适用于 Mac WIFI 客户端的 OpenSwan 死对等检测

适用于 Mac WIFI 客户端的 OpenSwan 死对等检测

我正在运行 OpenSwan 服务器以促进客户端-服务器连接到安全数据中心。

我在使用 MacOS 中的标准 L2TP over IPSEC 客户端时遇到了问题,特别是在使用 WIFI 时。

我第一次连接时,一切正常。当我断开连接并尝试再次连接时,它在身份验证步骤(共享密钥)失败。

据我所知,当 MAC 使用 WIFI 时,它没有时间向 OpenSwan 发送 DELETE 信号,因此就 OpenSwan 而言,对等体仍然存在。我可以在 OpenSwan 日志中看到这一点:

Jun  8 12:23:43 vpn1 pluto[20030]: ERROR: asynchronous network error report on eth0 (sport=500) for message to 213.242.106.82 port 500, complainant 213.242.106.82: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

在我断开 Mac 客户端连接后很长时间,此消息仍继续出现在 OpenSwan 日志中。当我重新启动服务器上的 ipsec 服务时,日志条目消失,我可以再次连接。

我在 OpenSwan 配置中包含了死对等检测:

 dpddelay=30
 dpdtimeout=120
 dpdaction=clear

当我启动连接时,我可以看到“死对等体检测”已启用:

Jun  8 12:45:34 vpn1 pluto[11064]: "vpnpsk"[14] 213.242.106.82 #14: STATE_QUICK_R2: IPsec SA established transport mode {ESP/NAT=>0x0188ccda <0x7fe9af15 xfrm=AES_256-HMAC_SHA1 NATOA=none NATD=213.242.106.82:4500 DPD=enabled}

但是,当我关闭 MAC 上的连接时,DPD 似乎没有启动。OpenSwan 只是不断记录有关连接的错误。

只是想寻求修复方面的建议。

答案1

事实证明这是我正在使用的 OpenSwan 版本的一个错误。

我正在使用 Amazon Linux AMI,问题 RPM 是:

 openswan.x86_64 0:2.6.37-3.17.amzn1

我降级为

openswan.x86_64 0:2.6.37-2.16.amzn1

问题就消失了。

显然 3.17 中有很多错误

相关内容