Điểm:-1

Máy khách Strongswan & Windows: kết nối bị treo sau vài phút

lá cờ sa

Trên VPS AWS, tôi đã cài đặt Strongswan để sử dụng nó làm VPN. Nó hoạt động tốt với máy khách iPhone. Tuy nhiên, khi tôi cố gắng kết nối từ máy khách Windows, kết nối SA được thiết lập thành công và hoạt động tốt trong vài phút, nhưng sau vài phút (2 đến 10 phút, trong hầu hết các trường hợp là 2 phút trở lên), kết nối bị treo và dừng giao thông đi qua. Có vẻ như cả hai bên đều thấy kết nối vẫn còn, ít nhất là tôi không thể thấy bất kỳ dấu hiệu lỗi nào.

Tôi đã dành vài ngày để cố gắng tìm ra vấn đề. Dường như có khá ít tài liệu trên Internet mô tả những tình huống như vậy.Ngoài ra, tôi chưa quen với quản trị và mạng Linux, vì vậy có thể tôi đã thấy mô tả về vấn đề này và giải pháp cho nó, nhưng tôi không thể hiểu được. Tôi sẽ rất biết ơn vì bất kỳ sự giúp đỡ nào.

Dưới là ipsec.conf (Ở đây IP bên ngoài thực của máy chủ được thay thế bằng EXT.SRVR.IP.ADR)

thiết lập cấu hình
    uniqueids=không bao giờ
    charondebug="ike 2, knl 2, cfg 2, net 2, đặc biệt 2, dmn 2, mgr 2"

kết nối %default
    keyexchange=ikev2
    ike=aes128gcm16-sha2_256-prfsha256-ecp256,aes256-sha2_256-prfsha256-modp2048!
    esp=aes128gcm16-sha2_256-ecp256,aes256-sha1!
    phân mảnh = có
    gõ lại = không
    nén = có
    dpdaction=xóa
    còn lại =% bất kỳ
    leftauth=pubkey
    leftsourceip=EXT.SRVR.IP.ADR
    leftid=EXT.SRVR.IP.ADR
    leftcert=debian.pem
    leftsendcert=luôn luôn
    leftsubnet=0.0.0.0/0
    đúng =% bất kỳ
    rightauth=pubkey
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4

liên kết ikev2-pubkey
    auto=thêm

Và đây là một đoạn trích từ ipsec.log (IP thực được thay thế bằng "EXT.SRVR.IP.ADR", "INT.SRVR.IP.ADR""MY.CLNT.IP.ADR" đối với IP bên ngoài của máy chủ, IP bên trong của nó và ứng dụng khách Windows của tôi tương ứng, các dòng rõ ràng không liên quan sẽ bị bỏ qua)

Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 03[NET] gói đã nhận: từ MY.CLNT.IP.ADR[500] đến INT.SRVR.IP.ADR[500]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 03[NET] đang chờ dữ liệu trên ổ cắm
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[MGR] kiểm tra IKEv2 SA bằng tin nhắn với SPI cc34c04e15f31fd2_i 0000000000000000_r
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[MGR] đã tạo IKE_SA (chưa đặt tên)[1]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[NET] gói đã nhận: từ MY.CLNT.IP.ADR[500] đến INT.SRVR.IP.ADR[500] (536 byte)
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[ENC] đã phân tích cú pháp yêu cầu IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] đang tìm cấu hình ike cho INT.SRVR.IP.ADR...MY.CLNT.IP.ADR
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] ứng cử viên: %any...%any, trước ngày 28
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] đã tìm thấy cấu hình ike phù hợp: %any...%any với phiên bản trước 28
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[IKE] MY.CLNT.IP.ADR đang khởi tạo IKE_SA
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[IKE] IKE_SA (không tên)[1] thay đổi trạng thái: TẠO => KẾT NỐI
17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] lựa chọn đề xuất:
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] không tìm thấy ENCRYPTION_ALGORITHM được chấp nhận
17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] lựa chọn đề xuất:
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] không tìm thấy ENCRYPTION_ALGORITHM được chấp nhận
17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] lựa chọn đề xuất:
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] không tìm thấy ENCRYPTION_ALGORITHM được chấp nhận
17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] lựa chọn đề xuất:
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] không tìm thấy PSEUDO_RANDOM_FUNCTION được chấp nhận
17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] lựa chọn đề xuất:
17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] đề xuất phù hợp
Mar 17 12:41:17 server-name charon: 07[CFG] received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_2048
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] đề xuất được định cấu hình: IKE:AES_GCM_16_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[CFG] đề xuất đã chọn: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[IKE] máy chủ lưu trữ cục bộ đứng sau NAT, đang gửi các bản cập nhật liên tục
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[IKE] máy chủ từ xa đứng sau NAT
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[IKE] gửi yêu cầu chứng chỉ cho "CN=EXT.SRVR.IP.ADR"
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[ENC] tạo phản hồi IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[NET] gửi gói: từ INT.SRVR.IP.ADR[500] đến MY.CLNT.IP.ADR[500] (465 byte)
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 04[NET] gửi gói: từ INT.SRVR.IP.ADR[500] đến MY.CLNT.IP.ADR[500]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[MGR] đăng ký IKE_SA (chưa đặt tên)[1]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 07[MGR] đăng ký IKE_SA thành công
Ngày 17 tháng 3 12:41:17 server-name charon: 03[NET] đã nhận gói: từ MY.CLNT.IP.ADR[4500] đến INT.SRVR.IP.ADR[4500]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 03[NET] đang chờ dữ liệu trên ổ cắm
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[MGR] kiểm tra IKEv2 SA bằng tin nhắn với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[MGR] IKE_SA (chưa đặt tên)[1] đã thanh toán thành công
Ngày 17 tháng 3 12:41:17 server-name charon: 08[NET] đã nhận gói: từ MY.CLNT.IP.ADR[4500] đến INT.SRVR.IP.ADR[4500] (3408 byte)
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[ENC] đã phân tích cú pháp yêu cầu IKE_AUTH 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV) SA TSi TSr ]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] đã nhận được yêu cầu chứng nhận cho ca không xác định với keyid 39:9e:66:a7:20:3c:4d:06:fb:62:6b:65:87: 22:35:57:a0:a0:0a:22
...
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] đã nhận được yêu cầu chứng nhận cho ca không xác định với keyid 01:f0:33:4c:1a:a1:d9:ee:5b:7b:a9:de:43: bc:02:7d:57:09:33:fb
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] đã nhận được yêu cầu chứng chỉ cho "CN=EXT.SRVR.IP.ADR"
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] đã nhận được yêu cầu chứng nhận cho ca không xác định với keyid 88:a9:5a:ef:c0:84:fc:13:74:41:6b:b1:63: 32:c2:cf:92:59:bb:3b
...
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] đã nhận được yêu cầu chứng nhận cho ca không xác định với keyid 4f:9c:7d:21:79:9c:ad:0e:d8:b9:0c:57:9f: 1a:02:99:e7:90:f3:87
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] đã nhận được 67 yêu cầu chứng chỉ cho một ca không xác định
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] đã nhận được chứng chỉ thực thể cuối "CN=me"
