Потеря клиента ipsec туннеля приводит к отключению остальных ipsec клиентов

r13 · 24 июля, 2017

Столкнулся со следующей ситуацией

На ултре настроено несколько IPIP туннелей в режиме сервера.

Насильственно прибиваю клиента IPIP4(отключаю питание)

После безуспешных попыток восстановить IPIP4 происходит переинициализаця всего ipsec с отключением всех клиентов. В примере IPIP3

Это так и должно быть?

Селфтест далее...

Изменено 24 июля, 2017 пользователем r13

Le ecureuil · 24 июля, 2017

Проверим.

Le ecureuil · 24 июля, 2017

1 час назад, r13 сказал:

@Le ecureuil

Столкнулся со следующей ситуацией

На ултре настроено несколько IPIP туннелей в режиме сервера.

Насильственно прибиваю клиента IPIP4(отключаю питание)

После безуспешных попыток восстановить IPIP4 происходит переинициализаця всего ipsec с отключением всех клиентов. В примере IPIP3

Это так и должно быть?

Селфтест далее...

Не удалось воспроизвести, хаб спокойно переживает отпадание и переподключение одного из клиентов, при этом остальные не затрагиваются.

Нужно более точные сведения.

r13 · 24 июля, 2017

30 минут назад, Le ecureuil сказал:

Не удалось воспроизвести, хаб спокойно переживает отпадание и переподключение одного из клиентов, при этом остальные не затрагиваются.

Нужно более точные сведения.

В моем тесте к ультра2 подключено 2 клиента IPIP over IPSec v2 , туннели по параметрам одинаковые, отличаются только ip адреса.(еще болтается virtualip сервер)

На клиенте IPIP4 дергаю питание.

Север пытается восстановить соединение:

[I] Jul 24 19:00:20 ipsec: 12[IKE] retransmit 1 of request with message ID 0 
[I] Jul 24 19:00:29 ipsec: 14[IKE] retransmit 2 of request with message ID 0 
[I] Jul 24 19:00:39 ipsec: 15[IKE] retransmit 3 of request with message ID 0 
[I] Jul 24 19:00:50 ipsec: 07[IKE] retransmit 4 of request with message ID 0 
[I] Jul 24 19:01:01 ipsec: 09[IKE] retransmit 5 of request with message ID 0 
[I] Jul 24 19:01:14 ipsec: 16[IKE] retransmit 6 of request with message ID 0 
[I] Jul 24 19:01:28 ipsec: 16[IKE] retransmit 7 of request with message ID 0 
[I] Jul 24 19:01:44 ipsec: 14[IKE] retransmit 8 of request with message ID 0 
[I] Jul 24 19:02:01 ipsec: 12[IKE] giving up after 8 retransmits 
[E] Jul 24 19:02:01 ndm: IpSec::Configurator: remote peer of crypto map "IPIP4" is down.
[I] Jul 24 19:02:01 ndm: IpSec::Configurator: crypto map "IPIP4" active IKE SA: 0, active CHILD SA: 0.
[I] Jul 24 19:02:01 ndm: Network::Interface::SecureIPTunnel: "IPIP4": IPsec layer is down, shutdown tunnel layer.
[I] Jul 24 19:02:01 ndm: Network::Interface::SecureIPTunnel: "IPIP4": secured tunnel is down.
[I] Jul 24 19:02:01 ndm: IpSec::Manager: IP secure connection "IPIP4" was stopped.
[I] Jul 24 19:02:01 ipsec: 12[IKE] restarting CHILD_SA IPIP4 
[I] Jul 24 19:02:01 ipsec: 12[IKE] initiating IKE_SA IPIP4[78] to 192.168.1.66 
[I] Jul 24 19:02:02 ndm: IpSec::Configurator: crypto map "IPIP4" active IKE SA: 0, active CHILD SA: 0.
[I] Jul 24 19:02:02 ndm: IpSec::Configurator: crypto map "IPIP4" active IKE SA: 0, active CHILD SA: 0.
[I] Jul 24 19:02:02 ndm: kernel: EIP93: release SPI cd50f94c
[I] Jul 24 19:02:02 ndm: kernel: EIP93: release SPI c1eeca41

Далее идет реконфигурация ipsec

[I] Jul 24 19:02:02 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
[I] Jul 24 19:02:02 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
[I] Jul 24 19:02:03 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "VirtualIPServer".
[I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "IPIP2".
[I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "IPIP3".
[I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "IPIP4".
[I] Jul 24 19:02:03 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.
[I] Jul 24 19:02:03 ndm: IpSec::Configurator: start applying IPsec configuration.
[I] Jul 24 19:02:03 ndm: IpSec::Configurator: IPsec configuration applying is done.
[I] Jul 24 19:02:03 ndm: IpSec::Configurator: start reloading IPsec config task.
[I] Jul 24 19:02:03 ipsec: 10[CFG] received stroke: delete connection 'VirtualIPServer' 
[I] Jul 24 19:02:03 ipsec: 10[CFG] deleted connection 'VirtualIPServer' 
[I] Jul 24 19:02:03 ipsec: 05[CFG] received stroke: delete connection 'IPIP2' 
[I] Jul 24 19:02:03 ipsec: 05[CFG] deleted connection 'IPIP2' 
[I] Jul 24 19:02:03 ipsec: 06[CFG] received stroke: delete connection 'IPIP3' 
[I] Jul 24 19:02:03 ipsec: 06[CFG] deleted connection 'IPIP3' 
[I] Jul 24 19:02:03 ipsec: 15[CFG] received stroke: delete connection 'IPIP4' 
[I] Jul 24 19:02:03 ipsec: 15[CFG] deleted connection 'IPIP4' 
[I] Jul 24 19:02:03 ipsec: 00[DMN] signal of type SIGHUP received. Reloading configuration 
[I] Jul 24 19:02:03 ipsec: 09[CFG] received stroke: add connection 'VirtualIPServer' 
[I] Jul 24 19:02:03 ipsec: 00[CFG] loaded 0 entries for attr plugin configuration 
[I] Jul 24 19:02:03 ipsec: 09[CFG] reusing virtual IP address pool 172.20.0.1-172.20.0.65 
[I] Jul 24 19:02:03 ipsec: 09[CFG] added configuration 'VirtualIPServer' 
[I] Jul 24 19:02:03 ipsec: 07[CFG] received stroke: add connection 'IPIP2' 
[I] Jul 24 19:02:03 ipsec: 07[CFG] added configuration 'IPIP2' 
[I] Jul 24 19:02:03 ipsec: 10[CFG] received stroke: add connection 'IPIP3' 
[I] Jul 24 19:02:03 ipsec: 10[CFG] added configuration 'IPIP3' 
[I] Jul 24 19:02:03 ipsec: 05[CFG] received stroke: add connection 'IPIP4' 
[I] Jul 24 19:02:03 ipsec: 05[CFG] added configuration 'IPIP4' 
[I] Jul 24 19:02:04 ndm: IpSec::Configurator: reloading IPsec config task done.
[I] Jul 24 19:02:04 ndm: IpSec::Configurator: crypto map "IPIP3" shutdown started.
[I] Jul 24 19:02:04 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...

Приводящая к закрытию IPIP3

[I] Jul 24 19:02:04 ndm: IpSec::Configurator: crypto map "IPIP3" shutdown started.

Что еще нужно уточнить?

Изменено 24 июля, 2017 пользователем r13

r13 · 24 июля, 2017

Пару часов экспериментов, закономерность не нашел. Может обрываться, а может инет.

так что спишу пока на "подземный стук".

Если получиться выявить какую-то закономерность отпишусь.

r13 · 21 августа, 2017

Положу свежий селфтест с 2.10.A.6.0-0

KorDen · 1 октября, 2017

Словил нечто подобное, в моем случае попытки переподключиться к серверу в качестве клиента рестартовали и серверное подключение

Сменился внешний IP у роутера, нужно было обновить туннели. После смены IP первым обновил destination на удаленной гиге-клиенте (соединение IPIP2), и оно заработало. Затем пошел обновлять на сервере (strongswan 5.3.5/4.4.0-96-generic, соединение IPIP0), и при изменении ошибся в right. Т.е. rightsubnet был корректный, а right - нет, и сервер бесконечно отвечал NO_PROPOSAL_CHOSEN. В итоге все это время дергалось и IPIP2 (ну и VirtualIP заодно, короче говоря все)

Изменено 1 октября, 2017 пользователем KorDen

Войти

Потеря клиента ipsec туннеля приводит к отключению остальных ipsec клиентов

Рекомендуемые сообщения

r13

Le ecureuil

Le ecureuil

r13

r13

r13

KorDen

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация