OpenSwan으로 생성된 IPsec 터널이 있으며 잘 작동하며, 응답이 수신될 때 패킷이 통과합니다. 어느 시점에서 트래픽이 멈출 때까지입니다.
터널을 재생성할 수 있어요
ipsec auto --down tunnelName
ipsec auto --up tunnelName
그러나 결국에는 다시 충돌이 발생합니다. 때로는 몇 시간 후, 때로는 며칠 후에 발생합니다. pluto.log에서 터널 충돌을 나타내는 오류 메시지를 찾을 수 없습니다. 발견된 마지막 줄은 Quick_Mode 항목을 보고하는 줄입니다.
우리 측: Ubuntu 14.04.4 LTS, Linux Openswan U2.6.38/K3.13.0-91-generic(netkey)
반대편: SAP 라우터와 알 수 없는 방화벽
터널이 제대로 작동하지 않을 때 tcpdump를 사용하여 이를 조사했습니다.
10:30:53.357186 IP us.isakmp > them.isakmp: isakmp: phase 1 I ident
10:30:53.384168 IP them.isakmp > us.isakmp: isakmp: phase 1 R ident
10:30:53.384880 IP us.isakmp > them.isakmp: isakmp: phase 1 I ident
10:30:53.425034 IP them.isakmp > us.isakmp: isakmp: phase 1 R ident
10:30:53.425770 IP us.isakmp > them.isakmp: isakmp: phase 1 I ident[E]
10:30:53.451727 IP them.isakmp > us.isakmp: isakmp: phase 1 R ident[E]
10:32:01.089957 IP us > them: ESP(spi=0x6e51327d,seq=0x14b), length 100
10:32:02.089097 IP us > them: ESP(spi=0x6e51327d,seq=0x14c), length 100
첫 번째 부분은 성공적인 터널 키 협상인 것 같고 두 번째 부분은 두 개의 실패한 요청인 것 같습니다. 아니면 그렇지 않습니까?
Netstat는 터널로 전송된 요청이 도착했다가 SYN_SENT
시간 초과되었음을 나타냅니다.
터널의 반대쪽 끝을 디버깅하는 것이 허용되지 않으므로 검색할 수 있는 다른 로그가 있습니까?
답변1
한 번 살펴보면 /var/log/syslog
일반적으로 거기에서 많은 IPsec 관련 로그를 찾을 수 있습니다.
비활성으로 인해 상대방의 Windows와 통신하는 (매우) 오래된 버그가 있었습니다. 간단한 배경 핑으로 수정했거나 패치로 세부 사항을 기억할 수 없습니다.
그럼에도 불구하고 대부분의 방화벽에는 일정 시간 이상 연결이 비활성화되면 연결을 끊는 기본 시간 초과 규칙이 있습니다. 그러나 일부 매개변수가 꺼져 있거나 이상한 호환성 문제로 인해 발생하지 않는 한 다시 협상해야 합니다.