5 связь либо подыхала совсем, либо висела 5-10 секунд, после чего без доп. сообщений в логах восстанавливалась.
Вопросы. Почему keep-alive может убивать связь? Из-за чего может посреди работы возникать опять фаза 2, и почему оно так же может убить тунель? Есть ли вообще рабочие конфигурации Win7 + linux ipsec\l2tp server, в которых винда может быть за натом?
Да, кстати, сервер тоже за натом с проброшенными портами 500, 4500 и 1701.
