Thỉnh thoảng chúng tôi gặp sự cố với VPN truy cập từ xa IPsec/L2TP do StrongSwan (charon) cung cấp.
Hôm nay một người dùng không thể kết nối. Tôi đã xem nhật ký charon và nhận thấy rằng một phiên hiện có khác đã bị ảnh hưởng. Phần chung là địa chỉ mạng LAN cục bộ (192.168.0.18).
Tất cả đều yên lặng trong charon.log. Sau đó, người dùng B được kết nối (50.xx.xx.xx). Ngay lập tức phiên cho người dùng A (70.xx.xx.xx) được tạo nhật ký. Khi nỗ lực của người dùng B không thành công (l2tp bị ngắt kết nối), tất cả lại im lặng.
Đoạn trích nhật ký Charon:
Ngày 16 tháng 7 01:14:59 01[IKE] <21363> 50.xxx.xxx.xxx đang bắt đầu Chế độ chính IKE_SA
Ngày 16 tháng 7 01:14:59 08[IKE] <remote-access|21362> đóng quyền truy cập từ xa CHILD_SA{45249} với SPI c9ea7827_i (59714 byte) 08d6c880_o (43106 byte) và TS abc.61.143.254/32[udp/ l2f] === 70.xxx.xxx.xxx/32[udp/63717]
Ngày 16 tháng 7 01:14:59 08[IKE] <truy cập từ xa|21362> xóa IKE_SA truy cập từ xa[21362] giữa abc.61.143.254[abc.61.143.254]...70.xxx.xxx.xxx[ 192.168.0.18]
Ngày 16 tháng 7 01:14:59 08[IKE] <truy cập từ xa|21363> IKE_SA truy cập từ xa[21363] được thiết lập giữa abc.61.143.254[abc.61.143.254]...50.xxx.xxx.xxx[ 192.168.0.18]
Ngày 16 tháng 7 01:15:00 06[IKE] <remote-access|21363> CHILD_SA truy cập từ xa{45251} được thiết lập với SPI cc91da0f_i 0e42f461_o và TS abc.61.143.254/32[udp/l2f] === 50.68.170.211 /32[udp/58401]
Ngày 16 tháng 7 01:15:02 15[IKE] <21364> 70.xxx.xxx.xxx đang bắt đầu Chế độ chính IKE_SA
Ngày 16 tháng 7 01:15:03 11[IKE] <remote-access|21363> đóng quyền truy cập từ xa CHILD_SA{45251} với SPI cc91da0f_i (331 byte) 0e42f461_o (300 byte) và TS abc.61.143.254/32[udp/ l2f] === 50.xxx.xxx.xxx/32[udp/58401]
Ngày 16 tháng 7 01:15:03 11[IKE] <truy cập từ xa|21363> xóa IKE_SA truy cập từ xa[21363] giữa abc.61.143.254[abc.61.143.254]...50.xxx.xxx.xxx[ 192.168.0.18]
Ngày 16 tháng 7 01:15:03 11[IKE] <truy cập từ xa|21364> IKE_SA truy cập từ xa[21364] được thiết lập giữa abc.61.143.254[abc.61.143.254]...70.xxx.xxx.xxx[ 192.168.0.18]
Ngày 16 tháng 7 01:15:03 07[IKE] <remote-access|21364> CHILD_SA truy cập từ xa{45252} được thiết lập với SPI cca08f41_i 0da530b5_o và TS abc.61.143.254/32[udp/l2f] === 70.xxx .xxx.xxx/32[udp/63717]
Ngày 16 tháng 7 01:15:22 11[IKE] <21365> 50.xxx.xxx.xxx đang bắt đầu Chế độ chính IKE_SA
Ngày 16 tháng 7 01:15:23 07[IKE] <remote-access|21364> đóng quyền truy cập từ xa CHILD_SA{45252} với SPI cca08f41_i (12135 byte) 0da530b5_o (8428 byte) và TS abc.61.143.254/32[udp/ l2f] === 70.xxx.xxx.xxx/32[udp/63717]
Ngày 16 tháng 7 01:15:23 07[IKE] <truy cập từ xa|21364> xóa IKE_SA truy cập từ xa[21364] giữa abc.61.143.254[abc.61.143.254]...70.xxx.xxx.xxx[ 192.168.0.18]
Ngày 16 tháng 7 01:15:23 07[IKE] <truy cập từ xa|21365> IKE_SA truy cập từ xa[21365] được thiết lập giữa abc.61.143.254[abc.61.143.254]...50.xxx.xxx.xxx[ 192.168.0.18]
Ngày 16 tháng 7 01:15:23 12[IKE] <remote-access|21365> CHILD_SA truy cập từ xa{45253} được thiết lập với SPI c28d018d_i 0dbb052e_o và TS abc.61.143.254/32[udp/l2f] === 50.xxx .xxx.xxx/32[udp/58401]
Ngày 16 tháng 7 01:15:26 15[KNL] 10.255.255.0 đã xuất hiện trên ppp1
Ngày 16 tháng 7 01:15:26 14[KNL] 10.255.255.0 biến mất khỏi ppp1
Tôi không thể thấy địa chỉ mạng LAN cục bộ có thể ảnh hưởng đến máy chủ như thế nào.Nhưng xung đột giữa hai kết nối này là nhất quán. Và nhật ký khá trước và sau các nhật ký trên.