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] đang tìm cấu hình ngang hàng phù hợp với INT.SRVR.IP.ADR[%any]...MY.CLNT.IP.ADR[CN=me]
17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] ứng cử viên "ikev2-pubkey", trận đấu: 1/1/28 (tôi/khác/ike)
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] đã chọn cấu hình ngang hàng 'ikev2-pubkey'
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] sử dụng chứng chỉ "CN=me"
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] chứng chỉ Khóa "CN=me": RSA 4096 bit
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] sử dụng chứng chỉ ca đáng tin cậy "CN=EXT.SRVR.IP.ADR"
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] kiểm tra trạng thái chứng chỉ của "CN=me"
17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] kiểm tra ocsp bị bỏ qua, không tìm thấy ocsp
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] trạng thái chứng chỉ không khả dụng
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] chứng chỉ "CN=EXT.SRVR.IP.ADR" khóa: RSA 4096 bit
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] đã đạt đến root ca tự ký với độ dài đường dẫn là 0
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] xác thực 'CN=me' với chữ ký RSA thành công
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] đang xử lý thuộc tính INTERNAL_IP4_ADDRESS
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] đang xử lý thuộc tính INTERNAL_IP4_DNS
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] đang xử lý thuộc tính INTERNAL_IP4_NBNS
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] đang xử lý thuộc tính INTERNAL_IP4_SERVER
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] ngang hàng hỗ trợ MOBIKE
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] xác thực 'EXT.SRVR.IP.ADR' (chính tôi) với chữ ký RSA thành công
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] IKE_SA ikev2-pubkey[1] được thiết lập giữa INT.SRVR.IP.ADR[EXT.SRVR.IP.ADR]...MY.CLNT.IP. ADR[CN=me]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] IKE_SA ikev2-pubkey[1] thay đổi trạng thái: KẾT NỐI => THÀNH LẬP
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] gửi chứng chỉ thực thể cuối "CN=EXT.SRVR.IP.ADR"
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] ngang hàng yêu cầu IP ảo %any
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] chỉ định hợp đồng thuê mới cho 'CN=me'
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] gán IP ảo 10.10.10.1 cho ngang hàng 'CN=me'
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] xây dựng thuộc tính INTERNAL_IP4_DNS
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] xây dựng thuộc tính INTERNAL_IP4_DNS
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] đang tìm cấu hình con cho 0.0.0.0/0 === 0.0.0.0/0
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] đề xuất bộ chọn lưu lượng truy cập cho chúng tôi:
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] 0.0.0.0/0
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] đề xuất bộ chọn lưu lượng truy cập cho:
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] 10.10.10.1/32
17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] ứng cử viên "ikev2-pubkey" với ưu tiên 5+1
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] đã tìm thấy cấu hình con phù hợp "ikev2-pubkey" với phần trước 6
17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] lựa chọn đề xuất:
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] không tìm thấy ENCRYPTION_ALGORITHM được chấp nhận
17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] lựa chọn đề xuất:
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] không tìm thấy ENCRYPTION_ALGORITHM được chấp nhận
17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] lựa chọn đề xuất:
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] không tìm thấy ENCRYPTION_ALGORITHM được chấp nhận
17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] lựa chọn đề xuất:
17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] đề xuất phù hợp
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] đã nhận được đề xuất: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] đề xuất được định cấu hình: ESP:AES_GCM_16_128/ECP_256/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] đề xuất đã chọn: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] got SPI c6bcf84d
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] chọn bộ chọn lưu lượng truy cập cho chúng tôi:
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] config: 0.0.0.0/0, đã nhận: 0.0.0.0/0 => khớp: 0.0.0.0/0
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] chọn bộ chọn lưu lượng truy cập cho khác:
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[CFG] config: 10.10.10.1/32, đã nhận: 0.0.0.0/0 => khớp: 10.10.10.1/32
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] thêm mục SAD với SPI c6bcf84d và reqid {1}
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] sử dụng thuật toán mã hóa AES_CBC với kích thước khóa 256
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] sử dụng thuật toán toàn vẹn HMAC_SHA1_96 với kích thước khóa 160
