înregistrare Logare
Puncte:-1
m. vokhm avatar Server

Client Strongswan și Windows: conexiunea se blochează în câteva minute

drapel sa
m. vokhm

Pe un AWS VPS, am instalat Strongswan pentru a-l folosi ca VPN. Funcționează bine cu clientul iPhone. Cu toate acestea, când încerc să mă conectez de la un client Windows, conexiunea SA se stabilește cu succes și funcționează bine pentru câteva minute, dar după câteva minute (2 până la 10 minute, 2 sau puțin mai mult în majoritatea cazurilor) conexiunea se blochează și oprește traficul pe lângă. Se pare că ambele părți văd conexiunea ca fiind vie, cel puțin eu nu văd indicii de erori.

Am petrecut câteva zile încercând să aflu care este problema. Se pare că există destul de puțin material pe Internet care să descrie astfel de situații.În plus, sunt nou în administrarea și rețelele Linux, așa că poate am văzut o descriere a acestei probleme și o soluție, dar pur și simplu nu am putut să o înțeleg. Voi fi foarte recunoscător pentru orice ajutor.

Mai jos este ipsec.conf (Aici IP-ul extern real al serverului este înlocuit cu EXT.SRVR.IP.ADR)

configurare
    uniceids=niciodată
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"

conn %implicit
    keyexchange=ikev2
    ike=aes128gcm16-sha2_256-prfsha256-ecp256,aes256-sha2_256-prfsha256-modp2048!
    esp=aes128gcm16-sha2_256-ecp256,aes256-sha1!
    fragmentare=da
    rekey=nu
    comprese=da
    dpdaction=clear
    stânga=%oricare
    leftauth=pubkey
    leftsourceip=EXT.SRVR.IP.ADR
    leftid=EXT.SRVR.IP.ADR
    leftcert=debian.pem
    leftsendcert=intotdeauna
    leftsubnet=0.0.0.0/0
    dreapta=%oricare
    rightauth=pubkey
    rightsourceip=10.10.10.0/24
    dreapta=8.8.8.8,8.8.4.4

conn ikev2-pubkey
    auto=adăugați

Și iată un extras din ipsec.log (IP-uri reale înlocuite cu „EXT.SRVR.IP.ADR”, „INT.SRVR.IP.ADR” și „MY.CLNT.IP.ADR” pentru IP-ul extern al serverului, IP-ul său intern și respectiv clientul meu Windows, liniile aparent irelevante sunt omise)

