gaaronk Posted January 6, 2023 Posted January 6, 2023 Добрый день! Есть Giga III с софтом 3.8.5.4 - новее просто нет. GRE туннель с IPSec. В момент IPsec SA rekey происходит пересогласование CHILD_SA После 4х пересогласований IPsec рестартует. В логе появляется запись ndm: IpSec::CryptoMapInfo: "Gre1": too many active IKE/CHILD SA: 0/4. В моменты пересогласований (lifetime 60 секунд для тестов) в логе такое I [Jan 6 22:29:50] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 1, active CHILD SA: 0. I [Jan 6 22:29:50] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 1, active CHILD SA: 1. I [Jan 6 22:30:27] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 1. I [Jan 6 22:30:27] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:30:37] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:30:37] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:31:01] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:31:01] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 3. Такое поведение исправлено в ветке 3.9? Quote
gaaronk Posted January 7, 2023 Author Posted January 7, 2023 Одно лечим, другое калечим Версия 4.0 Alpha 2 1. Проблема с 4мя пресогласованиями решена 2. Для GRE интерфейса задан ipsec encryption-level strong, на другой стороне задано AES_CBC_128/HMAC_SHA1_96/MODP_2048. Этот набор согласно документации для пресет strong поддерживается. Но пока не настроишь AES_CBC_128/HMAC_SHA1_96/MODP_1536 - ничего не работает. MODP_2048 для PFS не используется Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.