înregistrare Logare
Puncte:1
ICT avatar Server

Probleme VPN de la site la site la IPsec după actualizarea recentă a kernelului Linux

drapel ke
ICT

Weekendul trecut am avut o actualizare automată de securitate pe unul dintre gateway-urile noastre VPN care conectează site-urile la mediul nostru cloud. După ce am efectuat depanarea (prin depanarea de bază a rețelei, de exemplu prin Wireshark), am identificat una dintre cele mai recente actualizări de securitate ca fiind cauza acestui lucru. Am restabilit sistemul la o stare bună cunoscută și am pus (credem că sunt) pachetele afectate în așteptare.

Este o instanță Ubuntu 20.04 LTS pe AWS cu linux-image-aws instalat. Folosim IPsec pentru a conecta mai multe EdgeRouter la un mediu cloud privat.

După actualizare, toate site-urile se conectează și comunică ca de obicei, de ex. ICMP funcționează, dar nu putem accesa anumite servicii (cum ar fi RDP sau SMB) în mediul cloud privat.

Jurnalele de modificări pentru pachetele aferente nu arată nicio modificare evidentă legată, așa că mă întreb dacă îmi lipsește ceva fundamental. Această configurație/setare a funcționat bine de peste un an, fără probleme.

Versiune bună cunoscută: linux-image-aws 5.8.0.1041.43~20.04.13

Versiune problematica: linux-image-aws 5.8.0.1042.44~20.04.14 și mai departe (am testat și ultimul 5.11 care pare să fie afectat)

Extras de configurare IPsec

# PRINCIPALA IPSEC VPN CONFIG
configurare

conn %implicit
        keyexchange=ikev1

# <ELIMINAT>
conn peer-rt1.<ELIMINAT>.net.au-tunnel-1
        stânga=%oricare
        dreapta=rt1.<ELIMINAT>.net.au
        rightid="%orice"
        leftsubnet=172.31.0.0/16
        rightsubnet=10.35.0.0/16
        ike=aes128-sha1-modp2048!
        keyexchange=ikev1
        ikelifetime=28800s
        esp=aes128-sha1-modp2048!
        keylife=3600s
        rekeymargin=540s
        tip=tunel
        compresa=nu
        authby=secret
        auto=rută
        keyingtries=%pentru totdeauna
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=repornire

Multumesc anticipat.

EDITARE 1: Am reușit să capturez un alt tcpdump dintr-o conexiune RDP nereușită după un alt upgrade de testare, care arată astfel:

21:43:01.813502 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [S], seq 2706968963, win 64954, options [mss 1460,nop,wscale 8,nop,nop,sack], length
21:43:01.813596 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [S], seq 2706968963, win 64954, options [mss 1460,nop,wscale 8,nop,nop,sack], length, sack
21:43:01.814238 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [S.], seq 152885333, ack 2706968964, win 64000, options [mss 1460,nop,nops,nop,nops,nop,nops] lungime 0
21:43:01.839105 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1, win 1025, length 0
21:43:01.839168 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1, win 1025, length 0
21:43:01.840486 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 1:48, ack 1, win 1025, length 47
21:43:01.840541 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 1:48, ack 1, win 1025, length 47
21:43:01.843746 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 1:20, ack 48, win 63953, length 19
21:43:01.922120 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 20, win 1025, length 0
21:43:01.922212 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 20, win 1025, length 0
21:43:01.932646 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 48:226, ack 20, win 1025, length 178
21:43:01.932729 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 48:226, ack 20, win 1025, length 178
21:43:01.940677 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 20:1217, ack 226, win 63775, length 1197
21:43:01.967343 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 226:408, ack 1217, win 1020, length 182
21:43:01.967417 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 226:408, ack 1217, win 1020, length 182
21:43:01.969452 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 1217:1324, ack 408, win 63593, length 107
21:43:02.044376 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1324, win 1020, length 0
21:43:02.044471 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1324, win 1020, length 0
21:43:02.135594 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 408:637, ack 1324, win 1020, length 229
21:43:02.135653 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 408:637, ack 1324, win 1020, length 229
21:43:02.136796 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 1324:2609, ack 637, win 63364, length 1285
21:43:02.212871 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 2609, win 1025, length 0
21:43:02.212940 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 2609, win 1025, length 0
95
1 + 4
Tim avatar
drapel gp
Tim
Dacă nu o puteți rezolva, vă gândiți să utilizați un serviciu VPN AWS ​​mai degrabă decât un server?
0
Răspunde
ICT avatar
drapel ke
ICT
Bună Tim. Acesta este un punct corect, ne-am gândit să folosim VPC, dar am vrut să păstrăm un anumit control asupra anumitor aspecte pe care le avem doar prin configurarea bazată pe mașină virtuală. Dar cu siguranță o vom lua în considerare în continuare dacă problemele persistă.
0
Răspunde
drapel cn
grasbueschel
Nu sunt sigur cum se raportează la versiunea pachetului, dar problemele MTU arată modele similare. Deoarece ICMP funcționează, aș încerca să măresc dimensiunea pachetului ICMP pentru a vedea dacă există o anumită dimensiune maximă pentru pachetele care funcționează în mod fiabil și, dacă da, aș seta manual tunelul MTU (la ambele capete).
1
Răspunde
ICT avatar
drapel ke
ICT
Bună, grasbueschel, mulțumesc că ai subliniat asta - se pare că merită încercat. O sa programez si asta!
0
Răspunde
Puncte:1
MLu avatar Server
drapel id
MLu

Fără să sapă în ea - este poate îndepărtarea vechilor cifruri slabe precum sha1 și aes128? Încercați să îl schimbați în aes256-sha256-modp2048 în versiunea de nucleu de lucru și apoi faceți upgrade pentru a vedea dacă se mai strică. De asemenea, poate ikev2 în loc de ikev1? Dar aceasta este o preocupare pentru spațiul utilizatorului, nu o setare de kernel.

Încercați...

0 + 2
ICT avatar
drapel ke
ICT
Vă mulțumesc foarte mult pentru recomandare, o voi încerca după program!
0
Răspunde
ICT avatar
drapel ke
ICT
Din păcate, acest lucru nu a rezolvat problema legată. Se pare că există o problemă cu traficul TCP. Mi-am actualizat postarea inițială cu un tcpdump al unei conexiuni RDP nereușite.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.