17 mar 12:41:17 nume-server charon: 03[NET] pachet primit: de la MY.CLNT.IP.ADR[500] la INT.SRVR.IP.ADR[500]
17 mar 12:41:17 server-name charon: 03[NET] în așteptarea datelor pe socket-uri
Mar 17 12:41:17 server-name charon: 07[MGR] checkout IKEv2 SA prin mesaj cu SPI-uri cc34c04e15f31fd2_i 0000000000000000_r
17 mar 12:41:17 server-name charon: 07[MGR] creat IKE_SA (nenumit)[1]
17 mar 12:41:17 nume-server charon: 07[NET] pachet primit: de la MY.CLNT.IP.ADR[500] la INT.SRVR.IP.ADR[500] (536 de octeți)
Mar 17 12:41:17 server-name charon: 07[ENC] analizat cererea IKE_SA_INIT 0 [ SA KE Nu N(NATD_S_IP) N(NATD_D_IP) ]
Mar 17 12:41:17 server-name charon: 07[CFG] caută o configurație ike pentru INT.SRVR.IP.ADR...MY.CLNT.IP.ADR
Mar 17 12:41:17 server-name charon: 07[CFG] candidat: %any...%any, anterior 28
17 martie 12:41:17 server-name charon: 07[CFG] găsit potrivit pentru ike config: %any...%any cu prio 28
Mar 17 12:41:17 server-name charon: 07[IKE] MY.CLNT.IP.ADR inițiază o IKE_SA
17 mar 12:41:17 server-name charon: 07[IKE] IKE_SA (nenumit)[1] schimbare de stare: CREAT => CONECTARE
Mar 17 12:41:17 server-name charon: 07[CFG] selectând propunerea:
17 mar 12:41:17 server-name charon: 07[CFG] nu a fost găsit un ENCRYPTION_ALGORITHM acceptabil
Mar 17 12:41:17 server-name charon: 07[CFG] selectând propunerea:
17 mar 12:41:17 server-name charon: 07[CFG] nu a fost găsit un ENCRYPTION_ALGORITHM acceptabil
Mar 17 12:41:17 server-name charon: 07[CFG] selectând propunerea:
17 mar 12:41:17 server-name charon: 07[CFG] nu a fost găsit un ENCRYPTION_ALGORITHM acceptabil
Mar 17 12:41:17 server-name charon: 07[CFG] selectând propunerea:
Mar 17 12:41:17 server-name charon: 07[CFG] nu a fost găsit PSEUDO_RANDOM_FUNCTION acceptabil
Mar 17 12:41:17 server-name charon: 07[CFG] selectând propunerea:
17 mar 12:41:17 server-name charon: 07[CFG] potriviri de propunere
Mar 17 12:41:17 server-name charon: 07[CFG] received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_2048
Mar 17 12:41:17 server-name charon: 07[CFG] propuneri configurate: IKE:AES_GCM_16_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC_256/HMAC_SHA2_256_PHA2_256_PHA2_128_PRFHA2_256
17 mar 12:41:17 nume-server charon: 07[CFG] propunere selectată: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
17 mar 12:41:17 server-name charon: gazda locală 07[IKE] este în spatele NAT, trimițând keep alives
17 mar 12:41:17 server-name charon: 07[IKE] gazda la distanță este în spatele NAT
17 mar 12:41:17 server-name charon: 07[IKE] se trimite cererea de certificare pentru „CN=EXT.SRVR.IP.ADR”
Mar 17 12:41:17 server-name charon: 07[ENC] generează răspuns IKE_SA_INIT 0 [ SA KE Nu N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
17 mar 12:41:17 nume-server charon: 07[NET] trimitere pachet: de la INT.SRVR.IP.ADR[500] la MY.CLNT.IP.ADR[500] (465 de octeți)
Mar 17 12:41:17 server-name charon: 04[NET] trimitere pachet: de la INT.SRVR.IP.ADR[500] la MY.CLNT.IP.ADR[500]
17 mar 12:41:17 server-name charon: 07[MGR] înregistrare IKE_SA (nenumit)[1]
17 mar 12:41:17 server-name charon: 07[MGR] înregistrarea IKE_SA cu succes
17 mar 12:41:17 nume-server charon: 03[NET] pachet primit: de la MY.CLNT.IP.ADR[4500] la INT.SRVR.IP.ADR[4500]
17 mar 12:41:17 server-name charon: 03[NET] în așteptarea datelor pe socket-uri
Mar 17 12:41:17 server-name charon: 08[MGR] checkout IKEv2 SA prin mesaj cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:41:17 server-name charon: 08[MGR] IKE_SA (nenumit)[1] a fost verificat cu succes
17 mar 12:41:17 nume-server charon: 08[NET] pachet primit: de la MY.CLNT.IP.ADR[4500] la INT.SRVR.IP.ADR[4500] (3408 octeți)
Mar 17 12:41:17 server-name charon: 08[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV) SA TSi TSr ]
17 mar 12:41:17 server-name charon: 08[IKE] a primit o cerere de certificare pentru ca necunoscut cu ID-ul cheie 39:9e:66:a7:20:3c:4d:06:fb:62:6b:65:87: 22:35:57:a0:a0:0a:22
...
17 mar 12:41:17 server-name charon: 08[IKE] a primit o cerere de certificare pentru ca necunoscut cu ID-ul cheie 01:f0:33:4c:1a:a1:d9:ee:5b:7b:a9:de:43: bc:02:7d:57:09:33:fb
17 mar 12:41:17 server-name charon: 08[IKE] a primit cerere de certificare pentru „CN=EXT.SRVR.IP.ADR”
17 mar 12:41:17 server-name charon: 08[IKE] a primit o cerere de certificare pentru ca necunoscut cu ID-ul cheie 88:a9:5a:ef:c0:84:fc:13:74:41:6b:b1:63: 32:c2:cf:92:59:bb:3b
...
17 mar 12:41:17 server-name charon: 08[IKE] a primit o cerere de certificare pentru ca necunoscut cu ID-ul cheie 4f:9c:7d:21:79:9c:ad:0e:d8:b9:0c:57:9f: 1a:02:99:e7:90:f3:87
17 mar 12:41:17 server-name charon: 08[IKE] a primit 67 de cereri de certificare pentru un ca necunoscut
