înregistrare Logare
Puncte:0
avatar Server

Mai multe SA IKE cu VPN Strongswan

drapel cn
Cédric Girard

Am un VPN între un server (Debian 10, Strongswan 5.7.2) și un server partener (Stormshield SN510). Toate merg bine, celelalte servere ale mele pot ajunge la cel partener pe HTTPS prin VPN.

Dar IKE SA rămân active, până când am 70 dintre ele și punctul final VPN partener are probleme să le gestioneze.

De exemplu, un mic subset (am eliminat fiecare IP intenționat)

root@ipsec1:/etc# sudo swanctl -l
partener: #1837, ESTABLISHED, IKEv2
  înființată în urmă cu 669 de ani, reauth în 19183
  partener-phase2: #2629, reqid 26, INSTALED, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128
    instalat în urmă cu 669s, rekeying în anii 1990, expiră în 2931s
    în cd63b8c2, 0 octeți, 0 pachete
    scos cacc8158, 0 octeți, 0 pachete
  partener-faza2: #2630, reqid 26, INSTALAT, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128
    instalat în urmă cu 669s, reintroducere în 2087, expiră în 2931
    în c859fcff, 0 octeți, 0 pachete
    out c2e8b52a, 0 octeți, 0 pachete
  partener-faza2: #2631, reqid 26, INSTALAT, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128
    instalat cu 669 de secunde în urmă, reintroducerea cheii în anii 1853, expiră în anii 2932
    în cb8845a0, 0 octeți, 0 pachete
    out c3507f7a, 0 octeți, 0 pachete
  partener-phase2: #2632, reqid 26, INSTALED, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128
    instalat în urmă cu 668s, reintroducerea tastei în 2188s, expiră în 2932s
    în c281ec0f, 0 octeți, 0 pachete
    out c290fff2, 0 octeți, 0 pachete
  partener-phase2: #2633, reqid 26, INSTALED, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128
    instalat cu 668 de secunde în urmă, reintroducerea cheii în anii 1913, expiră în anii 2932
    în c73a42eb, 0 octeți, 0 pachete
    out ca21c339, 0 octeți, 0 pachete

Aici este fișierul de configurare

partener conn
        auto=pornire
        authby=secret
        keyexchange=ikev2
        ike=aes256-sha2_256-modp3072
        stânga=xx.xx.xx.xx
        leftid=xx.xx.xx.xx
        dreapta=xx.xx.xx.xx
        rightid=xx.xx.xx.xx
        ikelifetime=21600s
        agresiv=nu
        dpdtimeout=120s
        dpddelay=30s
        dpdaction=repornire
        
conn partener-faza2
        de asemenea=partener
        tip=tunel
        esp=aes256-sha2_256-modp3072
        compresa=nu
        leftsubnet=xx.xx.xx.xx/32,xx.xx.xx.xx/32,xx.xx.xx.xx/32
        rightsubnet=xx.xx.xx.xx/24
        durata de viață=3600s

Extras din charon.log

[2021-11-25 10:22:57] 06[IKE] <partner|1837> se activează sarcina CHILD_REKEY
[2021-11-25 10:22:57] 06[IKE] <partner|1837> stabilirea CHILD_SA partener-phase2{2675} reqid 26
[2021-11-25 10:22:57] 06[ENC] <partner|1837> generând cererea CREATE_CHILD_SA 80 [ N(REKEY_SA) SA Nu KE TSi TSr ]
[2021-11-25 10:22:57] 06[NET] <partner|1837> trimitere pachet: de la xx.xx.xx.xx[4500] la xx.xx.xx.xx[4500] (736 de octeți)
[2021-11-25 10:22:58] 16[NET] <partner|1837> pachet primit: de la xx.xx.xx.xx[4500] la xx.xx.xx.xx[4500] (208 octeți)
[2021-11-25 10:22:58] 16[ENC] <partner|1837> analizat răspunsul CREATE_CHILD_SA 80 [ N(ESP_TFC_PAD_N) SA Nu TSi TSr ]
[2021-11-25 10:22:58] 16[IKE] <partner|1837> a primit notificare ESP_TFC_PADDING_NOT_SUPPORTED
[2021-11-25 10:22:58] 16[IKE] <partner|1837> a primit ESP_TFC_PADDING_NOT_SUPPORTED, nefolosind umplutura ESPv3 TFC
[2021-11-25 10:22:58] 16[CFG] <partener|1837> propunere selectată: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
[2021-11-25 10:22:58] 16[IKE] <partner|1837> ignorând schimbul KE, au convenit asupra unei propuneri non-PFS
[2021-11-25 10:22:58] 16[IKE] <partner|1837> inbound CHILD_SA partener-phase2{2675} stabilit cu SPI-urile cede52fe_i c22f460a_o și TS xx.xx.xx.xx/32 === xx. xx.xx.xx/24
[2021-11-25 10:22:58] 16[IKE] <partner|1837> ieșire CHILD_SA partener-phase2{2675} stabilit cu SPI-urile cede52fe_i c22f460a_o și TS xx.xx.xx.xx/32 === xx. xx.xx.xx/24
[2021-11-25 10:22:58] 16[IKE] <partner|1837> reinițialând sarcinile deja active
[2021-11-25 10:22:58] 16[IKE] <partner|1837> sarcină CHILD_REKEY
[2021-11-25 10:22:58] 16[IKE] <partner|1837> care închide CHILD_SA partener-phase2{2641} cu SPI-uri c48f9704_i (0 octeți) c8d17eb6_o (0 octeți) și TS xx.xx.xx. /32 === xx.xx.xx.xx/24
[2021-11-25 10:22:58] 16[IKE] <partner|1837> trimiterea DELETE pentru ESP CHILD_SA cu SPI c48f9704
[2021-11-25 10:22:58] 16[ENC] <partner|1837> generând cerere INFORMAȚIONALĂ 81 [ D ]
[2021-11-25 10:22:58] 16[NET] <partner|1837> trimitere pachet: de la xx.xx.xx.xx[4500] la xx.xx.xx.xx[4500] (80 de octeți)
[2021-11-25 10:22:58] 07[NET] <partner|1837> pachet primit: de la xx.xx.xx.xx[4500] la xx.xx.xx.xx[4500] (80 de octeți)
[2021-11-25 10:22:58] 07[ENC] <partner|1837> răspuns INFORMAȚIONAL analizat 81 [ D ]
[2021-11-25 10:22:58] 07[IKE] <partner|1837> a primit DELETE pentru ESP CHILD_SA cu SPI c8d17eb6
[2021-11-25 10:22:58] 07[IKE] <partner|1837> CHILD_SA închis
[2021-11-25 10:22:58] 07[IKE] <partner|1837> activează sarcini noi
[2021-11-25 10:22:58] 07[IKE] <partner|1837> nimic de inițiat
69
0 + 0
drapel cn
ecdsa
Ieșirea de stare arată mai multe CHILD_SA, nu IKE_SA. Sau există și alte IKE_SA pe care le-ați tăiat? Jurnalul nu este cu adevărat util, deoarece arată doar o reintroducere regulată. Ar trebui să citiți un jurnal de la bun început (când este creat IKE_SA) și să îl urmați pentru a vedea când și de către cine sunt create CHILD_SA (ar putea fi celălalt capăt, caz în care va trebui să citiți jurnalul lor pentru a vedea De ce).
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.