Tham gia Đăng nhập
Điểm:0
avatar Server

Nhiều IKE SA với Strongswan VPN

lá cờ cn
Cédric Girard

Tôi có một VPN giữa một máy chủ (Debian 10, Strongswan 5.7.2) và một máy chủ đối tác (Stormshield SN510). Tất cả đều chạy tốt, các máy chủ khác của tôi có thể kết nối với đối tác trên HTTPS thông qua VPN.

Nhưng IKE SA vẫn hoạt động cho đến khi tôi có 70 trong số chúng và điểm cuối VPN của đối tác gặp sự cố khi xử lý chúng.

Ví dụ: một tập hợp con nhỏ (tôi đã cố tình xóa mọi IP)

root@ipsec1:/etc# Sudo swanctl -l
đối tác: #1837, ĐÃ THÀNH LẬP, IKEv2
  thành lập 669s trước, reauth vào 19183s
  đối tác-giai đoạn2: #2629, yêu cầu 26, ĐÃ CÀI ĐẶT, ĐƯỜNG Hầm, ESP:AES_CBC-256/HMAC_SHA2_256_128
    đã cài đặt 669s trước, cài đặt lại vào những năm 1990, hết hạn vào những năm 2931
    trong cd63b8c2, 0 byte, 0 gói
    ra cacc8158, 0 byte, 0 gói
  đối tác-giai đoạn2: #2630, yêu cầu 26, ĐÃ CÀI ĐẶT, ĐƯỜNG Hầm, ESP:AES_CBC-256/HMAC_SHA2_256_128
    đã cài đặt 669s trước, rekeying vào 2087s, hết hạn vào 2931s
    trong c859fcff, 0 byte, 0 gói
    ra c2e8b52a, 0 byte, 0 gói
  đối tác-giai đoạn2: #2631, yêu cầu 26, ĐÃ CÀI ĐẶT, ĐƯỜNG Hầm, ESP:AES_CBC-256/HMAC_SHA2_256_128
    đã cài đặt 669s trước, cài đặt lại vào những năm 1853, hết hạn sau 2932s
    trong cb8845a0, 0 byte, 0 gói
    ra c3507f7a, 0 byte, 0 gói
  đối tác-giai đoạn2: #2632, yêu cầu 26, ĐÃ CÀI ĐẶT, ĐƯỜNG Hầm, ESP:AES_CBC-256/HMAC_SHA2_256_128
    đã cài đặt 668s trước, rekeying trong 2188s, hết hạn sau 2932s
    trong c281ec0f, 0 byte, 0 gói
    ra c290fff2, 0 byte, 0 gói
  đối tác-giai đoạn2: #2633, yêu cầu 26, ĐÃ CÀI ĐẶT, ĐƯỜNG Hầm, ESP:AES_CBC-256/HMAC_SHA2_256_128
    đã cài đặt 668s trước, cài đặt lại vào những năm 1913, hết hạn sau 2932s
    trong c73a42eb, 0 byte, 0 gói
    ra ca21c339, 0 byte, 0 gói

Đây là tập tin cấu hình

đối tác kết nối
        tự động = bắt đầu
        authby=bí mật
        keyexchange=ikev2
        ike=aes256-sha2_256-modp3072
        trái=xx.xx.xx.xx
        leftid=xx.xx.xx.xx
        đúng=xx.xx.xx.xx
        rightid=xx.xx.xx.xx
        ikelifetime=21600s
        hung hăng = không
        dpdtimeout=120 giây
        dpddelay=30s
        dpdaction=khởi động lại
        
kết nối đối tác-giai đoạn 2
        cũng = đối tác
        loại = đường hầm
        đặc biệt=aes256-sha2_256-modp3072
        nén = không
        leftsubnet=xx.xx.xx.xx/32,xx.xx.xx.xx/32,xx.xx.xx.xx/32
        rightsubnet=xx.xx.xx.xx/24
        trọn đời=3600s