17 mar 12:41:17 server-name charon: 08[IKE] a primit certificatul de entitate finală „CN=me”
Mar 17 12:41:17 server-name charon: 08[CFG] caută configurații peer care se potrivesc INT.SRVR.IP.ADR[%any]...MY.CLNT.IP.ADR[CN=me]
17 mar 12:41:17 server-name charon: 08[CFG] candidat „ikev2-pubkey”, potrivire: 1/1/28 (me/other/ike)
Mar 17 12:41:17 server-name charon: 08[CFG] selectat peer config 'ikev2-pubkey'
17 mar 12:41:17 server-name charon: 08[CFG] folosind certificatul „CN=me”
17 mar 12:41:17 nume server charon: 08[CFG] cheie „CN=me” certificat: 4096 biți RSA
17 mar 12:41:17 server-name charon: 08[CFG] utilizând certificatul ca de încredere „CN=EXT.SRVR.IP.ADR”
17 mar 12:41:17 server-name charon: 08[CFG] se verifică starea certificatului „CN=me”
17 mar 12:41:17 server-name charon: 08[CFG] verificare ocsp ignorată, nu a fost găsit ocsp
17 mar 12:41:17 server-name charon: 08[CFG] starea certificatului nu este disponibilă
17 mar 12:41:17 nume server charon: 08[CFG] cheie „CN=EXT.SRVR.IP.ADR”: 4096 biți RSA
17 mar 12:41:17 server-name charon: 08[CFG] a ajuns la rădăcina auto-semnată ca cu o lungime a căii de 0
17 mar 12:41:17 server-name charon: 08[IKE] autentificarea lui „CN=me” cu semnătura RSA reușită
17 mar 12:41:17 server-name charon: 08[IKE] procesează atributul INTERNAL_IP4_ADDRESS
17 mar 12:41:17 server-name charon: 08[IKE] procesează atributul INTERNAL_IP4_DNS
17 mar 12:41:17 server-name charon: 08[IKE] procesează atributul INTERNAL_IP4_NBNS
17 mar 12:41:17 server-name charon: 08[IKE] procesează atributul INTERNAL_IP4_SERVER
17 mar 12:41:17 server-name charon: 08[IKE] peer acceptă MOBIKE
17 mar 12:41:17 server-name charon: 08[IKE] autentificarea lui „EXT.SRVR.IP.ADR” (eu) cu semnătura RSA reușită
Mar 17 12:41:17 server-name charon: 08[IKE] IKE_SA ikev2-pubkey[1] stabilit între INT.SRVR.IP.ADR[EXT.SRVR.IP.ADR]...MY.CLNT.IP. ADR[CN=me]
17 mar 12:41:17 server-name charon: 08[IKE] IKE_SA ikev2-pubkey[1] schimbare de stare: CONECTARE => ESTABLISHED
17 mar 12:41:17 nume-server charon: 08[IKE] se trimite certificatul de entitate finală „CN=EXT.SRVR.IP.ADR”
Mar 17 12:41:17 server-name charon: 08[IKE] peer-ul solicitat IP virtual %any
17 mar 12:41:17 server-name charon: 08[CFG] atribuirea unui nou contract de închiriere pentru „CN=me”
17 mar 12:41:17 server-name charon: 08[IKE] atribuind IP virtual 10.10.10.1 peer-ului „CN=me”
17 mar 12:41:17 server-name charon: 08[IKE] construirea atributului INTERNAL_IP4_DNS
17 mar 12:41:17 server-name charon: 08[IKE] construirea atributului INTERNAL_IP4_DNS
Mar 17 12:41:17 server-name charon: 08[CFG] caută o configurație copil pentru 0.0.0.0/0 === 0.0.0.0/0
Mar 17 12:41:17 server-name charon: 08[CFG] ne propune selectoare de trafic:
Mar 17 12:41:17 server-name charon: 08[CFG] 0.0.0.0/0
Mar 17 12:41:17 server-name charon: 08[CFG] propunând selectoare de trafic pentru alte:
Mar 17 12:41:17 server-name charon: 08[CFG] 10.10.10.1/32
17 mar 12:41:17 server-name charon: 08[CFG] candidat „ikev2-pubkey” cu prioritatea 5+1
17 mar 12:41:17 server-name charon: 08[CFG] a găsit o configurație de copil care se potrivește „ikev2-pubkey” cu priorul 6
Mar 17 12:41:17 server-name charon: 08[CFG] selectând propunerea:
17 mar 12:41:17 server-name charon: 08[CFG] nu a fost găsit un ENCRYPTION_ALGORITHM acceptabil
Mar 17 12:41:17 server-name charon: 08[CFG] selectând propunerea:
17 mar 12:41:17 server-name charon: 08[CFG] nu a fost găsit un ENCRYPTION_ALGORITHM acceptabil
Mar 17 12:41:17 server-name charon: 08[CFG] selectând propunerea:
17 mar 12:41:17 server-name charon: 08[CFG] nu a fost găsit un ENCRYPTION_ALGORITHM acceptabil
Mar 17 12:41:17 server-name charon: 08[CFG] selectând propunerea:
17 mar 12:41:17 server-name charon: 08[CFG] potriviri de propunere
Mar 17 12:41:17 server-name charon: 08[CFG] propuneri primite: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Mar 17 12:41:17 server-name charon: 08[CFG] propuneri configurate: ESP:AES_GCM_16_128/ECP_256/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Mar 17 12:41:17 server-name charon: 08[CFG] propunere selectată: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Mar 17 12:41:17 server-name charon: 08[KNL] a primit SPI c6bcf84d
Mar 17 12:41:17 server-name charon: 08[CFG] selectând selectoare de trafic pentru noi:
Mar 17 12:41:17 server-name charon: 08[CFG] config: 0.0.0.0/0, primit: 0.0.0.0/0 => potrivire: 0.0.0.0/0
Mar 17 12:41:17 server-name charon: 08[CFG] selectând selectoare de trafic pentru alte:
Mar 17 12:41:17 server-name charon: 08[CFG] config: 10.10.10.1/32, primit: 0.0.0.0/0 => potrivire: 10.10.10.1/32
17 mar 12:41:17 server-name charon: 08[KNL] adăugând intrare SAD cu SPI c6bcf84d și reqid {1}
17 mar 12:41:17 server-name charon: 08[KNL] folosind algoritmul de criptare AES_CBC cu dimensiunea cheii 256
