OpenSwan на Amazon EC2 - максимальное количество повторных передач достигло STATE_MAIN_I3. Возможная ошибка аутентификации:
Мы общаемся с одним из наших клиентов через VPN-туннель.
Туннель Openswan раньше работал отлично. Сегодня мы подключили эластичный IP к серверу и перезагрузились. С тех пор туннель не запускается.
Вот шаги, которые мы выполнили:
Попросили клиента обновить наш новый IP-адрес на своем конце - ВЫПОЛНЕНО
Обновить ipsec.config на нашем конце - ГОТОВО ( Вот новый файл)
nat_traversal = yes oe = выкл protostack = netkey интерфейсы = "% defaultroute" клиент тип = туннель authby = секрет left =% defaultroute leftid = 52.24.154.45 <эластичный-ip> leftsourceip = 172.31.38.203leftnexthop =% defaultroute leftsubnet = 172.31.0.0 / 16 right = rightid = rightsubnet = <подсеть- клиентов> phase2 = esp phase2alg = 3des-md5; modp1024 ike = 3des-md5; modp1024! ikelifetime = 480 м pfs = нет auto = start rekey = да keyingtries =% навсегда ipsec.secrets - Никаких изменений не требуется.
включает /var/lib/openswan/ipsec.secrets.inc0.0.0.0% любое: PSK «xxxxxxxxxxxxxx» ipsec auto --status
000 с использованием интерфейса ядра: netkey 000 интерфейс lo / lo :: 1 000 интерфейс lo / lo 127.0.0.1 000 интерфейс lo / lo 127.0.0.1 000 интерфейс eth0 / eth0 172.31.38.203 000 интерфейс eth0 / eth0 172.31.38.203 000 интерфейс eth0 / eth0 52.24.154.45 000 интерфейс eth0 / eth0 52.24.154.45 000% myid = (нет) 000 нет отладки 000
000 virtual_private (% priv): 000 - разрешено 7 подсетей: 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 25.0.0.0/8, 203.201.213.0/24, fd00 :: / 8, fe80 :: / 10 000 - запрещены 0 подсетей: 000 ПРЕДУПРЕЖДЕНИЕ: Запрещенные подсети в virtual_private = пусто. Если у вас есть 000 во внутреннем использовании, его следует исключить! 000
000 алгоритм ESP encrypt: id = 2, name = ESP_DES, ivlen = 8, keysizemin = 64, keysizemax = 64 000 алгоритм ESP encrypt: id = 3, name = ESP_3DES, ivlen = 8, keysizemin = 192, keysizemax = 192 000 алгоритм ESP encrypt: id = 6, name = ESP_CAST, ivlen = 8, keysizemin = 40, keysizemax = 128 000 алгоритм ESP encrypt: id = 7, name = ESP_BLOWFISH, ivlen = 8, keysizemin = 40, keysizemax = 448 000 алгоритм ESP encrypt: id = 11, name = ESP_NULL, ivlen = 0, keysizemin = 0, keysizemax = 0 000 алгоритм ESP encrypt: id = 12, name = ESP_AES, ivlen = 8, keysizemin = 128, keysizemax = 256 000 алгоритм ESP encrypt: id = 13, name = ESP_AES_CTR, ivlen = 8, keysizemin = 160, keysizemax = 288 000 алгоритм ESP encrypt: id = 14, name = ESP_AES_CCM_A, ivlen = 8, keysizemin = 128, keysizemax = 256 000 алгоритм ESP encrypt: id = 15, name = ESP_AES_CCM_B, ivlen = 8, keysizemin = 128, keysizemax = 256 000 алгоритм ESP encrypt: id = 16, name = ESP_AES_CCM_C, ivlen = 8, keysizemin = 128, keysizemax = 256 000 алгоритм шифрования ESP: id = 18, name = ESP_AES_GCM_A, ivlen = 8, keysizemin = 128, keysizemax = 256 000 алгоритм шифрования ESP: id = 19, name = ESP_AES_GCM_B, ivlen = 8, keysizemin = 128, keysizemax = 256 000 алгоритм ESP encrypt: id = 20, name = ESP_AES_GCM_C, ivlen = 8, keysizemin = 128, keysizemax = 256 000 алгоритм ESP encrypt: id = 22, name = ESP_CAMELLIA, ivlen = 8, keysizemin = 128, keysizemax = 256 000 алгоритм ESP encrypt: id = 252, name = ESP_SERPENT, ivlen = 8, keysizemin = 128, keysizemax = 256 000 алгоритм ESP encrypt: id = 253, name = ESP_TWOFISH, ivlen = 8, keysizemin = 128, keysizemax = 256 000 алгоритм ESP auth attr: id = 1, name = AUTH_ALGORITHM_HMAC_MD5, keysizemin = 128, keysizemax = 128 000 алгоритм ESP auth attr: id = 2, name = AUTH_ALGORITHM_HMAC_SHA1, keysizemin = 160, keysizemax = 160 000 алгоритм ESP auth attr: id = 5, name = AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin = 256, keysizemax = 256 000 алгоритм ESP auth attr: id = 6, name = AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin = 384, keysizemax = 384 000 алгоритм ESP auth attr: id = 7, name = AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin = 512, keysizemax = 512 000 алгоритм ESP auth attr: id = 8, name = AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin = 160, keysizemax = 160 000 алгоритм ESP auth attr: id = 9, name = AUTH_ALGORITHM_AES_CBC, keysizemin = 128, keysizemax = 128 000 алгоритм ESP auth attr: id = 251, name = AUTH_ALGORITHM_NULL_KAME, keysizemin = 0, keysizemax = 0 000