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] sử dụng cửa sổ phát lại 32 gói
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] thêm mục nhập SAD với SPI b74162a4 và yêu cầu {1}
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] sử dụng thuật toán mã hóa AES_CBC với kích thước khóa 256
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] sử dụng thuật toán toàn vẹn HMAC_SHA1_96 với kích thước khóa 160
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] sử dụng cửa sổ phát lại 0 gói
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] thêm chính sách 0.0.0.0/0 === 10.10.10.1/32 ra [ưu tiên 391808, đếm lại 1]
Ngày 17 tháng 3 12:41:17 chính sách tên máy chủ charon: 08[KNL] đã tồn tại, hãy thử cập nhật nó
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] thêm chính sách 10.10.10.1/32 === 0.0.0.0/0 trong [ưu tiên 391808, đếm lại 1]
Ngày 17 tháng 3 12:41:17 chính sách tên máy chủ charon: 08[KNL] đã tồn tại, hãy thử cập nhật nó
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] thêm chính sách 10.10.10.1/32 === 0.0.0.0/0 fwd [ưu tiên 391808, refcount 1]
Ngày 17 tháng 3 12:41:17 chính sách tên máy chủ charon: 08[KNL] đã tồn tại, hãy thử cập nhật nó
Ngày 17 tháng 3 12:41:17 server-name charon: 08[KNL] policy 0.0.0.0/0 === 10.10.10.1/32 out đã tồn tại, tăng số lượng truy cập
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] cập nhật chính sách 0.0.0.0/0 === 10.10.10.1/32 hết [ưu tiên 191808, refcount 2]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] nhận địa chỉ cục bộ trong bộ chọn lưu lượng truy cập 0.0.0.0/0
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] sử dụng máy chủ %any
Ngày 17 tháng 3 12:41:17 server-name charon: 08[KNL] lấy tên iface cho chỉ mục 2
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] sử dụng 172.26.0.1 làm nexthop và eth0 làm nhà phát triển để truy cập MY.CLNT.IP.ADR/32
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] tuyến cài đặt: 10.10.10.1/32 qua 172.26.0.1 src %any dev eth0
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] nhận chỉ mục iface cho eth0
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] chính sách 10.10.10.1/32 === 0.0.0.0/0 trong đã tồn tại, tăng số lượng truy cập
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] cập nhật chính sách 10.10.10.1/32 === 0.0.0.0/0 trong [ưu tiên 191808, refcount 2]
Ngày 17 tháng 3 12:41:17 server-name charon: 08[KNL] policy 10.10.10.1/32 === 0.0.0.0/0 fwd đã tồn tại, tăng số lượng truy cập
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[KNL] cập nhật chính sách 10.10.10.1/32 === 0.0.0.0/0 fwd [priority 191808, refcount 2]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[IKE] CHILD_SA ikev2-pubkey{1} được thiết lập với SPI c6bcf84d_i b74162a4_o và TS 0.0.0.0/0 === 10.10.10.1/32
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[ENC] tạo phản hồi IKE_AUTH 1 [ IDr CERT AUTH CPRP(ADDR DNS DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_6_ADDR) ]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[NET] gửi gói: từ INT.SRVR.IP.ADR[4500] đến MY.CLNT.IP.ADR[4500] (2048 byte)
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 04[NET] gửi gói: từ INT.SRVR.IP.ADR[4500] đến MY.CLNT.IP.ADR[4500]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[MGR] đăng ký IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:41:17 tên máy chủ charon: 08[MGR] đăng ký IKE_SA thành công
Ngày 17 tháng 3 12:41:37 tên máy chủ charon: 10[MGR] thanh toán IKEv2 SA với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:41:37 tên máy chủ charon: 10[MGR] IKE_SA ikev2-pubkey[1] đã kiểm tra thành công
Ngày 17 tháng 3 12:41:37 tên máy chủ charon: 10[KNL] chính sách truy vấn 0.0.0.0/0 === 10.10.10.1/32 out
Ngày 17 tháng 3 12:41:37 tên máy chủ charon: 10[MGR] đăng ký IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:41:37 tên máy chủ charon: 10[MGR] đăng ký IKE_SA thành công
Ngày 17 tháng 3 12:41:47 tên máy chủ dhclient[358]: PRC: Gia hạn hợp đồng thuê trên eth0.
Ngày 17 tháng 3 12:41:47 tên máy chủ dhclient[358]: XMT: Gia hạn trên eth0, khoảng thời gian 9070ms.
Ngày 17 tháng 3 12:41:47 tên máy chủ dhclient[358]: RCV: Trả lời tin nhắn trên eth0 từ fe80::60:52ff:fe0a:c10e.
Ngày 17 tháng 3 12:41:47 tên máy chủ charon: 11[MGR] thanh toán IKEv2 SA với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:41:47 tên máy chủ charon: 11[MGR] IKE_SA ikev2-pubkey[1] đã kiểm tra thành công
Ngày 17 tháng 3 12:41:47 tên máy chủ charon: 11[MGR] đăng ký IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:41:47 tên máy chủ charon: 11[MGR] đăng ký IKE_SA thành công
Ngày 17 tháng 3 12:41:47 tên máy chủ charon: 12[MGR] thanh toán IKEv2 SA với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:41:47 tên máy chủ charon: 12[MGR] IKE_SA ikev2-pubkey[1] đã kiểm tra thành công
Ngày 17 tháng 3 12:41:47 tên máy chủ charon: 12[KNL] chính sách truy vấn 10.10.10.1/32 === 0.0.0.0/0 in
Ngày 17 tháng 3 12:41:47 tên máy chủ charon: 12[KNL] chính sách truy vấn 10.10.10.1/32 === 0.0.0.0/0 fwd
