LINUX.ORG.RU
ФорумAdmin

Strongswan теряет свзяь


0

1

Есть два сервера, между ними - IPSEC в транспортном режиме, под ним GRE туннель.

Конфиг:

config setup
    plutostart=no
    charondebug="ike 0, enc 0, net 0"

conn %default
    ikelifetime=360m
    keylife=60m
    rekeymargin=10m
    keyingtries=%forever
    authby=secret
    mobike=no
    keyexchange=ikev2
    auth=esp
    compress=yes
    ike=aes256gcm128-sha2_512-modp4096!
    esp=aes128gcm64-modp4096!
    type=transport
    closeaction=clear
    dpdaction=clear
    auto=start

conn srv1
    left=1.1.1.1
    right=2.2.2.2
В каких-то случаях при отсутствии связи между хостами в течении какого-то времени туннель удаляется и больше не появляется:
# ipsec status
Security Associations (0 up, 0 connecting):
  none
без closeaction/dpdaction то же самое.

Т.е. в какой-то момент траффик просто начинает ходить не шифрованым, что не айс совсем. Что можно сделать?

Strongswan 4.6.4

dpdaction=clear

А чего не restart?

thesis ★★★★★ ()
Ответ на: комментарий от thesis

C ним у меня charon на обоих сторонах туннеля начинает жрать 50-100% процессора.

blind_oracle ★★★★★ ()
Ответ на: комментарий от thesis

Решал в свое время, вроде даже тему тут создавал, без толку. В гуглях тоже долго рылся, решения не нашел.

Если выставить restart только с одного конца и перезапустить ipsec, то всё ок. Но если после этого перезапустить еще и с другого конца, то на обоих серверах харон начинает жрать 50%

Если сделать closeaction=clear/dpdaction=restart, то вроде как харон дуреть перестает, но как оно будет работать в таком режиме - хз, посмотрю.

Debian Wheezy x64, ядра разные пробовал, сейчас 3.9.4

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

Просто clear используется для подключений удаленного доступа, т.е. для roadwarrior'ов. Типа «клиент признан отвалившимся - забываем про него насовсем, когда захочет - сам переконнектится». Поэтому нужен restart.
Надо все же поискать, почему грузится проц.
А closeaction на время отладки можно вообще выкинуть, наверное.
BTW, щас слазил в ман, там пишут, что auth=esp «Only supported by the IKEv1 daemon pluto».

thesis ★★★★★ ()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Да, про clear я почитал, в общем-то так и полагал.

Closeaction при наличии DPD я так понял вообще не нужен. Если DPD отработает, то связь всё равно попробует восстановить.

auth=esp убрал, он остался еще со времен ikev1, хароном просто игнорировался я думаю.

Сейчас, только с dpdaction=restart, вроде как всё хорошо, посмотрю будет ли туннель падать.

Спасибо!

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

Дык не за что, «само заработало». Подождем, кастуй, если что.

thesis ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.