17 mar 12:41:17 server-name charon: 08[KNL] folosind algoritmul de integritate HMAC_SHA1_96 cu dimensiunea cheii 160
17 mar 12:41:17 server-name charon: 08[KNL] folosind fereastra de reluare a 32 de pachete
17 mar 12:41:17 server-name charon: 08[KNL] adăugând intrare SAD cu SPI b74162a4 și reqid {1}
17 mar 12:41:17 server-name charon: 08[KNL] folosind algoritmul de criptare AES_CBC cu dimensiunea cheii 256
17 mar 12:41:17 server-name charon: 08[KNL] folosind algoritmul de integritate HMAC_SHA1_96 cu dimensiunea cheii 160
17 mar 12:41:17 server-name charon: 08[KNL] folosind fereastra de reluare a 0 pachete
Mar 17 12:41:17 server-name charon: 08[KNL] adăugarea politicii 0.0.0.0/0 === 10.10.10.1/32 out [prioritate 391808, refcount 1]
17 mar 12:41:17 server-name charon: politica 08[KNL] există deja, încercați să o actualizați
Mar 17 12:41:17 server-name charon: 08[KNL] adăugarea politicii 10.10.10.1/32 === 0.0.0.0/0 în [prioritate 391808, refcount 1]
17 mar 12:41:17 server-name charon: politica 08[KNL] există deja, încercați să o actualizați
Mar 17 12:41:17 server-name charon: 08[KNL] adăugarea politicii 10.10.10.1/32 === 0.0.0.0/0 fwd [prioritate 391808, refcount 1]
17 mar 12:41:17 server-name charon: politica 08[KNL] există deja, încercați să o actualizați
Mar 17 12:41:17 server-name charon: 08[KNL] policy 0.0.0.0/0 === 10.10.10.1/32 out exists deja, crescând refcount
Mar 17 12:41:17 server-name charon: 08[KNL] politica de actualizare 0.0.0.0/0 === 10.10.10.1/32 out [prioritate 191808, refcount 2]
Mar 17 12:41:17 server-name charon: 08[KNL] obținerea unei adrese locale în selectorul de trafic 0.0.0.0/0
17 mar 12:41:17 server-name charon: 08[KNL] folosind gazda %any
17 mar 12:41:17 server-name charon: 08[KNL] obținerea numelui iface pentru indexul 2
Mar 17 12:41:17 server-name charon: 08[KNL] folosind 172.26.0.1 ca nexthop și eth0 ca dev pentru a ajunge la MY.CLNT.IP.ADR/32
Mar 17 12:41:17 server-name charon: 08[KNL] ruta de instalare: 10.10.10.1/32 prin 172.26.0.1 src %any dev eth0
17 mar 12:41:17 server-name charon: 08[KNL] se obține indexul iface pentru eth0
Mar 17 12:41:17 server-name charon: 08[KNL] policy 10.10.10.1/32 === 0.0.0.0/0 in deja există, crescând refcount
Mar 17 12:41:17 server-name charon: 08[KNL] politica de actualizare 10.10.10.1/32 === 0.0.0.0/0 în [prioritate 191808, refcount 2]
Mar 17 12:41:17 server-name charon: 08[KNL] policy 10.10.10.1/32 === 0.0.0.0/0 fwd există deja, crescând refcount
Mar 17 12:41:17 server-name charon: 08[KNL] politica de actualizare 10.10.10.1/32 === 0.0.0.0/0 fwd [prioritate 191808, refcount 2]
17 mar 12:41:17 server-name charon: 08[IKE] CHILD_SA ikev2-pubkey{1} stabilit cu SPI-uri c6bcf84d_i b74162a4_o și TS 0.0.0.0/0 === 10.10.10.1/32
Mar 17 12:41:17 server-name charon: 08[ENC] generează răspunsul IKE_AUTH 1 [ IDr CERT AUTH CPRP(ADDR DNS DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_6_ADDR) ]
17 mar 12:41:17 nume-server charon: 08[NET] trimitere pachet: de la INT.SRVR.IP.ADR[4500] la MY.CLNT.IP.ADR[4500] (2048 octeți)
17 mar 12:41:17 nume-server charon: 04[NET] trimitere pachet: de la INT.SRVR.IP.ADR[4500] la MY.CLNT.IP.ADR[4500]
Mar 17 12:41:17 server-name charon: 08[MGR] checkin IKE_SA ikev2-pubkey[1]
17 mar 12:41:17 server-name charon: 08[MGR] înregistrarea IKE_SA cu succes
Mar 17 12:41:37 server-name charon: 10[MGR] checkout IKEv2 SA cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:41:37 server-name charon: 10[MGR] IKE_SA ikev2-pubkey[1] a fost verificat cu succes
Mar 17 12:41:37 server-name charon: 10[KNL] politica de interogare 0.0.0.0/0 === 10.10.10.1/32 out
17 mar 12:41:37 server-name charon: 10[MGR] checkin IKE_SA ikev2-pubkey[1]
17 mar 12:41:37 server-name charon: 10[MGR] înregistrarea IKE_SA cu succes
Mar 17 12:41:47 server-name dhclient[358]: PRC: Reînnoire contract de închiriere pe eth0.
17 mar 12:41:47 server-name dhclient[358]: XMT: Reînnoire pe eth0, interval 9070ms.
Mar 17 12:41:47 server-name dhclient[358]: RCV: Răspuns mesaj pe eth0 de la fe80::60:52ff:fe0a:c10e.
Mar 17 12:41:47 server-name charon: 11[MGR] checkout IKEv2 SA cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:41:47 server-name charon: 11[MGR] IKE_SA ikev2-pubkey[1] a fost verificat cu succes
17 mar 12:41:47 server-name charon: 11[MGR] checkin IKE_SA ikev2-pubkey[1]
17 mar 12:41:47 server-name charon: 11[MGR] înregistrarea IKE_SA cu succes
17 mar 12:41:47 server-name charon: 12[MGR] checkout IKEv2 SA cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:41:47 server-name charon: 12[MGR] IKE_SA ikev2-pubkey[1] a fost verificat cu succes
Mar 17 12:41:47 server-name charon: 12[KNL] politica de interogare 10.10.10.1/32 === 0.0.0.0/0 in