Ngày 17 tháng 3 12:41:47 tên máy chủ charon: 12[MGR] đăng ký IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:41:47 tên máy chủ charon: 12[MGR] đăng ký IKE_SA thành công
Ngày 17 tháng 3 12:41:56 tên máy chủ charon: 13[MGR] thanh toán IKEv2 SA với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:41:56 tên máy chủ charon: 13[MGR] IKE_SA ikev2-pubkey[1] đã kiểm tra thành công
Ngày 17 tháng 3 12:41:56 tên máy chủ charon: 13[KNL] chính sách truy vấn 0.0.0.0/0 === 10.10.10.1/32 out
Ngày 17 tháng 3 12:41:56 tên máy chủ charon: 13[MGR] đăng ký IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:41:56 tên máy chủ charon: 13[MGR] đăng ký IKE_SA thành công
...
Ngày 17 tháng 3 12:49:35 tên máy chủ charon: 16[MGR] thanh toán IKEv2 SA với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:49:35 tên máy chủ charon: 16[MGR] IKE_SA ikev2-pubkey[1] đã kiểm tra thành công
Ngày 17 tháng 3 12:49:35 tên máy chủ charon: 16[KNL] chính sách truy vấn 10.10.10.1/32 === 0.0.0.0/0 in
Ngày 17 tháng 3 12:49:35 tên máy chủ charon: 16[KNL] chính sách truy vấn 10.10.10.1/32 === 0.0.0.0/0 fwd
Ngày 17 tháng 3 12:49:35 tên máy chủ charon: 16[MGR] đăng ký IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:49:35 tên máy chủ charon: 16[MGR] đăng ký IKE_SA thành công
Ngày 17 tháng 3 12:49:51 tên máy chủ charon: 05[MGR] thanh toán IKEv2 SA với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:49:51 tên máy chủ charon: 05[MGR] IKE_SA ikev2-pubkey[1] đã kiểm tra thành công
Ngày 17 tháng 3 12:49:51 tên máy chủ charon: 05[KNL] chính sách truy vấn 0.0.0.0/0 === 10.10.10.1/32 out
Ngày 17 tháng 3 12:49:51 tên máy chủ charon: 05[MGR] đăng ký IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:49:51 tên máy chủ charon: 05[MGR] đăng ký IKE_SA thành công
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[MGR] thanh toán IKEv2 SA với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[MGR] IKE_SA ikev2-pubkey[1] đã kiểm tra thành công
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[KNL] chính sách truy vấn 10.10.10.1/32 === 0.0.0.0/0 in
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[KNL] chính sách truy vấn 10.10.10.1/32 === 0.0.0.0/0 fwd
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[IKE] gửi yêu cầu DPD
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[IKE] xếp hàng tác vụ IKE_DPD
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[IKE] kích hoạt nhiệm vụ mới
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[IKE] kích hoạt tác vụ IKE_DPD
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[ENC] tạo yêu cầu THÔNG TIN 0 [ ]
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[NET] gửi gói: từ INT.SRVR.IP.ADR[4500] đến MY.CLNT.IP.ADR[4500] (80 byte)
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[MGR] đăng ký IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 06[MGR] đăng ký IKE_SA thành công
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 04[NET] gửi gói: từ INT.SRVR.IP.ADR[4500] đến MY.CLNT.IP.ADR[4500]
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 03[NET] gói đã nhận: từ MY.CLNT.IP.ADR[4500] đến INT.SRVR.IP.ADR[4500]
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 03[NET] đang chờ dữ liệu trên ổ cắm
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 07[MGR] kiểm tra IKEv2 SA bằng tin nhắn với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 07[MGR] IKE_SA ikev2-pubkey[1] đã kiểm tra thành công
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 07[NET] gói đã nhận: từ MY.CLNT.IP.ADR[4500] đến INT.SRVR.IP.ADR[4500] (80 byte)
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 07[ENC] đã phân tích cú pháp Phản hồi THÔNG TIN 0 [ ]
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 07[IKE] kích hoạt nhiệm vụ mới
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 07[IKE] không có gì để bắt đầu
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 07[MGR] đăng ký IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:49:55 tên máy chủ charon: 07[MGR] đăng ký IKE_SA thành công
Ngày 17 tháng 3 12:49:57 tên máy chủ dhclient[358]: PRC: Gia hạn hợp đồng thuê trên eth0.
Ngày 17 tháng 3 12:49:57 tên máy chủ dhclient[358]: XMT: Gia hạn trên eth0, khoảng thời gian 10290ms.
Ngày 17 tháng 3 12:49:57 tên máy chủ dhclient[358]: RCV: Trả lời tin nhắn trên eth0 từ fe80::60:52ff:fe0a:c10e.
Ngày 17 tháng 3 12:49:59 tên máy chủ charon: 09[MGR] thanh toán IKEv2 SA với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:49:59 tên máy chủ charon: 09[MGR] IKE_SA ikev2-pubkey[1] đã kiểm tra thành công
Ngày 17 tháng 3 12:49:59 tên máy chủ charon: 09[MGR] đăng ký IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:49:59 tên máy chủ charon: 09[MGR] đăng ký IKE_SA thành công
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 03[NET] gói đã nhận: từ MY.CLNT.IP.ADR[4500] đến INT.SRVR.IP.ADR[4500]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 03[NET] đang chờ dữ liệu trên ổ cắm
