有一个用 OpenSwan 创建的 IPsec 隧道,它可以很好地工作,数据包通过收到的答案等,直到某个时间点流量停止。
我可以重新生成隧道
ipsec auto --down tunnelName
ipsec auto --up tunnelName
但最终它会再次崩溃,有时是几小时后,有时是几天后。我无法在 pluto.log 中找到任何指示隧道崩溃的错误消息,找到的最后一行是报告 Quick_Mode 条目的行。
我们这边:Ubuntu 14.04.4 LTS,Linux Openswan U2.6.38/K3.13.0-91-generic (netkey)
另一面:SAP路由器和未知防火墙
当隧道没有完成其工作时,我使用 tcpdump 挖掘了这个:
10:30:53.357186 IP us.isakmp > them.isakmp: isakmp: phase 1 I ident
10:30:53.384168 IP them.isakmp > us.isakmp: isakmp: phase 1 R ident
10:30:53.384880 IP us.isakmp > them.isakmp: isakmp: phase 1 I ident
10:30:53.425034 IP them.isakmp > us.isakmp: isakmp: phase 1 R ident
10:30:53.425770 IP us.isakmp > them.isakmp: isakmp: phase 1 I ident[E]
10:30:53.451727 IP them.isakmp > us.isakmp: isakmp: phase 1 R ident[E]
10:32:01.089957 IP us > them: ESP(spi=0x6e51327d,seq=0x14b), length 100
10:32:02.089097 IP us > them: ESP(spi=0x6e51327d,seq=0x14c), length 100
第一部分似乎是成功的隧道密钥协商,第二部分是两个失败的请求,或者不是?
Netstat 表示发送到隧道的请求只不过到达然后SYN_SENT超时。
由于不允许我调试隧道的另一端,是否还有其他我可以搜索的日志?
答案1
看一下/var/log/syslog,通常会在那里找到大量与 ipsec 相关的日志。
由于不活动,曾经有一个(非常)老的错误与另一端的 Windows 通信......一个简单的后台 ping 修复了这个问题,或者一个补丁);但不记得具体细节了。
尽管如此,大多数防火墙都有默认的超时规则,如果连接不活动超过一定时间,它们将断开连接。然而,除非某些参数关闭,或者由于一些奇怪的兼容性问题,否则应该再次协商。