Mar 17 12:41:47 server-name charon: 12[KNL] politica de interogare 10.10.10.1/32 === 0.0.0.0/0 fwd
17 mar 12:41:47 server-name charon: 12[MGR] checkin IKE_SA ikev2-pubkey[1]
17 mar 12:41:47 server-name charon: 12[MGR] înregistrarea IKE_SA cu succes
Mar 17 12:41:56 server-name charon: 13[MGR] checkout IKEv2 SA cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:41:56 server-name charon: 13[MGR] IKE_SA ikev2-pubkey[1] s-a verificat cu succes
Mar 17 12:41:56 server-name charon: 13[KNL] politica de interogare 0.0.0.0/0 === 10.10.10.1/32 out
17 mar 12:41:56 server-name charon: 13[MGR] checkin IKE_SA ikev2-pubkey[1]
17 mar 12:41:56 server-name charon: 13[MGR] înregistrarea IKE_SA cu succes
...
Mar 17 12:49:35 server-name charon: 16[MGR] checkout IKEv2 SA cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:49:35 server-name charon: 16[MGR] IKE_SA ikev2-pubkey[1] a fost verificat cu succes
Mar 17 12:49:35 server-name charon: 16[KNL] politica de interogare 10.10.10.1/32 === 0.0.0.0/0 in
Mar 17 12:49:35 server-name charon: 16[KNL] politica de interogare 10.10.10.1/32 === 0.0.0.0/0 fwd
Mar 17 12:49:35 server-name charon: 16[MGR] checkin IKE_SA ikev2-pubkey[1]
17 mar 12:49:35 server-name charon: 16[MGR] înregistrarea IKE_SA cu succes
17 mar 12:49:51 server-name charon: 05[MGR] checkout IKEv2 SA cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:49:51 server-name charon: 05[MGR] IKE_SA ikev2-pubkey[1] a verificat cu succes
Mar 17 12:49:51 server-name charon: 05[KNL] politica de interogare 0.0.0.0/0 === 10.10.10.1/32 out
Mar 17 12:49:51 server-name charon: 05[MGR] checkin IKE_SA ikev2-pubkey[1]
17 mar 12:49:51 server-name charon: 05[MGR] înregistrarea IKE_SA cu succes
17 mar 12:49:55 server-name charon: 06[MGR] checkout IKEv2 SA cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:49:55 server-name charon: 06[MGR] IKE_SA ikev2-pubkey[1] a fost verificat cu succes
Mar 17 12:49:55 server-name charon: 06[KNL] politica de interogare 10.10.10.1/32 === 0.0.0.0/0 in
Mar 17 12:49:55 server-name charon: 06[KNL] politica de interogare 10.10.10.1/32 === 0.0.0.0/0 fwd
17 mar 12:49:55 nume-server charon: 06[IKE] trimiterea cererii DPD
17 mar 12:49:55 server-name charon: 06[IKE] în coadă sarcină IKE_DPD
17 mar 12:49:55 server-name charon: 06[IKE] se activează noi sarcini
17 mar 12:49:55 server-name charon: 06[IKE] se activează sarcina IKE_DPD
Mar 17 12:49:55 server-name charon: 06[ENC] generând cerere INFORMAȚIONALĂ 0 [ ]
17 mar 12:49:55 nume-server charon: 06[NET] trimitere pachet: de la INT.SRVR.IP.ADR[4500] la MY.CLNT.IP.ADR[4500] (80 de octeți)
Mar 17 12:49:55 server-name charon: 06[MGR] checkin IKE_SA ikev2-pubkey[1]
17 mar 12:49:55 server-name charon: 06[MGR] înregistrarea IKE_SA cu succes
17 mar 12:49:55 server-name charon: 04[NET] trimitere pachet: de la INT.SRVR.IP.ADR[4500] la MY.CLNT.IP.ADR[4500]
17 mar 12:49:55 nume-server charon: 03[NET] pachet primit: de la MY.CLNT.IP.ADR[4500] la INT.SRVR.IP.ADR[4500]
17 martie 12:49:55 server-name charon: 03[NET] în așteptarea datelor pe socket-uri
17 mar 12:49:55 server-name charon: 07[MGR] checkout IKEv2 SA prin mesaj cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:49:55 server-name charon: 07[MGR] IKE_SA ikev2-pubkey[1] a fost verificat cu succes
17 mar 12:49:55 nume-server charon: 07[NET] pachet primit: de la MY.CLNT.IP.ADR[4500] la INT.SRVR.IP.ADR[4500] (80 de octeți)
Mar 17 12:49:55 server-name charon: 07[ENC] analizat răspuns INFORMAȚIONAL 0 [ ]
17 mar 12:49:55 server-name charon: 07[IKE] se activează noi sarcini
17 mar 12:49:55 server-name charon: 07[IKE] nimic de inițiat
17 mar 12:49:55 server-name charon: 07[MGR] checkin IKE_SA ikev2-pubkey[1]
17 mar 12:49:55 server-name charon: 07[MGR] înregistrarea IKE_SA cu succes
Mar 17 12:49:57 server-name dhclient[358]: PRC: Reînnoire contract de închiriere pe eth0.
17 mar 12:49:57 server-name dhclient[358]: XMT: Reînnoire pe eth0, interval 10290ms.
Mar 17 12:49:57 server-name dhclient[358]: RCV: Răspuns mesaj pe eth0 de la fe80::60:52ff:fe0a:c10e.
17 mar 12:49:59 server-name charon: 09[MGR] checkout IKEv2 SA cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:49:59 server-name charon: 09[MGR] IKE_SA ikev2-pubkey[1] a fost verificat cu succes
17 mar 12:49:59 server-name charon: 09[MGR] checkin IKE_SA ikev2-pubkey[1]
17 mar 12:49:59 server-name charon: 09[MGR] înregistrarea IKE_SA cu succes
17 mar 12:50:00 nume-server charon: 03[NET] pachet primit: de la MY.CLNT.IP.ADR[4500] la INT.SRVR.IP.ADR[4500]
17 mar 12:50:00 server-name charon: 03[NET] așteaptă date pe socket-uri
17 mar 12:50:00 server-name charon: 08[MGR] checkout IKEv2 SA prin mesaj cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:50:00 server-name charon: 08[MGR] IKE_SA ikev2-pubkey[1] verificat cu succes
17 mar 12:50:00 nume-server charon: 08[NET] pachet primit: de la MY.CLNT.IP.ADR[4500] la INT.SRVR.IP.ADR[4500] (80 de octeți)
Mar 17 12:50:00 server-name charon: 08[ENC] analizat solicitarea INFORMAȚIONALĂ 2 [ D ]
17 mar 12:50:00 server-name charon: 08[IKE] a primit DELETE pentru ESP CHILD_SA cu SPI b74162a4
17 mar 12:50:00 server-name charon: 08[KNL] interogând intrarea SAD cu SPI c6bcf84d
17 mar 12:50:00 server-name charon: 08[KNL] interogând intrarea SAD cu SPI b74162a4
17 mar 12:50:00 server-name charon: 08[IKE] se închide CHILD_SA ikev2-pubkey{1} cu SPI-uri c6bcf84d_i (1148939 bytes) b74162a4_o (21040410 bytes) și TS 0.0./0.0.0./0.0.0./0.0. 32
17 mar 12:50:00 server-name charon: 08[IKE] se trimite DELETE pentru ESP CHILD_SA cu SPI c6bcf84d
17 mar 12:50:00 server-name charon: 08[IKE] CHILD_SA închis
17 mar 12:50:00 server-name charon: 08[KNL] ștergerea politicii 0.0.0.0/0 === 10.10.10.1/32 out
17 mar 12:50:00 server-name charon: politica 08[KNL] încă folosită de un alt CHILD_SA, nu a fost eliminată
Mar 17 12:50:00 server-name charon: 08[KNL] politica de actualizare 0.0.0.0/0 === 10.10.10.1/32 out [prioritate 391808, refcount 1]
Mar 17 12:50:00 server-name charon: 08[KNL] ștergerea politicii 10.10.10.1/32 === 0.0.0.0/0 in
17 mar 12:50:00 server-name charon: politica 08[KNL] încă folosită de un alt CHILD_SA, nu a fost eliminată
Mar 17 12:50:00 server-name charon: 08[KNL] politica de actualizare 10.10.10.1/32 === 0.0.0.0/0 în [prioritate 391808, refcount 1]
Mar 17 12:50:00 server-name charon: 08[KNL] ștergerea politicii 10.10.10.1/32 === 0.0.0.0/0 fwd
17 mar 12:50:00 server-name charon: politica 08[KNL] încă folosită de un alt CHILD_SA, nu a fost eliminată
Mar 17 12:50:00 server-name charon: 08[KNL] politica de actualizare 10.10.10.1/32 === 0.0.0.0/0 fwd [prioritate 391808, refcount 1]
17 mar 12:50:00 server-name charon: 08[KNL] ștergerea politicii 0.0.0.0/0 === 10.10.10.1/32 out
17 mar 12:50:00 server-name charon: 08[KNL] se obține indexul iface pentru eth0
Mar 17 12:50:00 server-name charon: 08[KNL] ștergerea politicii 10.10.10.1/32 === 0.0.0.0/0 in
Mar 17 12:50:00 server-name charon: 08[KNL] ștergerea politicii 10.10.10.1/32 === 0.0.0.0/0 fwd
17 mar 12:50:00 server-name charon: 08[KNL] ștergerea intrării SAD cu SPI c6bcf84d
17 mar 12:50:00 server-name charon: 08[KNL] a șters intrarea SAD cu SPI c6bcf84d
17 mar 12:50:00 server-name charon: 08[KNL] ștergerea intrării SAD cu SPI b74162a4
17 mar 12:50:00 server-name charon: 08[KNL] a șters intrarea SAD cu SPI b74162a4
Mar 17 12:50:00 server-name charon: 08[ENC] generează răspuns INFORMAȚIONAL 2 [ D ]
17 mar 12:50:00 nume-server charon: 08[NET] trimitere pachet: de la INT.SRVR.IP.ADR[4500] la MY.CLNT.IP.ADR[4500] (80 de octeți)
17 mar 12:50:00 server-name charon: 08[MGR] checkin IKE_SA ikev2-pubkey[1]
17 mar 12:50:00 server-name charon: 08[MGR] înregistrarea IKE_SA cu succes
17 mar 12:50:00 nume-server charon: 04[NET] trimitere pachet: de la INT.SRVR.IP.ADR[4500] la MY.CLNT.IP.ADR[4500]
17 mar 12:50:00 nume-server charon: 03[NET] pachet primit: de la MY.CLNT.IP.ADR[4500] la INT.SRVR.IP.ADR[4500]
17 mar 12:50:00 server-name charon: 03[NET] așteaptă date pe socket-uri
17 mar 12:50:00 server-name charon: 11[MGR] checkout IKEv2 SA prin mesaj cu SPI-uri cc34c04e15f31fd2_i e5bd885ad183b108_r
17 mar 12:50:00 server-name charon: 11[MGR] IKE_SA ikev2-pubkey[1] s-a verificat cu succes
17 mar 12:50:00 nume-server charon: 11[NET] pachet primit: de la MY.CLNT.IP.ADR[4500] la INT.SRVR.IP.ADR[4500] (80 de octeți)
Mar 17 12:50:00 server-name charon: 11[ENC] analizat solicitarea INFORMAȚIONALĂ 3 [ D ]
17 mar 12:50:00 server-name charon: 11[IKE] a primit DELETE pentru IKE_SA ikev2-pubkey[1]
17 mar 12:50:00 server-name charon: 11[IKE] se șterge IKE_SA ikev2-pubkey[1] între INT.SRVR.IP.ADR[EXT.SRVR.IP.ADR]...MY.CLNT.IP. ADR[CN=me]
17 mar 12:50:00 server-name charon: 11[IKE] IKE_SA ikev2-pubkey[1] schimbare de stare: ESTABLISHED => DELETING
17 mar 12:50:00 server-name charon: 11[IKE] IKE_SA șters
Mar 17 12:50:00 server-name charon: 11[ENC] generează răspuns INFORMAȚIONAL 3 [ ]
17 mar 12:50:00 nume-server charon: 11[NET] trimitere pachet: de la INT.SRVR.IP.ADR[4500] la MY.CLNT.IP.ADR[4500] (80 de octeți)
17 mar 12:50:00 server-name charon: 11[MGR] înregistrați și distrugeți IKE_SA ikev2-pubkey[1]
17 mar 12:50:00 server-name charon: 11[IKE] IKE_SA ikev2-pubkey[1] schimbare de stare: DELETING => DISTRUGERE
17 mar 12:50:00 server-name charon: 11[CFG] lease 10.10.10.1 de către „CN=me” a fost offline
17 mar 12:50:00 server-name charon: 11[MGR] înregistrarea și distrugerea IKE_SA cu succes

