gpt4 book ai didi

linux - Cisco ASA 和 Linux IPSec (racoon) 之间的 IPSec 隧道停止工作

转载 作者:塔克拉玛干 更新时间:2023-11-03 01:01:29 30 4
gpt4 key购买 nike

我有一个运行 Linux 2.6.18(RHEL 版本 2.6.18-274.12.1.el5)和 ipsec-tools 0.7.3 的 VPN 集中器 VM。

我与各种集中器有很多联系,但有一个一直在我身上死去。 Remote 是 Cisco ASA。

第 1 阶段和第 2 阶段正确启动,一切似乎都很顺利,但 Remote 突然停止响应。我可以看到 ipsec 数据包发出但没有响应返回。在那之前,DPD 似乎工作正常(我看到每 10 秒发送一次数据包)。这种情况也不是一直发生,有时会持续很长时间。

在远程,隧道此时不再处于事件状态,但 racoon 仍然认为它正在进行第 1 阶段和第 2 阶段。是否有 ASA 发送的消息被 Racoon 忽略了?

我也不明白的是 DPD 逻辑不会终止连接。

这是我的 racoon.conf:

remote x.x.x.x {
exchange_mode main;
lifetime time 8 hours;
dpd_delay 10;

proposal {
authentication_method pre_shared_key;
encryption_algorithm aes 256;
hash_algorithm sha1;
dh_group 2;
}
proposal_check obey;
}
sainfo subnet y.y.y.y/32[0] any subnet z.z.z.0/26 any {
pfs_group 2;
lifetime time 1 hour;
encryption_algorithm aes 256;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}

最佳答案

这个问题已经有一段时间了,但您可以尝试更新版本的 ipsec-tools。较新版本中有许多协议(protocol)互操作性修复。此外,仔细检查您的参数是否与 ASA 匹配,特别是关于各种生命周期设置。我在 Racoon 的“远程”部分的“rekey force”也取得了很好的成功。以下是我用于与 ASA 互操作的相关配置部分:

remote w.x.y.z
{
exchange_mode main;
lifetime time 28800 seconds;
proposal_check obey;
rekey force;
proposal {
encryption_algorithm aes 256;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}

sainfo subnet a.b.c.d/n any subnet e.f.g.h/n any
{
lifetime time 1 hour ;
encryption_algorithm aes 256;
authentication_algorithm hmac_sha1;
compression_algorithm deflate ;
}

关于linux - Cisco ASA 和 Linux IPSec (racoon) 之间的 IPSec 隧道停止工作,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19587019/

30 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com