Strongswan теряет свзяь

0

1

Есть два сервера, между ними - IPSEC в транспортном режиме, под ним GRE туннель.

Конфиг:

config setup
    plutostart=no
    charondebug="ike 0, enc 0, net 0"

conn %default
    ikelifetime=360m
    keylife=60m
    rekeymargin=10m
    keyingtries=%forever
    authby=secret
    mobike=no
    keyexchange=ikev2
    auth=esp
    compress=yes
    ike=aes256gcm128-sha2_512-modp4096!
    esp=aes128gcm64-modp4096!
    type=transport
    closeaction=clear
    dpdaction=clear
    auto=start

conn srv1
    left=1.1.1.1
    right=2.2.2.2

В каких-то случаях при отсутствии связи между хостами в течении какого-то времени туннель удаляется и больше не появляется:

# ipsec status
Security Associations (0 up, 0 connecting):
  none

без closeaction/dpdaction то же самое.

Т.е. в какой-то момент траффик просто начинает ходить не шифрованым, что не айс совсем. Что можно сделать?

Strongswan 4.6.4

Ссылка

←	Postfix: пропускать исходящую почту мимо SpamAssassin

nagios критическая ошибка после авторизации

→

dpdaction=clear

А чего не restart?

thesis ★★★★★
(01.06.13 10:30:54 MSK)

Ответ на: комментарий от thesis 01.06.13 10:30:54 MSK

C ним у меня charon на обоих сторонах туннеля начинает жрать 50-100% процессора.

blind_oracle ★★★★★
(01.06.13 10:36:30 MSK) автор топика

Ответ на: комментарий от blind_oracle 01.06.13 10:36:30 MSK

Дык это и надо решать.

thesis ★★★★★
(01.06.13 10:58:39 MSK)

Ответ на: комментарий от thesis 01.06.13 10:58:39 MSK

Решал в свое время, вроде даже тему тут создавал, без толку. В гуглях тоже долго рылся, решения не нашел.

Если выставить restart только с одного конца и перезапустить ipsec, то всё ок. Но если после этого перезапустить еще и с другого конца, то на обоих серверах харон начинает жрать 50%

Если сделать closeaction=clear/dpdaction=restart, то вроде как харон дуреть перестает, но как оно будет работать в таком режиме - хз, посмотрю.

Debian Wheezy x64, ядра разные пробовал, сейчас 3.9.4

blind_oracle ★★★★★
(01.06.13 12:55:40 MSK) автор топика

Ответ на: комментарий от blind_oracle 01.06.13 12:55:40 MSK

Просто clear используется для подключений удаленного доступа, т.е. для roadwarrior'ов. Типа «клиент признан отвалившимся - забываем про него насовсем, когда захочет - сам переконнектится». Поэтому нужен restart.
Надо все же поискать, почему грузится проц.
А closeaction на время отладки можно вообще выкинуть, наверное.
BTW, щас слазил в ман, там пишут, что auth=esp «Only supported by the IKEv1 daemon pluto».

thesis ★★★★★
(01.06.13 13:22:12 MSK)
Последнее исправление: thesis 01.06.13 13:23:05 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 01.06.13 13:22:12 MSK

Да, про clear я почитал, в общем-то так и полагал.

Closeaction при наличии DPD я так понял вообще не нужен. Если DPD отработает, то связь всё равно попробует восстановить.

auth=esp убрал, он остался еще со времен ikev1, хароном просто игнорировался я думаю.

Сейчас, только с dpdaction=restart, вроде как всё хорошо, посмотрю будет ли туннель падать.

Спасибо!

blind_oracle ★★★★★
(01.06.13 13:28:29 MSK) автор топика

Ответ на: комментарий от blind_oracle 01.06.13 13:28:29 MSK

Дык не за что, «само заработало». Подождем, кастуй, если что.

thesis ★★★★★
(01.06.13 13:40:07 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Postfix: пропускать исходящую почту мимо SpamAssassin

Admin

nagios критическая ошибка после авторизации

→

Похожие темы