Conexiunea IPsec/L2TP eșuează atunci când doi clienți au aceeași adresă LAN locală

Avem probleme ocazionale cu un VPN de acces la distanță IPsec/L2TP, oferit de strongSwan (charon).

Astăzi, un utilizator nu s-a putut conecta. Am văzut jurnalul charon și am observat că o altă sesiune existentă a fost afectată. Partea comună a fost adresa LAN locală (192.168.0.18).

Totul era liniștit în charon.log. Apoi utilizatorul B s-a conectat (50.xx.xx.xx). Imediat, sesiunea pentru utilizatorul A (70.xx.xx.xx) a creat jurnalele. Când încercarea utilizatorului B a eșuat (l2tp deconectat) totul a fost din nou liniștit.

Extras din jurnalul lui Charon:

16 iulie 01:14:59 01[IKE] <21363> 50.xxx.xxx.xxx inițiază un mod principal IKE_SA
16 iulie 01:14:59 08[IKE] <remote-access|21362> închiderea accesului la distanță CHILD_SA{45249} cu SPI-uri c9ea7827_i (59714 bytes) 08d6c880_o (43106 bytes) și TS 43106 ab. l2f] === 70.xxx.xxx.xxx/32[udp/63717]
Iul 16 01:14:59 08[IKE] <remote-access|21362> ștergerea IKE_SA remote-access[21362] între abc.61.143.254[abc.61.143.254]...70.xxx.xxx.xxx[ 192.168.0.18]
Jul 16 01:14:59 08[IKE] <remote-access|21363> IKE_SA remote-access[21363] stabilit între abc.61.143.254[abc.61.143.254]...50.xxx.xxx.xxx[ 192.168.0.18]
Jul 16 01:15:00 06[IKE] <remote-access|21363> CHILD_SA remote-access{45251} stabilit cu SPI-urile cc91da0f_i 0e42f461_o și TS abc.61.143.254/32[udp==2.150.150.]6 ==/15:00. /32[udp/58401]
16 iulie 01:15:02 15[IKE] <21364> 70.xxx.xxx.xxx inițiază un mod principal IKE_SA
Iul 16 01:15:03 11[IKE] <remote-access|21363> închiderea accesului la distanță CHILD_SA{45251} cu SPI-uri cc91da0f_i (331 bytes) 0e42f461_o (300 bytes) și TS abc.61dp/323[300] l2f] === 50.xxx.xxx.xxx/32[udp/58401]
Iul 16 01:15:03 11[IKE] <remote-access|21363> ștergerea IKE_SA remote-access[21363] între abc.61.143.254[abc.61.143.254]...50.xxx.xxx.xxx[ 192.168.0.18]
Jul 16 01:15:03 11[IKE] <remote-access|21364> IKE_SA remote-access[21364] stabilit între abc.61.143.254[abc.61.143.254]...70.xxx.xxx.xxx[ 192.168.0.18]
Jul 16 01:15:03 07[IKE] <remote-access|21364> CHILD_SA remote-access{45252} stabilit cu SPI-urile cca08f41_i 0da530b5_o și TS abc.61.143.254/32[udp/l2f]0xxx. .xxx.xxx/32[udp/63717]
16 iulie 01:15:22 11[IKE] <21365> 50.xxx.xxx.xxx inițiază un mod principal IKE_SA
Iul 16 01:15:23 07[IKE] <remote-access|21364> închiderea accesului la distanță CHILD_SA{45252} cu SPI-uri cca08f41_i (12135 octeți) 0da530b5_o (8428 octeți) și TS abc.214/1433[214/1414] l2f] === 70.xxx.xxx.xxx/32[udp/63717]
Iul 16 01:15:23 07[IKE] <remote-access|21364> ștergerea IKE_SA remote-access[21364] între abc.61.143.254[abc.61.143.254]...70.xxx.xxx.xxx[ 192.168.0.18]
Jul 16 01:15:23 07[IKE] <remote-access|21365> IKE_SA remote-access[21365] stabilit între abc.61.143.254[abc.61.143.254]...50.xxx.xxx.xxx[ 192.168.0.18]
Iul 16 01:15:23 12[IKE] <remote-access|21365> CHILD_SA remote-access{45253} stabilit cu SPI-uri c28d018d_i 0dbb052e_o și TS abc.61.143.254/32[udp=/l250.xxx] .xxx.xxx/32[udp/58401]
16 iulie 01:15:26 15[KNL] 10.255.255.0 a apărut pe ppp1
16 iulie 01:15:26 14[KNL] 10.255.255.0 a dispărut din ppp1

Nu văd cum adresa LAN locală ar putea afecta serverul.Dar conflictul dintre aceste două conexiuni este consistent. Și jurnalul este destul de înainte și după jurnalele de mai sus.

Problema este că clienții își trimit adresa IP privată ca identitate. Puteți vedea identitățile în [] în mesajele de jurnal:

ștergerea accesului la distanță IKE_SA[21362] între abc.61.143.254[abc.61.143.254]...70.xxx.xxx.xxx[192.168.0.18]
Acces la distanță IKE_SA[21363] stabilit între abc.61.143.254[abc.61.143.254]...50.xxx.xxx.xxx[192.168.0.18]

Deci ambele IKE_SA sunt între identități 192.168.0.18 și abc.61.143.254.

În funcție de setarea pentru unic (swanctl.conf) sau uniceide (ipsec.conf), duplicatul va fi șters. Pentru a evita acest lucru, dezactivați această verificare a unicității setând-o fie la Nu sau, dacă clientul trimite CONTACT INITIAL înştiinţează, către nu.