Перейти к содержанию
Официальное хранилище ПО в виде файлов
  • 0

IPIP over IPsec на 2.11 - два CHILD_SA

KorDen

Ответ от KorDen,

 Поделиться

Вопрос

KorDen Старожил

KorDen

Опубликовано
Опубликовано (изменено)

"Клиент" Giga II на 2.11.D.5, заметил что создается второй CHILD_SA, на 2.15+ такого не видно. Похоже из-за скачка времени при синхронизации NTP во время загрузки. (NTP-сервер доступен уже после поднятия IPIP, на 2.15 есть аналогичная конфигурация)

В итоге оно так постоянно и пересогласует по два CHILD_SA, по второму трафика всегда нет.

Изменено пользователем KorDen

6 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
r13 Старожил

r13

Опубликовано
Опубликовано
7 минут назад, KorDen сказал:

"Клиент" Giga II на 2.11.D.5, заметил что создается второй CHILD_SA, на 2.15+ такого не видно. Похоже из-за скачка времени при синхронизации NTP во время загрузки. (NTP-сервер доступен уже после поднятия IPIP, на 2.15 есть аналогичная конфигурация)

В итоге оно так постоянно и пересогласует по два CHILD_SA, по второму трафика всегда нет.

У меня на всех версиях так, и всегда так было. Думал так и надо 

1 ike и 2 sa на ipip туннель 

  • 0
KorDen Старожил

KorDen

Опубликовано
  • Автор
Опубликовано (изменено)
5 минут назад, r13 сказал:

Думал так и надо 

Нет. Нормальное рабочее состояние - 1 IKE_SA (control channel) и 1 CHILD_SA (data channel). 2 CHILD_SA - это разве что при Make-before-break и то на короткий интервал.

На туннеле 2.15 - 2.15 между MT7628 1 CHILD_SA

Изменено пользователем KorDen
  • 0
r13 Старожил

r13

Опубликовано
Опубликовано
1 минуту назад, KorDen сказал:

Нет. Нормальное рабочее состояние - 1 IKE_SA (control channel) и 1 CHILD_SA (data channel). 2 CHILD_SA - это разве что при Make-before-break и то на короткий интервал.

На туннеле 2.15 - 2.15 между MT7628 1 CHILD_SA

У меня с make before их 4 😊

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано

IRL раньше (до 3.10+) ядро не умело правильно обрабатывать ситуацию с устареванием CHILD_SA при резком прыжке во времени (во времена прошивки 2.06).

Потому был сделан костыль с внешней проверкой.

Потом я перенес в 3.4 патчи, которые умеют обрабатывать прыжки (это было в 2.08), но костыль так и остался.

На 2.11 / 2.16 я менять ничего не буду скорее всего, есть оно не просит, но разлом совместимости где-то может быть.

А вот в актуальной версии пожалуй стоит удалить внешнюю проверку, но это произойдет когда буду затягивать новую версию strongswan.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю