一定時間が経過すると、エラーなしでIPsecトンネルがブロックされます。詳しくはどこで確認できますか?

一定時間が経過すると、エラーなしでIPsecトンネルがブロックされます。詳しくはどこで確認できますか?

OpenSwanによって生成されたIPsecトンネルがあり、うまく機能し、応答が受信されるとパケットが通過します。ある時点でトラフィックが停止するまでです。

トンネルを再生成できます。

ipsec auto --down tunnelName
ipsec auto --up tunnelName

しかし、最終的には再び衝突が発生します。時には数時間後、時には数日後に発生します。 pluto.logでトンネル競合を示すエラーメッセージが見つかりません見つかった最後の行は、Quick_Modeエントリを報告する行です。

私たちの側: Ubuntu 14.04.4 LTS, Linux Openswan U2.6.38/K3.13.0-91-generic(netkey)

反対側:SAPルーターと未知のファイアウォール

トンネルが正しく機能しない場合は、tcpdumpを使用してこれを調べました。

10:30:53.357186 IP us.isakmp > them.isakmp: isakmp: phase 1 I ident
10:30:53.384168 IP them.isakmp > us.isakmp: isakmp: phase 1 R ident
10:30:53.384880 IP us.isakmp > them.isakmp: isakmp: phase 1 I ident
10:30:53.425034 IP them.isakmp > us.isakmp: isakmp: phase 1 R ident
10:30:53.425770 IP us.isakmp > them.isakmp: isakmp: phase 1 I ident[E]
10:30:53.451727 IP them.isakmp > us.isakmp: isakmp: phase 1 R ident[E]

10:32:01.089957 IP us > them: ESP(spi=0x6e51327d,seq=0x14b), length 100
10:32:02.089097 IP us > them: ESP(spi=0x6e51327d,seq=0x14c), length 100

最初の部分は成功したトンネルキーネゴシエーションであるように見え、2番目の部分は2つの失敗した要求のようです。それともそうではありませんか?

Netstatは、トンネルに送信された要求が到着してタイムアウトしたことをSYN_SENT示します。

トンネルの反対側の端をデバッグすることは許可されていないため、検索できる他のログはありますか?

答え1

一度見てみる/var/log/syslogと、通常はそこに多くのIPsec関連のログを見つけることができます。

非アクティブのため、相手のWindowsと通信する(非常に)古いバグがありました。単純な背景pingで修正したり、パッチで詳細を思い出すことはできません。

それにもかかわらず、ほとんどのファイアウォールには、一定時間以上接続が無効になった場合に切断するデフォルトのタイムアウト規則があります。ただし、一部のパラメータがオフになっているか、奇妙な互換性の問題が原因で発生しない限り、再交渉する必要があります。

関連情報