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[MGR] kiểm tra IKEv2 SA bằng tin nhắn với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[MGR] IKE_SA ikev2-pubkey[1] đã kiểm xuất thành công
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[NET] gói đã nhận: từ MY.CLNT.IP.ADR[4500] đến INT.SRVR.IP.ADR[4500] (80 byte)
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[ENC] đã phân tích cú pháp YÊU cầu THÔNG TIN 2 [ D ]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[IKE] đã nhận được XÓA cho ESP CHILD_SA với SPI b74162a4
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] truy vấn mục nhập SAD với SPI c6bcf84d
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] truy vấn mục SAD với SPI b74162a4
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[IKE] đóng CHILD_SA ikev2-pubkey{1} với SPI c6bcf84d_i (1148939 byte) b74162a4_o (21040410 byte) và TS 0.0.0.0/0 === 10.10.10.1/ 32
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[IKE] gửi XÓA cho ESP CHILD_SA với SPI c6bcf84d
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[IKE] CHILD_SA đã đóng
Ngày 17 tháng 3 12:50:00 server-name charon: 08[KNL] xóa chính sách 0.0.0.0/0 === 10.10.10.1/32 out
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] chính sách vẫn được sử dụng bởi một CHILD_SA khác, không bị xóa
Ngày 17 tháng 3 12:50:00 server-name charon: 08[KNL] cập nhật chính sách 0.0.0.0/0 === 10.10.10.1/32 out [ưu tiên 391808, refcount 1]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] xóa chính sách 10.10.10.1/32 === 0.0.0.0/0 trong
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] chính sách vẫn được sử dụng bởi một CHILD_SA khác, không bị xóa
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] cập nhật chính sách 10.10.10.1/32 === 0.0.0.0/0 trong [ưu tiên 391808, refcount 1]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] xóa chính sách 10.10.10.1/32 === 0.0.0.0/0 fwd
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] chính sách vẫn được sử dụng bởi một CHILD_SA khác, không bị xóa
Ngày 17 tháng 3 12:50:00 server-name charon: 08[KNL] cập nhật chính sách 10.10.10.1/32 === 0.0.0.0/0 fwd [ưu tiên 391808, refcount 1]
Ngày 17 tháng 3 12:50:00 server-name charon: 08[KNL] xóa chính sách 0.0.0.0/0 === 10.10.10.1/32 out
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] nhận chỉ mục iface cho eth0
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] xóa chính sách 10.10.10.1/32 === 0.0.0.0/0 trong
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] xóa chính sách 10.10.10.1/32 === 0.0.0.0/0 fwd
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] xóa mục nhập SAD bằng SPI c6bcf84d
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] đã xóa mục nhập SAD bằng SPI c6bcf84d
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] xóa mục nhập SAD bằng SPI b74162a4
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[KNL] đã xóa mục nhập SAD bằng SPI b74162a4
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[ENC] tạo phản hồi THÔNG TIN 2 [ D ]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[NET] gửi gói: từ INT.SRVR.IP.ADR[4500] đến MY.CLNT.IP.ADR[4500] (80 byte)
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[MGR] đăng ký IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 08[MGR] đăng ký IKE_SA thành công
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 04[NET] gửi gói: từ INT.SRVR.IP.ADR[4500] đến MY.CLNT.IP.ADR[4500]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 03[NET] gói đã nhận: từ MY.CLNT.IP.ADR[4500] đến INT.SRVR.IP.ADR[4500]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 03[NET] đang chờ dữ liệu trên ổ cắm
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[MGR] kiểm tra IKEv2 SA bằng tin nhắn với SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[MGR] IKE_SA ikev2-pubkey[1] đã kiểm tra thành công
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[NET] gói đã nhận: từ MY.CLNT.IP.ADR[4500] đến INT.SRVR.IP.ADR[4500] (80 byte)
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[ENC] đã phân tích cú pháp YÊU cầu THÔNG TIN 3 [ D ]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[IKE] đã nhận được XÓA cho IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[IKE] xóa IKE_SA ikev2-pubkey[1] giữa INT.SRVR.IP.ADR[EXT.SRVR.IP.ADR]...MY.CLNT.IP. ADR[CN=me]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[IKE] IKE_SA ikev2-pubkey[1] thay đổi trạng thái: THÀNH LẬP => XÓA
Ngày 17 tháng 3 12:50:00 ký tự tên máy chủ: 11[IKE] IKE_SA đã xóa
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[ENC] tạo phản hồi THÔNG TIN 3 [ ]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[NET] gửi gói: từ INT.SRVR.IP.ADR[4500] đến MY.CLNT.IP.ADR[4500] (80 byte)
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[MGR] đăng ký và hủy IKE_SA ikev2-pubkey[1]
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[IKE] IKE_SA ikev2-pubkey[1] thay đổi trạng thái: XÓA => PHÁ HỦY
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[CFG] thuê 10.10.10.1 bởi 'CN=me' đã ngoại tuyến
Ngày 17 tháng 3 12:50:00 tên máy chủ charon: 11[MGR] đăng ký và hủy IKE_SA thành công

