Openswan tunnel ne fonctionne pas après le redémarrage du réseau
J'ai observé un comportement étrange lors de la tentative de créer une connexion ipsec.
J'ai configuré ipsec entre cisco asa et ma machine sous Linux, et il fonctionne comme prévu. Mais lorsque je redémarre le service de réseau sur mon Linux ou de la boîte de redémarrer le port du cisco côté, le tunnel s'arrête de fonctionner, mais le tunnel de statut est:
/etc/init.d/ipsec status
/usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled
IPsec running - pluto pid: 2684
pluto pid 2684
1 tunnels up
some eroutes exist
Quand j'essaie de me connecter à l'autre côté (telnet, ping, ssh), la connexion ne fonctionne pas.
Mon /etc/ipsec.conf ressemble à ceci:
# /etc/ipsec.conf - Openswan IPsec configuration file
#
# Manual: ipsec.conf.5
#
# Please place your own config files in /etc/ipsec.d/ending in .conf
version 2.0 # conforms to second version of ipsec.conf specification
# basic configuration
config setup
# Debug-logging controls: "none" for (almost) none, "all" for lots.
# klipsdebug=none
# plutodebug="control parsing"
# For Red Hat Enterprise Linux and Fedora, leave protostack=netkey
protostack=netkey
nat_traversal=yes
virtual_private=
oe=off
# Enable this if you see "failed to find any available worker"
nhelpers=0
#You may put your configuration (.conf) file in the "/etc/ipsec.d/" and uncomment this.
include /etc/ipsec.d/*.conf
Et mon /etc/ipsec.d/myvpn.conf ressemble à ceci:
conn myvpn
authby=secret # Key exchange method
left=server-ip # Public Internet IP address of the
# LEFT VPN device
leftsubnet=server-ip/32 # Subnet protected by the LEFT VPN device
leftnexthop=%defaultroute # correct in many situations
right=asa-ip # Public Internet IP address of
# the RIGHT VPN device
rightsubnet=network/16 # Subnet protected by the RIGHT VPN device
rightnexthop=asa-ip # correct in many situations
auto=start # authorizes and starts this connection
# on booting
auth=esp
esp=aes-sha1
compress=no
Lorsque je redémarre l'openswan service tout commence à travailler, mais je pense qu'il devrait être un peu de logique qui fait cela automatiquement. quelqu'un a une idée de ce que je suis absent?
OriginalL'auteur user1403360 | 2012-05-30
Vous devez vous connecter pour publier un commentaire.
Vous voulez probablement pour activer dead peer detection si disponible sur les deux côtés. Dead peer detection avis, quand le tunnel n'est pas vraiment en train de travailler plus et se déconnecte ou le remet à zéro.
Si pas disponible, vous pouvez également essayer de changer votre session de la renégociation de temps très faible, votre tunnel permettra de créer de nouvelles clés fréquemment et mettre en place de nouveaux tunnels de remplacer les anciens sur une base régulière de manière efficace de recréer du tunnel après que le délai d'attente lors de la session a été.
Pour les sessions PPP sur Linux moi-même, j'ai simplement un "service ipsec redémarrer" dans /etc/ppp/ip-up.local pour redémarrer tous les tunnels à chaque fois que le PPP de l'appareil est de nouveau en ligne.
YMMV.
Je vais avoir le même problème que Bien que ipsec montre tunnel est, après ifconfig il n'y a pas de tunnel0 interface créée.
Si vous utilisez le VPN intégré de soutien alors il n'y aura pas de spécial interfaces de tunnel créé. Seulement lors de l'utilisation de la spéciale KLIPS pilotes ne vous obtenez une nouvelle interface pour les périphériques VPN.
OriginalL'auteur mikebabcock
Juste essayer de DPD, mais ne fonctionne pas.
Donc, je viens d'apprendre de mikebabcock.
ajouter la ligne suivante dans mon /etc/ppp/ip-down
Avec cette solution de contournement, maintenant L2TP/IPSec a travaillé comme un charme.
OriginalL'auteur twinsant
Je n'aime pas l'idée de redémarrer ipsec chaque fois que vous perdez la connexion. En fait
/usr/libexec/ipsec/_updown
est couru sur les différentes actions dans le protocole ipsec. Le même script peut être exécuté sur leftupdown/rightupdown. Mais le problème est qu'il n'effectue pas de commande lorsque le client distant se connecte de nouveau à votre hôte. Pour résoudre ce problème, vous devez ajouterdoroute replace
aprèsup-client)
dans /usr/libexec/ipsec/_updown.netkey (si vous utilisez Netkey bien sûr):Mais attention, ce fichier sera écrasé, si vous mettez à jour vos paquets, il suffit donc de le mettre quelque part d'autre, puis ajouter les commandes suivantes à votre de connexion config:
Maintenant les routes ne sera rétabli dès que la télécommande se connecte en retour sur votre serveur.
OriginalL'auteur Denis V
Aussi pour moi, pour des raisons étranges
DPD
ne pas fonctionner correctement dans toutes les situations.J'utilise ce script pour vérifier chaque minute de l'état. Les scripts s'exécute sur le Poste (par exemple, le Pare-feu):
OriginalL'auteur giuseppe
cela pourrait se produire en raison de règles iptables.
Assurez-vous d'avoir activé le port udp 500 et le protocole esp vers le distant adresse ip publique.
Exemple:
Bye
OriginalL'auteur Wiz