Proprietățile conexiunii raportate de Windows:

DataEncryption = Necesită maxim
PrerequisiteEntry = 
AutoLogon = Nu
UseRasCredentials = Da
Tip de autentificare = Certificat de mașină 
Ipv4DefaultGateway = Da
Ipv4AddressAssignment = De către server
Ipv4DNSServerAssignment = De către server
Ipv6DefaultGateway = Da
Ipv6AddressAssignment = De către server
Ipv6DNSServerAssignment = De către server
IpDnsFlags = Înregistrați sufixul domeniului primar
IpNBTEnabled = Da
UseFlags = Conexiune privată
ConnectOnWinlogon = Nu
Mobilitate activată pentru IKEv2 = Da.
Dial-in User = admin
VpnStrategy = IKEv2

Când conexiunea este înghețată (nu trece trafic), swanctl --list-sas replică următoarele

ikev2-pubkey: #1, ESTABLISHED, IKEv2, f77fbfbe7c371b32_i e0e250355a87db62_r*
   local „EXT.SRVR.IP.ADR” @ INT.SRVR.IP.ADR[4500]
   la distanță „CN=me” @ MY.CLNT.IP.ADR[4500] [10.10.10.1]
   AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
   înființată acum 287 de ani
   ikev2-pubkey: #1, reqid 1, INSTALLED, TUNNEL-in-UDP, ESP:AES_CBC-256/HMAC_SHA1_96
     instalat acum 287s
     în ce57563f, 792014 octeți, 4493 pachete, acum 150 de secunde
     scos 6b24b7fd, 10904301 octeți, 10680 pachete, acum 1 secundă
     local 0.0.0.0/0
     la distanță 10.10.10.1/32

