r13 Posted July 24, 2017 Share Posted July 24, 2017 (edited) @Le ecureuil Столкнулся со следующей ситуацией На ултре настроено несколько IPIP туннелей в режиме сервера. Насильственно прибиваю клиента IPIP4(отключаю питание) После безуспешных попыток восстановить IPIP4 происходит переинициализаця всего ipsec с отключением всех клиентов. В примере IPIP3 Это так и должно быть? Селфтест далее... Edited July 24, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted July 24, 2017 Share Posted July 24, 2017 Проверим. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted July 24, 2017 Share Posted July 24, 2017 1 час назад, r13 сказал: @Le ecureuil Столкнулся со следующей ситуацией На ултре настроено несколько IPIP туннелей в режиме сервера. Насильственно прибиваю клиента IPIP4(отключаю питание) После безуспешных попыток восстановить IPIP4 происходит переинициализаця всего ipsec с отключением всех клиентов. В примере IPIP3 Это так и должно быть? Селфтест далее... Не удалось воспроизвести, хаб спокойно переживает отпадание и переподключение одного из клиентов, при этом остальные не затрагиваются. Нужно более точные сведения. Quote Link to comment Share on other sites More sharing options...
r13 Posted July 24, 2017 Author Share Posted July 24, 2017 (edited) 30 минут назад, Le ecureuil сказал: Не удалось воспроизвести, хаб спокойно переживает отпадание и переподключение одного из клиентов, при этом остальные не затрагиваются. Нужно более точные сведения. В моем тесте к ультра2 подключено 2 клиента IPIP over IPSec v2 , туннели по параметрам одинаковые, отличаются только ip адреса.(еще болтается virtualip сервер) На клиенте IPIP4 дергаю питание. Север пытается восстановить соединение: [I] Jul 24 19:00:20 ipsec: 12[IKE] retransmit 1 of request with message ID 0 [I] Jul 24 19:00:29 ipsec: 14[IKE] retransmit 2 of request with message ID 0 [I] Jul 24 19:00:39 ipsec: 15[IKE] retransmit 3 of request with message ID 0 [I] Jul 24 19:00:50 ipsec: 07[IKE] retransmit 4 of request with message ID 0 [I] Jul 24 19:01:01 ipsec: 09[IKE] retransmit 5 of request with message ID 0 [I] Jul 24 19:01:14 ipsec: 16[IKE] retransmit 6 of request with message ID 0 [I] Jul 24 19:01:28 ipsec: 16[IKE] retransmit 7 of request with message ID 0 [I] Jul 24 19:01:44 ipsec: 14[IKE] retransmit 8 of request with message ID 0 [I] Jul 24 19:02:01 ipsec: 12[IKE] giving up after 8 retransmits [E] Jul 24 19:02:01 ndm: IpSec::Configurator: remote peer of crypto map "IPIP4" is down. [I] Jul 24 19:02:01 ndm: IpSec::Configurator: crypto map "IPIP4" active IKE SA: 0, active CHILD SA: 0. [I] Jul 24 19:02:01 ndm: Network::Interface::SecureIPTunnel: "IPIP4": IPsec layer is down, shutdown tunnel layer. [I] Jul 24 19:02:01 ndm: Network::Interface::SecureIPTunnel: "IPIP4": secured tunnel is down. [I] Jul 24 19:02:01 ndm: IpSec::Manager: IP secure connection "IPIP4" was stopped. [I] Jul 24 19:02:01 ipsec: 12[IKE] restarting CHILD_SA IPIP4 [I] Jul 24 19:02:01 ipsec: 12[IKE] initiating IKE_SA IPIP4[78] to 192.168.1.66 [I] Jul 24 19:02:02 ndm: IpSec::Configurator: crypto map "IPIP4" active IKE SA: 0, active CHILD SA: 0. [I] Jul 24 19:02:02 ndm: IpSec::Configurator: crypto map "IPIP4" active IKE SA: 0, active CHILD SA: 0. [I] Jul 24 19:02:02 ndm: kernel: EIP93: release SPI cd50f94c [I] Jul 24 19:02:02 ndm: kernel: EIP93: release SPI c1eeca41 Далее идет реконфигурация ipsec [I] Jul 24 19:02:02 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration... [I] Jul 24 19:02:02 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done. [I] Jul 24 19:02:03 ndm: IpSec::Manager: create IPsec reconfiguration