Я выполняю сервер OpenSwan для упрощения соединений клиент-сервер в безопасный дата-центр.
У меня есть проблема со стандартным L2TP по клиенту IPSEC в MacOS, конкретно при использовании WI-FI.
Когда я соединяюсь впервые, это хорошо работает. Когда я разъединяю и пытаюсь соединиться снова, это перестало работать на шаге аутентификации (совместно использованный секрет).
Из того, что я вижу, когда MAC использует WI-FI, это не заставляет время отправлять УДАЛИТЬ сигнал OpenSwan, поэтому, что касается OpenSwan, что одноранговый узел все еще существует. Я вижу это в журналах OpenSwan:
Jun 8 12:23:43 vpn1 pluto[20030]: ERROR: asynchronous network error report on eth0 (sport=500) for message to 213.242.106.82 port 500, complainant 213.242.106.82: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
Это сообщение продолжает появляться в журналах OpenSwan еще долго после того, как я разъединил клиента Mac. Когда я перезапускаю ipsec сервис на сервер, запись в журнале исчезает, и я могу соединиться снова.
Я включал обнаружение недоступных узлов в свою конфигурацию OpenSwan:
dpddelay=30
dpdtimeout=120
dpdaction=clear
Я вижу, что Обнаружение недоступных узлов включено, когда я запускаю соединение:
Jun 8 12:45:34 vpn1 pluto[11064]: "vpnpsk"[14] 213.242.106.82 #14: STATE_QUICK_R2: IPsec SA established transport mode {ESP/NAT=>0x0188ccda <0x7fe9af15 xfrm=AES_256-HMAC_SHA1 NATOA=none NATD=213.242.106.82:4500 DPD=enabled}
Однако, когда я закрываю соединение на MAC, DPD, кажется, не умирает. OpenSwan просто продолжает регистрировать ошибки о соединении.
Просто поиск ре предложений. фиксация.
Оказывается, это ошибка в версии OpenSwan, которую я использую.
Я использую Amazon Linux AMI, и проблема RPM:
openswan.x86_64 0:2.6.37-3.17.amzn1
Я понизил до
openswan.x86_64 0:2.6.37-2.16.amzn1
и проблема исчезла.
По-видимому, в версии 3.17 имеется довольно много ошибок