Trích xuất từ ​​charon.log

[25/11/2021 10:22:57] 06[IKE] <partner|1837> đang kích hoạt tác vụ CHILD_REKEY
[25/11/2021 10:22:57] 06[IKE] <partner|1837> thiết lập đối tác CHILD_SA giai đoạn 2{2675} yêu cầu 26
[25/11/2021 10:22:57] 06[ENC] <partner|1837> tạo yêu cầu CREATE_CHILD_SA 80 [ N(REKEY_SA) SA No KE TSi TSr ]
[25/11/2021 10:22:57] 06[NET] <partner|1837> gửi gói: từ xx.xx.xx.xx[4500] đến xx.xx.xx.xx[4500] (736 byte)
[25/11/2021 10:22:58] 16[NET] <partner|1837> gói đã nhận: từ xx.xx.xx.xx[4500] đến xx.xx.xx.xx[4500] (208 byte)
[25/11/2021 10:22:58] 16[ENC] <partner|1837> đã phân tích cú pháp phản hồi CREATE_CHILD_SA 80 [ N(ESP_TFC_PAD_N) SA Không TSi TSr ]
[25-11-2021 10:22:58] 16[IKE] <partner|1837> đã nhận được thông báo ESP_TFC_PADDING_NOT_SUPPORTED
[25/11/2021 10:22:58] 16[IKE] <partner|1837> đã nhận được ESP_TFC_PADDING_NOT_SUPPORTED, không sử dụng phần đệm ESPv3 TFC
[25/11/2021 10:22:58] 16[CFG] <đối tác|1837> đề xuất đã chọn: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
[25/11/2021 10:22:58] 16[IKE] <partner|1837> bỏ qua sàn giao dịch KE, đồng ý với đề xuất không phải PFS
[25/11/2021 10:22:58] 16[IKE] <partner|1837> đối tác CHILD_SA nội địa-giai đoạn 2{2675} được thiết lập với SPI nhượng52fe_i c22f460a_o và TS xx.xx.xx.xx/32 === xx. xx.xx.xx/24
[25/11/2021 10:22:58] 16[IKE] <partner|1837> đối tác CHILD_SA hướng ngoại-giai đoạn 2{2675} được thành lập với các SPI nhượng52fe_i c22f460a_o và TS xx.xx.xx.xx/32 === xx. xx.xx.xx/24
[25/11/2021 10:22:58] 16[IKE] <partner|1837> bắt đầu lại các tác vụ đã hoạt động
[25-11-2021 10:22:58] 16[IKE] <partner|1837> nhiệm vụ CHILD_REKEY
[25/11/2021 10:22:58] 16[IKE] <partner|1837> đóng CHILD_SA đối tác-giai đoạn2{2641} với SPI c48f9704_i (0 byte) c8d17eb6_o (0 byte) và TS xx.xx.xx.xx /32 === xx.xx.xx.xx/24
[25/11/2021 10:22:58] 16[IKE] <partner|1837> đang gửi XÓA cho ESP CHILD_SA bằng SPI c48f9704
[25/11/2021 10:22:58] 16[ENC] <partner|1837> tạo yêu cầu THÔNG TIN 81 [ D ]
[25/11/2021 10:22:58] 16[NET] <partner|1837> gửi gói: từ xx.xx.xx.xx[4500] đến xx.xx.xx.xx[4500] (80 byte)
[25/11/2021 10:22:58] 07[NET] <partner|1837> đã nhận gói: từ xx.xx.xx.xx[4500] đến xx.xx.xx.xx[4500] (80 byte)
[25/11/2021 10:22:58] 07[ENC] <partner|1837> đã phân tích cú pháp phản hồi THÔNG TIN 81 [ D ]
[25/11/2021 10:22:58] 07[IKE] <partner|1837> đã nhận được XÓA cho ESP CHILD_SA với SPI c8d17eb6
[25/11/2021 10:22:58] 07[IKE] <partner|1837> CHILD_SA đã đóng cửa
[25/11/2021 10:22:58] 07[IKE] <partner|1837> kích hoạt nhiệm vụ mới
[25-11-2021 10:22:58] 07[IKE] <partner|1837> không có gì để bắt đầu
69
0 + 0
lá cờ cn
ecdsa
Đầu ra trạng thái hiển thị nhiều CHILD_SA, không phải IKE_SA. Hoặc có IKE_SA nào khác mà bạn cắt không? Nhật ký không thực sự hữu ích vì nó chỉ hiển thị việc nhập lại khóa thông thường. Bạn phải đọc nhật ký ngay từ đầu (khi IKE_SA được tạo) và theo dõi nhật ký đó để xem CHILD_SA được tạo khi nào và bởi ai (có thể là đầu kia trong trường hợp đó bạn phải đọc nhật ký của họ để xem tại sao).
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.