transaction... [I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "VirtualIPServer". [I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "IPIP2". [I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "IPIP3". [I] Jul 24 19:02:03 ndm: IpSec::Manager: add config for crypto map "IPIP4". [I] Jul 24 19:02:03 ndm: IpSec::Manager: IPsec reconfiguration transaction was created. [I] Jul 24 19:02:03 ndm: IpSec::Configurator: start applying IPsec configuration. [I] Jul 24 19:02:03 ndm: IpSec::Configurator: IPsec configuration applying is done. [I] Jul 24 19:02:03 ndm: IpSec::Configurator: start reloading IPsec config task. [I] Jul 24 19:02:03 ipsec: 10[CFG] received stroke: delete connection 'VirtualIPServer' [I] Jul 24 19:02:03 ipsec: 10[CFG] deleted connection 'VirtualIPServer' [I] Jul 24 19:02:03 ipsec: 05[CFG] received stroke: delete connection 'IPIP2' [I] Jul 24 19:02:03 ipsec: 05[CFG] deleted connection 'IPIP2' [I] Jul 24 19:02:03 ipsec: 06[CFG] received stroke: delete connection 'IPIP3' [I] Jul 24 19:02:03 ipsec: 06[CFG] deleted connection 'IPIP3' [I] Jul 24 19:02:03 ipsec: 15[CFG] received stroke: delete connection 'IPIP4' [I] Jul 24 19:02:03 ipsec: 15[CFG] deleted connection 'IPIP4' [I] Jul 24 19:02:03 ipsec: 00[DMN] signal of type SIGHUP received. Reloading configuration [I] Jul 24 19:02:03 ipsec: 09[CFG] received stroke: add connection 'VirtualIPServer' [I] Jul 24 19:02:03 ipsec: 00[CFG] loaded 0 entries for attr plugin configuration [I] Jul 24 19:02:03 ipsec: 09[CFG] reusing virtual IP address pool 172.20.0.1-172.20.0.65 [I] Jul 24 19:02:03 ipsec: 09[CFG] added configuration 'VirtualIPServer' [I] Jul 24 19:02:03 ipsec: 07[CFG] received stroke: add connection 'IPIP2' [I] Jul 24 19:02:03 ipsec: 07[CFG] added configuration 'IPIP2' [I] Jul 24 19:02:03 ipsec: 10[CFG] received stroke: add connection 'IPIP3' [I] Jul 24 19:02:03 ipsec: 10[CFG] added configuration 'IPIP3' [I] Jul 24 19:02:03 ipsec: 05[CFG] received stroke: add connection 'IPIP4' [I] Jul 24 19:02:03 ipsec: 05[CFG] added configuration 'IPIP4' [I] Jul 24 19:02:04 ndm: IpSec::Configurator: reloading IPsec config task done. [I] Jul 24 19:02:04 ndm: IpSec::Configurator: crypto map "IPIP3" shutdown started. [I] Jul 24 19:02:04 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration... Приводящая к закрытию IPIP3 [I] Jul 24 19:02:04 ndm: IpSec::Configurator: crypto map "IPIP3" shutdown started. Что еще нужно уточнить? Edited July 24, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
r13 Posted July 24, 2017 Author Share Posted July 24, 2017 Пару часов экспериментов, закономерность не нашел. Может обрываться, а может инет. так что спишу пока на "подземный стук". Если получиться выявить какую-то закономерность отпишусь. Quote Link to comment Share on other sites More sharing options...
r13 Posted August 21, 2017 Author Share Posted August 21, 2017 Положу свежий селфтест с 2.10.A.6.0-0 Quote Link to comment Share on other sites More sharing options...
KorDen Posted October 1, 2017 Share Posted October 1, 2017 (edited) Словил нечто подобное, в моем случае попытки переподключиться к серверу в качестве клиента рестартовали и серверное подключение Сменился внешний IP у роутера, нужно было обновить туннели. После смены IP первым обновил destination на удаленной гиге-клиенте (соединение IPIP2), и оно заработало. Затем пошел обновлять на сервере (strongswan 5.3.5/4.4.0-96-generic, соединение IPIP0), и при изменении ошибся в right. Т.е. rightsubnet был корректный, а right - нет, и сервер бесконечно отвечал NO_PROPOSAL_CHOSEN. В итоге все это время дергалось и IPIP2 (ну и VirtualIP заодно, короче говоря все) Edited October 1, 2017 by KorDen Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.