我有一个运行Linux 2.6.18
(RHEL版本2.6.18-274.12.1.el5)和ipsec-tools 0.7.3的VPN集中器VM。
我与各种集中器有一堆联系,但有一个一直在我身上死去。远程是思科 ASA。
阶段1 和阶段 2 正确出现,一切似乎都很好,但遥控器突然停止响应。我可以看到 ipsec 数据包出去,但没有响应返回。在此之前,DPD 似乎工作正常(我看到每 10 秒发送一次数据包)。这种情况也不是一直发生,有时它会持续很长时间。
在远程,隧道在这一点上不再活跃,但浣熊仍然认为它有阶段 1 + 阶段 2。是否有 ASA 发送的浣熊忽略的消息?
我也不明白的是,DPD逻辑不会杀死连接。
这是我的racoon.conf:
remote x.x.x.x {
exchange_mode main;
lifetime time 8 hours;
dpd_delay 10;
proposal {
authentication_method pre_shared_key;
encryption_algorithm aes 256;
hash_algorithm sha1;
dh_group 2;
}
proposal_check obey;
}
sainfo subnet y.y.y.y/32[0] any subnet z.z.z.0/26 any {
pfs_group 2;
lifetime time 1 hour;
encryption_algorithm aes 256;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
自从有人问这个问题以来已经有一段时间了,但你可以尝试更新版本的ipsec工具。较新版本中有许多协议互操作修复。此外,请仔细检查您的参数是否与 ASA 匹配,尤其是有关各种生命周期设置。我在浣熊的"远程"部分中的"重新键力"方面也取得了很好的成功。以下是我用于与 ASA 互操作的相关配置部分:
remote w.x.y.z
{
exchange_mode main;
lifetime time 28800 seconds;
proposal_check obey;
rekey force;
proposal {
encryption_algorithm aes 256;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo subnet a.b.c.d/n any subnet e.f.g.h/n any
{
lifetime time 1 hour ;
encryption_algorithm aes 256;
authentication_algorithm hmac_sha1;
compression_algorithm deflate ;
}