De asemenea, Windows arată că conexiunea funcționează, fără semne de erori în vizualizatorul de evenimente și fără pachete relevante blocate în jurnalele de firewall SEP.

Server: Debian 4.9.246-2, strongSwan 5.5.1.

Client: Windows 2008 R2, Agile VPN (configurat prin proprietățile conexiunii)

Care ar putea fi motivul unui astfel de comportament și cum să îl remediați?

Ce pot face pentru a afla motivul exact?

As fi foarte recunoscator pentru orice ajutor.

UPD1: Conexiunea se blochează cel mai des (sau poate fi întotdeauna) atunci când traficul de ieșire devine relativ ridicat. De exemplu, când mă vizitez speedtest.net, conexiunea se blochează în momentul în care încearcă să măsoare viteza de încărcare.

UPD2: Alte dispozitive funcționează bine pe aceeași rețea locală, în spatele aceluiași router, NAT, ISP etc. Acest lucru indică clar că problema este legată doar de mașina specifică cu W2k8. Există firewall SEP pe mașină, dar nu acesta este vinovat -- dezactivarea acestuia nu afectează comportamentul. Strongswan prea puțin relevant, deoarece este un tunel deja stabilit care îngheață.

154
0 + 0
drapel cn
ecdsa
Pare a fi o problemă cu clientul. Vedem în jurnal că mai întâi șterge CHILD_SA și apoi IKE_SA. Habar nu de ce ar face asta. Nu numai ștergerea ca atare, ci și faptul că șterge mai întâi CHILD_SA, deoarece ștergerea IKE_SA îl șterge oricum. Înregistrează ceva?
0
Răspunde
m. vokhm avatar
drapel sa
m. vokhm
@ecdsa -- Când spui „Înregistrează ceva?”, vrei să spui că pot găsi ceva relevant într-un alt jurnal? Atunci, unde să mă uit? Sau modific setările `charondebug` din fișierul conf pentru a vedea informații suplimentare? Atunci ce ar trebui să schimb?
0
Răspunde
drapel cn
ecdsa
Mă refeream la client (undeva în vizualizatorul de evenimente poate).
0
Răspunde
m. vokhm avatar
drapel sa
m. vokhm
@ecdsa Oh, înțeleg. Nu, nimic legat de problemă. Totul arată ca dacă conexiunea a fost stabilită cu succes, a funcționat de ceva timp și apoi a fost deconectată de către utilizator.
0
Răspunde
Puncte:0
m. vokhm avatar Server
drapel sa
m. vokhm

Motivul a fost un router cu porturi locale nu tocmai bune. Wireshark a arătat că se pierd destul de multe pachete în ethernetul local. Simplu tcp conexiunile s-ar putea descurca cu el, așa că nu am putut observa deteriorarea, dar esp tunelul înghețase.

Îmi dau seama că nu este un mesaj prea informativ, totuși l-am pus aici ca răspuns, pentru ca alți oameni care ar putea întâmpina o problemă similară să nu piardă prea mult timp să caute pe Google, să studieze manuale și să verifice configurațiile, atunci când simpla înlocuire a routerului se poate rezolva. problema.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.