Thuộc tính kết nối được báo cáo bởi Windows:

DataEncryption = Yêu cầu tối đa
Điều kiện tiên quyếtEntry = 
Tự động đăng nhập = Không
Sử dụngRasCredentials = Có
Loại xác thực = Chứng chỉ máy 
Ipv4DefaultGateway = Có
Ipv4AddressAssignment = Theo máy chủ
Ipv4DNSServerAssignment = Theo máy chủ
Ipv6DefaultGateway = Có
Ipv6AddressAssignment = Theo máy chủ
Ipv6DNSServerAssignment = Theo máy chủ
IpDnsFlags = Đăng ký hậu tố tên miền chính
IpNBTEEnabled = Có
UseFlags = Kết nối Riêng tư
ConnectOnWinlogon = Không
Đã bật tính di động cho IKEv2 = Có.
Người dùng quay số = quản trị viên
VpnStrategy = IKEv2

Khi kết nối bị đóng băng (không vượt qua lưu lượng truy cập), Swanctl --list-sas lặp lại những điều sau đây

ikev2-pubkey: #1, ĐÃ THÀNH LẬP, IKEv2, f77fbfbe7c371b32_i e0e250355a87db62_r*
   cục bộ 'EXT.SRVR.IP.ADR' @ INT.SRVR.IP.ADR[4500]
   từ xa 'CN=me' @ MY.CLNT.IP.ADR[4500] [10.10.10.1]
   AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
   thành lập 287s trước
   ikev2-pubkey: #1, yêu cầu 1, ĐÃ CÀI ĐẶT, TUNNEL-in-UDP, ESP:AES_CBC-256/HMAC_SHA1_96
     đã cài đặt 287 giây trước
     trong ce57563f, 792014 byte, 4493 gói, 150 giây trước
     ra 6b24b7fd, 10904301 byte, 10680 gói, 1 giây trước
     địa phương 0.0.0.0/0
     từ xa 10.10.10.1/32