000 алгоритм шифрования IKE: id = 0, name = (null), blockize = 16, keydeflen = 131 000 алгоритм шифрования IKE: id = 5, name = OAKLEY_3DES_CBC, blocksize = 8, keydeflen = 192 000 алгоритм шифрования IKE: id = 7, name = OAKLEY_AES_CBC, blockize = 16, keydeflen = 128 000 алгоритм IKE hash: id = 1, name = OAKLEY_MD5, hashsize = 16 000 алгоритм IKE hash: id = 2, name = OAKLEY_SHA1, hashsize = 20 000 алгоритм IKE hash: id = 4, name = OAKLEY_SHA2_256, hashsize = 32 000 алгоритм хеширования IKE: id = 6, name = OAKLEY_SHA2_512, hashsize = 64 000 алгоритм IKE dh group: id = 2, name = OAKLEY_GROUP_MODP1024, бит = 1024 000 алгоритм IKE dh group: id = 5, name = OAKLEY_GROUP_MODP1536, биты = 1536 000 алгоритм IKE dh group: id = 14, name = OAKLEY_GROUP_MODP2048, биты = 2048 000 алгоритм IKE dh group: id = 15, name = OAKLEY_GROUP_MODP3072, биты = 3072 000 алгоритм IKE dh group: id = 16, name = OAKLEY_GROUP_MODP4096, биты = 4096 000 алгоритм IKE dh group: id = 17, name = OAKLEY_GROUP_MODP6144, биты = 6144 000 алгоритм IKE dh group: id = 18, name = OAKLEY_GROUP_MODP8192, биты = 8192 000 алгоритм IKE dh group: id = 22, name = OAKLEY_GROUP_DH22, биты = 1024 000 алгоритм IKE dh group: id = 23, name = OAKLEY_GROUP_DH23, биты = 2048 000 алгоритм IKE dh group: id = 24, name = OAKLEY_GROUP_DH24, биты = 2048 000
000 статистики db_ops: {curr_cnt, total_cnt, maxsz}: context = {0,1,64} trans = {0,1,3072} attrs = {0,1,2048} 000
000 «заказчик»: 172.31.0.0/16===172.31.38.203 [52.24.154.45 impression---172.31.32.1...203.201.209.98<203.201.209.98>===203.201.213.0/24; предполагаемый маршрут; Владелец eroute: # 0 000 «клиент»: myip = 172.31.38.203; hisip = не установлено; 000 «заказчик»: ike_life: 28800s; ipsec_life: 28800 с; rekey_margin: 540 с; rekey_fuzz: 100%; попыток ввода: 0 000 «клиент»: политика: PSK + ENCRYPT + TUNNEL + UP + IKEv2ALLOW + SAREFTRACK + lKOD + rKOD; приоритет: 16,24; интерфейс: eth0; 000 «заказчик»: новейший ISAKMP SA: # 0; новейшая IPsec SA: # 0; 000 «заказчик»: требуются алгоритмы IKE: 3DES_CBC (5) _000-MD5 (1) _000-MODP1024 (2); флаги = строгие 000 «заказчик»: найдены алгоритмы IKE: 3DES_CBC (5) _192-MD5 (1) _128-MODP1024 (2) 000 «заказчик»: Требуются алгоритмы ESP: 3DES (3) _000-MD5 (1) _000; pfsgroup = MODP1024 (2); flags = -strict 000 «заказчик»: загружены алгоритмы ESP: 3DES (3) _192-MD5 (1) _128 000
000 # 2: «клиент»: 4500 STATE_MAIN_I3 (отправлено MI3, ожидается MR3); EVENT_RETRANSMIT через 33 секунды; nodpd; холостой ход; импорт: инициировать админ 000 # 2: ожидает Фаза 2 для "клиента", заменяющего # 0 000tail /var/log/auth.log[12155 providedJan 11 20:10:57 ip-172-31-38-203 ipsec__plutorun: Запуск подсистемы Плутона ... 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: запуск Плутона (Openswan версии 2.6.38; идентификатор поставщика OEvy \ 134kgzWq \ 134s) pid: 27458 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: поддержка LEAK_DETECTIVE [отключена] 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: поддержка OCF для IKE [отключена] 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: поддержка SAref [отключена]: протокол недоступен 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: поддержка SAbind [отключена]: протокол недоступен 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: поддержка NSS [отключена] 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: поддержка уведомлений HAVE_STATSD не скомпилирована в 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: установка NAT-Traversal port-4500 в положение «включено» 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: критерии активации плавающего порта nat_t = 1 / port_float = 1 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: поддержка NAT-Traversal [включена] 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: использование / dev / urandom в качестве источника случайной энтропии 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_register_enc (): Активация OAKLEY_AES_CBC: Ok (ret = 0) 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_register_hash (): Активация OAKLEY_SHA2_512: Ok (ret = 0) 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_register_hash (): активация OAKLEY_SHA2_256: Ok (ret = 0) 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: запуск 1 криптографических помощников 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: запущен помощник pid = 27460 (fd: 6) 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: Использование кода интерфейса IPsec Linux 2.6 на 3.13.0-36-generic (экспериментальный код) 11 января 20:10:57 ip-172-31-38-203 pluto [27460]: использование / dev / urandom в качестве источника случайной энтропии 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_register_enc (): Активация aes_ccm_8: Ok (ret = 0) 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_add (): ОШИБКА: algo_type '0', algo_id '0', тип алгоритма уже существует 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_register_enc (): Активация