Доброго дня.

Есть 2 настроенных VPN туннеля между хостом с CentOS 6.5 (openswan-2.6.49) и двумя Cisco ASA (разные страны). Все поднимается, работает. Но проходит несколько минут (10-20), когда к хостам никто не обращается и туннели отваливаются. Работает одинаково для обоих подключений.
В нормальном состоянии ipsec status показывает вот это:

( читать дальше... )

Когда подключение отваливается, остается только первая часть (без последних двух строчек).
В /var/log/secure есть такие строчки:
localhost pluto[10708]: pending Quick Mode with remote_ip «conn/0x1» took too long — replacing phase 1
Конфиг такой:
conn conn
type=tunnel
authby=secret
auth=esp
ikelifetime=86400s
keylife=28800s
phase2alg=aes256-sha1
ike=aes256-sha1;modp1024
keyexchange=ike
pfs=no
left=loal+ip
leftsubnet=local_ip/32
right=remote_ip
rightsubnets={a.a.a.a/32,b.b.b.b/32,c.c.c.c/32}
dpddelay=30
dpdtimeout=60
dpdaction=restart_by_peer
auto=start

Насколько я понимаю, вот этот самый DPD должен рестартовать все SAs после того, как он решит, что удаленный пир мертв. Но он этого не делает. Админ со стороны Cisco говорит, что у него нет настроек аналогичных dpdaction.
Пробовал выставлять keep_alive в ipsec.conf - команда status говорила, что все SAs установлены, а трафик не идет.
Не подскажете, что нужно еще настроить?

Доброго дня.

Ситуация следующая - в серверной комнате стоит хост с xNAS на борту с расшаренной папкой (192.168.1.8), в другой комнате стоит хост с Xenserver 6.5 на борту (192.168.7.16), на котором пытаюсь эту шару замонтировать. По пути получаются 3 свитча: 1 свитч HP v1910-24g в кросоовой, в серверной висит HP v1910-48g. Между этими свитчами линия бизнес-центра - оптика со своими свитчами. Тех. отдел утверждает, что их свитчи ничего не режут.

При попытке выполнить команду mount получаю следующее:

mount.nfs: Connection timed out

В iptables порты открыл (пробовал совсем отключать), portmap запущен:

[root@xen16 ~]# ps aux| grep rpc
root      3523  0.0  0.0      0     0 ?        S<   Apr15   0:00 [rpciod]
rpcuser   3530  0.0  0.0  14428   824 ?        Ss   Apr15   0:00 rpc.statd -p 600 -o 601
root      3678  0.0  0.0  24924   404 ?        Ss   Apr15   0:00 rpc.idmapd
root      3993  0.0  0.0  58976   548 pts/1    S+   15:38   0:00 rpcinfo -p 192.168.1.8
root      4262  0.0  0.0  61248   764 pts/2    S+   15:39   0:00 grep rpc
rpc      17100  0.0  0.0   8120   672 ?        Ss   12:14   0:00 portmap -l

С клиента запускаю rpcinfo -p 192.168.1.8, получаю следующее:

[root@xen16 ~]# rpcinfo -p 192.168.1.8
rpcinfo: can't contact portmapper: RPC: Remote system error - Connection timed out

С клиента запускаю showmount -e 192.168.1.8, зависает на некоторое время, потом список шар пишет.

С сервера запускаю nmap -p 111 192.168.7.16, получаю следующее:

[root@xnas ~]# nmap -p 111 192.168.7.16 

Starting Nmap 4.20 ( http://insecure.org ) at 2016-04-18 15:37 MSK
Interesting ports on 192.168.7.16:
PORT    STATE  SERVICE
111/tcp closed rpcbind
MAC Address: 9C:5C:8E:74:3E:8C (Unknown)

Nmap finished: 1 IP address (1 host up) scanned in 0.085 seconds

Суда по тому, что также не работает и на другом хосте с другой ОС (RHEL 6.5), находящемся рядом с этим клиентом, то дело вряд ли в клиенте. Пробовал найти что-то в настройках свитча, но ничего подходящего не нашел.

Не подскажете куда копать?

UPD. путем переноса клиента в другой офис выяснилось, что виноват свитч HP v1910-24g. Попробую что ли в саппорт написать.

Добрый день.
Ситуация такая - есть настроенный туннель между FortiGate и OpenSWAN. Локальные подсети что со стороны FortiGate'а, что со стороны OpenSWAN'а 255.255.0.0. Проблемы со стороны OpneSWAN. После поднятия туннеля сам хост с OpenSWAN'ом пинугет другую сеть (у него айпишник 192.168.1.181), другие хосты, имеющие адреса 192.168.1.х тоже пинугют, а вот из любой другой подсети, например, 192.168.2.15, не пинугет. Traceroute говорит, что пакет доходит до хоста с OpenSWAN'ом и там остается.
Насколько я понял, параметры конфига leftsubnet, rightsubnet, virtual_private настраивают доступность подсетей для другой стороны. Нет ли какой-то настройки, ограничивающей форвадинг трафика через IPsec-туннель? ip_forward включен, iptables отключен. Конфиг ниже:

config setup
plutodebug=all
dumpdir=/var/run/pluto/
nat_traversal=yes
virtual_private=%v4:10.109.0.0/16,%v4:!192.168.0.0/16
oe=off
protostack=netkey

conn smart
type=tunnel
authby=secret
auth=esp
ikelifetime=86400s
keylife=28800s
phase2alg=aes256-sha1
ike=aes256-sha1;modp1024
keyexchange=ike
pfs=no
left=%defaultroute
leftsubnet=192.168.0.0/16
leftsourceip=192.168.1.181
right=Public_IP
rightsubnets=10.109.0.0/16

Доброго времени суток! Ситуация такая - нужно законнектить хост с Линуксом (RHEL 6.2) и FortiGate 3950B. Я админ на линуксовом хосте, FortiGate админится не мной. На FortiGate настроено подключение для 2 подсетей, мой линуксовый хост попадает в интернет через NAT. Ставлю на линуксовый хост Openswan, создаю конфиг с подключением к любой из сетей - все работает. Делаю два конфига для каждой из сетей - пингуется только последнее поднятое подключение. Если все запихать в 1 конфиг, используя опцию rightsubnets, то пингуется только та сеть, которая указана первая. Подобные проблемы видел в интернете, но они все без решений. Скорее всего дело в NAT, но как победить его не знаю.