Windows cũng hiển thị kết nối đang hoạt động và không có dấu hiệu lỗi trong trình xem sự kiện cũng như không có gói bị chặn có liên quan nào trong nhật ký tường lửa SEP.

Máy chủ: Debian 4.9.246-2, StrongSwan 5.5.1.

Máy khách: Windows 2008 R2, Agile VPN (được thiết lập thông qua thuộc tính kết nối)

Điều gì có thể là lý do của hành vi như vậy và làm thế nào để khắc phục nó?

Tôi có thể làm gì để tìm ra lý do chính xác?

Tôi sẽ rất biết ơn nếu được giúp đỡ.

CẬP NHẬT1: Kết nối bị treo thường xuyên nhất (hoặc có thể luôn luôn) khi lưu lượng gửi đi trở nên tương đối cao. Ví dụ, khi tôi đến thăm speedtest.net, kết nối bị treo một lúc khi nó cố gắng đo tốc độ tải lên.

CẬP NHẬT2: Các thiết bị khác hoạt động tốt trên cùng một mạng cục bộ, phía sau cùng một bộ định tuyến, NAT, ISP, v.v. Điều này cho thấy rõ ràng rằng sự cố chỉ liên quan đến máy cụ thể với W2k8. Có tường lửa SEP trên máy, nhưng nó không phải là thủ phạm -- tắt nó không ảnh hưởng đến hành vi. thiên nga cũng hầu như không liên quan, vì nó là một đường hầm đã được thiết lập sẵn và bị đóng băng.

lá cờ cn
Có vẻ là một vấn đề khách hàng. Chúng tôi thấy trong nhật ký rằng đầu tiên nó xóa CHILD_SA và sau đó là IKE_SA. Không có ý tưởng tại sao nó sẽ làm điều đó. Không chỉ việc xóa như vậy mà trước tiên, nó cũng xóa CHILD_SA vì dù sao việc xóa IKE_SA cũng sẽ xóa điều đó. Nó có đăng nhập gì không?
m. vokhm avatar
lá cờ sa
@ecdsa - Khi bạn nói "Nó có ghi nhật ký gì không?", bạn có nghĩa là tôi có thể tìm thấy nội dung nào đó có liên quan trong một số nhật ký khác không? Sau đó, tôi nhìn vào đâu? Hay tôi thay đổi cài đặt `charondebug` trong tệp conf để xem một số thông tin bổ sung? Sau đó, những gì tôi nên thay đổi?
lá cờ cn
Tôi đang đề cập đến khách hàng (có thể ở đâu đó trong trình xem sự kiện).
m. vokhm avatar
lá cờ sa
@ecdsa Ồ, tôi hiểu rồi. Không, không có gì liên quan đến vấn đề. Mọi thứ sẽ giống như nếu kết nối được thiết lập thành công, đã hoạt động được một thời gian và sau đó bị ngắt kết nối bởi người dùng.
Điểm:0
lá cờ sa

Lý do là một bộ định tuyến có cổng cục bộ không tốt. Wireshark đã chỉ ra rằng khá nhiều gói trong ethernet cục bộ đã bị mất. Trơn tcp các kết nối có thể bị hỏng nên tôi không thể nhận thấy sự hư hỏng, nhưng đặc biệt đường hầm đã bị đóng băng.

Tôi nhận ra rằng đó không phải là một thông báo quá nhiều thông tin, nhưng tôi đặt nó ở đây như một câu trả lời để những người khác có thể gặp phải vấn đề tương tự không mất quá nhiều thời gian để tìm kiếm, nghiên cứu hướng dẫn sử dụng và kiểm tra cấu hình, khi chỉ cần thay thế bộ định tuyến có thể giải quyết được vấn đề.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.