aes_ccm_12: FAILED (ret = -17) 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_add (): ОШИБКА: algo_type '0', algo_id '0', тип алгоритма уже существует 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_register_enc (): активация aes_ccm_16: FAILED (ret = -17) 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_add (): ОШИБКА: algo_type '0', algo_id '0', тип алгоритма уже существует 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_register_enc (): активация aes_gcm_8: FAILED (ret = -17) 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_add (): ОШИБКА: algo_type '0', algo_id '0', тип алгоритма уже существует 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_register_enc (): Активация aes_gcm_12: FAILED (ret = -17) 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_add (): ОШИБКА: algo_type '0', algo_id '0', тип алгоритма уже существует 11 января 20:10:57 ip-172-31-38-203 pluto [27458]: ike_alg_register_enc (): Активация aes_gcm_16: FAILED (ret = -17) 11.01 20:10:58 ip-172-31-38-203 pluto [27458]: добавлено описание подключения "заказчик" 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: прослушивание сообщений IKE 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: добавление интерфейса eth0 / eth0 52.24.154.45:500 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: добавление интерфейса eth0 / eth0 52.24.154.45:4500 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: добавление интерфейса eth0 / eth0 172.31.38.203:500 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: добавление интерфейса eth0 / eth0 172.31.38.203:4500 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: добавление интерфейса lo / lo 127.0.0.1:500 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: добавление интерфейса lo / lo 127.0.0.1:4500 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: добавление интерфейса lo / lo :: 1: 500 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: загрузка секретов из "/etc/ipsec.secrets" 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: загрузка секретов из "/var/lib/openswan/ipsec.secrets.inc" 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: "customer" # 1: запуск основного режима 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: "customer" # 1: игнорирование полезной нагрузки идентификатора поставщика [ФРАГМЕНТАЦИЯ] 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: "customer" # 1: получена полезная нагрузка идентификатора поставщика [draft-ietf-ipsec-nat-t-ike-02_n], для метода установлено значение = 106 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: "customer" # 1: включение возможного NAT-обхода методом draft-ietf-ipsec-nat-t-ike-05 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: "customer" # 1: переход из состояния STATE_MAIN_I1 в состояние STATE_MAIN_I2 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: "customer" # 1: STATE_MAIN_I2: отправлено MI2, ожидая MR2 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: "customer" # 1: NAT-Traversal: результат с использованием draft-ietf-ipsec-nat-t-ike-02/03: i я NATed 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: "customer" # 1: переход из состояния STATE_MAIN_I2 в состояние STATE_MAIN_I3 11 января 20:10:58 ip-172-31-38-203 pluto [27458]: "customer" # 1: STATE_MAIN_I3: отправлено MI3, ожидая MR3 11 января 20:12:01 ip-172-31-38-203 pluto [27458]: инициировать по запросу с 172.31.38.203:0 до 203.201.213.58:80 proto = 6 state: fos_start потому что: получить 11 января 20:12:08 ip-172-31-38-203 pluto [27458]: "customer" # 1: максимальное количество повторных передач (2) достигло STATE_MAIN_I3. Возможный сбой аутентификации: неприемлемый ответ на наше первое зашифрованное сообщение 11 января 20:12:08 ip-172-31-38-203 pluto [27458]: "customer" # 1: начало попытки ввода 2 неограниченного числа
Как вы можете видеть в последних нескольких строках, проблема is:
"customer" # 1: достигнуто максимальное количество повторных передач (2) STATE_MAIN_I3. Возможный сбой аутентификации: неприемлемо ответ на наше первое зашифрованное сообщение
Может ли кто-нибудь направить нас в правильном направлении? Мы испробовали почти все возможные комбинации секретного файла и конфигурации IPSec.
Не уверен, актуально ли это больше, но мы регулярно сталкиваемся с аналогичными ошибками на нашем VPN-сервере (также размещенном на AWS).
Обычно перезапуск служб с помощью этих команд решает проблему. :
/etc/init.d/ipsec restart/etc/init.d/xl2tpd restart
Но я не знаю, почему это вообще происходит. Иногда туннель VPN разрушается во время использования, и только его перезапуск позволяет снова установить соединение