Туннель IPSec между Cisco ASA и Linux IPSec (racoon) перестает работать

У меня есть виртуальная машина концентратора VPN, на которой работает Linux 2.6.18 (версия RHEL 2.6.18-274.12.1.el5) с ipsec-tools 0.7.3.

У меня куча подключений к различным концентраторам, но один постоянно умирает от меня. Пульт дистанционного управления - это Cisco ASA.

Фаза 1 и фаза 2 проходят правильно, и вроде бы все идет нормально, но вдруг пульт перестает отвечать. Я вижу, что пакеты ipsec исходят, но ответов нет. До этого момента DPD, кажется, работает нормально (я вижу, что пакеты отправляются каждые 10 секунд). Это происходит не все время, а иногда и надолго.

На пульте дистанционного управления туннель в этот момент больше не активен, но racoon все еще думает, что у него идет фаза 1 + фаза 2. Есть ли какое-то сообщение, которое ASA отправляет, что енот игнорирует?

Я также не понимаю, что логика DPD не уничтожает соединение.

Вот мой racoon.conf:

remote x.x.x.x {
                            exchange_mode main;
                            lifetime time 8 hours;
                            dpd_delay 10;

                            proposal {
                                    authentication_method pre_shared_key;
                                    encryption_algorithm aes 256;
                                    hash_algorithm sha1;
                                    dh_group 2;
                            }
                            proposal_check obey;
            }
sainfo subnet y.y.y.y/32[0] any subnet z.z.z.0/26 any {
                            pfs_group 2;
                            lifetime time 1 hour;
                            encryption_algorithm aes 256;
                            authentication_algorithm hmac_sha1;
                            compression_algorithm deflate;
                    }

linux ipsec
person w00t    schedule 25.10.2013    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Прошло некоторое время с тех пор, как об этом спросили, но вы можете попробовать более новые версии ipsec-tools. В более новых версиях был внесен ряд исправлений взаимодействия протоколов. Кроме того, дважды проверьте, что ваши параметры соответствуют ASA, особенно в отношении различных настроек срока службы. У меня также был хороший успех с "rekey force" в "удаленных" разделах racoon. Вот соответствующие разделы конфигурации, которые я использую для взаимодействия с ASA:

remote w.x.y.z
{
    exchange_mode main;
    lifetime time 28800 seconds;
    proposal_check obey;
    rekey force;
    proposal {
     encryption_algorithm aes 256;
     hash_algorithm sha1;
     authentication_method pre_shared_key;
     dh_group 2;
    }
}

sainfo subnet a.b.c.d/n any subnet e.f.g.h/n any
{
    lifetime time 1 hour ;
    encryption_algorithm aes 256;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate ;
}
person Noah    schedule 22.03.2015
comment
Это вполне может быть решением, но я больше не могу это проверить, поэтому не могу принять это как ответ ... Если кто-то не подтвердит? - person w00t; 23.03.2015