我使用 IPsec 在两个站点之间创建了隧道。我在配置中犯了一个错误,目标地址是错误的,所以我删除了这个隧道。但删除后,ipsec 会尝试与其他站点建立连接。
我从中得到什么ipsec statusall:
Connections:
Security Associations (1 up, 0 connecting):
TEST4[1]: CONNECTING, x.x.x.x[%any]...y.y.y.y[%any]
TEST4[1]: IKE SPIs: eb1655dd8f51750d_i* 0000000000000000_r
TEST4[1]: Tasks active: IKE_VENDOR IKE_INIT IKE_NATD IKE_CERT_PRE IKE_AUTHENTICATE IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME
从日志文件中我得到:
peer not responding, trying again (52/0)
charon: 04[IKE] initiating IKE_SA TEST4[1] to y.y.y.y
charon: 04[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
charon: 04[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 03[IKE] retransmit 1 of request with message ID 0
charon: 03[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 01[IKE] retransmit 2 of request with message ID 0
charon: 01[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 14[IKE] retransmit 3 of request with message ID 0
charon: 14[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 05[IKE] retransmit 4 of request with message ID 0
charon: 05[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 02[IKE] retransmit 5 of request with message ID 0
charon: 02[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
当我删除隧道时,如何重新配置 ipsec 以了解新配置,以便即使没有隧道,它也不会继续尝试建立连接?
答案1
仅更新 StrongSwan 配置文件不会影响正在运行的密钥守护进程或已建立的 IPsec 隧道。
您必须使用 重新启动守护程序ipsec restart(这将终止所有现有的 IKE 和 IPsec 安全关联),或者使用 使其了解更新的配置ipsec update。由于后者对现有连接没有影响,因此您必须终止之前使用 手动启动的连接ipsec down。就你而言ipsec down TEST4。
man ipsec或者ipsec有关命令的页面StrongSwan wiki 上提供了有关可用控制命令的更多信息。