IPsec StrongSwan nenavaze spojeni
Dan Lukes
dan at obluda.cz
Wed May 4 10:46:23 CEST 2022
StrongSwan neznam, takze odpovim spis obecne.
On 28.4.2022 19:23, Miroslav Lachman wrote:
> Muj problem je, ze pokud tam mam nastaveno auto=route, tak by to podle
> dokumentace melo nainstalovat kernal trap a pokud system zachyti nejaky
> trafik do te destinace a spojeni jeste neni navazane, tak ho navaze.
To je soucast implementace IPSEC. Pokud podle policy ma do nejake
destinace jit paket pres IPSEC, ale nejsou k dispozici potrebne
parametry (=IPSEC spojeni neni hotove) tak se vygeneruje zprava pro
ISAKMP daemona (zde StrongWan), od ktereho se ocekava, ze parametry
dohodne a spojeni navaze.
Pokud to nefunguje, znamena, ze neco z toho selhalo - zprava pro daemona
se nevygenerovala, nebo ji daemon neobdrzel, nebo ji nerozumel, nebo se
mu pozadovane spojeni navazat nepodarilo.
Ktery z tech moznych problemu to je lze zjistit jen z nejakejch LOGu
a/nebo ladenim.
> Puvodne jsem to v konfiguraci mel nastavene jako auto=start, ale pokud
> dojde k ukonceni spojeni z protejsi strany, ztrate konektivity, nebo
> jinym problemum, tak uz se spojeni samo neobnovi.
Ano.
Jen mam potrebu upozornit, ze ...
> What usually works best is to use auto=route for your connection. The
> kernel will (re-)trigger the connection if it failed for whatever
> reason, and ensures that no traffic passes unencrypted
... tohle tak uplne neplati. IPSEC ma "by design" problem, ze nefunguje
dobre ve striktne client-server prostredi.
Predstav si klienta spojeneho se serverem. Na strane serveru dojde k
jednostrannemu zaniku aktualniho IPSEC spojeni. O tom ale klient nic
nevi a normalne posila IPSEC pakety. SServer je zahazuje, protoz epodl
enej nepatri zadnemu aktivnimu spojeni. Tim se k nemu nedostava zadny
pozadavek na ktery by server mohl odpovedet a kdyz server neodpovida,
neposila zadne pakety, ktere by aktivovaly trigger a handhaking noveho
spojeni. Sojeni pak je nepruchozi dokud hanshaking nezahaji klient, coz
se stane teprve po zaniku stavajiciho spojeni.
Ale to rikam spis pro doplneni, tvuj problem tohle asi nebude.
Dan
More information about the Users-l
mailing list