我正在运行 OpenSwan 服务器以促进客户端-服务器连接到安全数据中心。
我在使用 MacOS 中的标准 L2TP over IPSEC 客户端时遇到了问题,特别是在使用 WIFI 时。
我第一次连接时,一切正常。当我断开连接并尝试再次连接时,它在身份验证步骤(共享密钥)失败。
据我所知,当 MAC 使用 WIFI 时,它没有时间向 OpenSwan 发送 DELETE 信号,因此就 OpenSwan 而言,对等体仍然存在。我可以在 OpenSwan 日志中看到这一点:
Jun 8 12:23:43 vpn1 pluto[20030]: ERROR: asynchronous network error report on eth0 (sport=500) for message to 213.242.106.82 port 500, complainant 213.242.106.82: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
在我断开 Mac 客户端连接后很长时间,此消息仍继续出现在 OpenSwan 日志中。当我重新启动服务器上的 ipsec 服务时,日志条目消失,我可以再次连接。
我在 OpenSwan 配置中包含了死对等检测:
dpddelay=30
dpdtimeout=120
dpdaction=clear
当我启动连接时,我可以看到“死对等体检测”已启用:
Jun 8 12:45:34 vpn1 pluto[11064]: "vpnpsk"[14] 213.242.106.82 #14: STATE_QUICK_R2: IPsec SA established transport mode {ESP/NAT=>0x0188ccda <0x7fe9af15 xfrm=AES_256-HMAC_SHA1 NATOA=none NATD=213.242.106.82:4500 DPD=enabled}
但是,当我关闭 MAC 上的连接时,DPD 似乎没有启动。OpenSwan 只是不断记录有关连接的错误。
只是想寻求修复方面的建议。
答案1
事实证明这是我正在使用的 OpenSwan 版本的一个错误。
我正在使用 Amazon Linux AMI,问题 RPM 是:
openswan.x86_64 0:2.6.37-3.17.amzn1
我降级为
openswan.x86_64 0:2.6.37-2.16.amzn1
问题就消失了。
显然 3.17 中有很多错误