Sziasztok,
egy régi p2p implementáció kivezetésén dolgozok StrongSwan/IPSec alapon, azonban random sokszorozódnak az SA -k, amellett, hogy maga a kapcsolat stabil mindket iranyban.
Előzetesen:
- az auto=start tudom, hogy nem javallott mindkét oldalon, de az auto=add esetén egy elvesztett kapcsolat nem minden esetben tudott ujraépülni
- az FQDN alapu cimzeshez hozzatartozik, hogy akar a DNS -ben, akar a hosts fajlban megfeleloen szerepel.
Ime a ket oldal ipsec.conf -ja:
conn si
keyexchange=ikev2
ike=aes256-sha256-modp2048!
esp=aes256-sha256!
ikelifetime=8h
keylife=1h
left=ips-si.domain.hu
leftauth=psk
leftid=@ips-si.domain.hu
leftsubnet=192.168.20.0/24
right=ips-gd.domain.hu
rightid=@ips-gd.domain.hu
rightsubnet=10.20.0.0/16
rightauth=psk
auto=start
closeaction=restart
dpdaction=restart
conn gd
keyexchange=ikev2
ike=aes256-sha256-modp2048!
esp=aes256-sha256!
ikelifetime=8h
keylife=1h
left=ips-gd.domain.hu
leftauth=psk
leftid=@ips-gd.domain.hu
leftsubnet=10.20.0.0/16
right=ips-si.domain.hu
rightid=@ips-si.domain.hu
rightsubnet=192.168.20.0/24
rightauth=psk
auto=start
closeaction=restart
dpdaction=restart
mindekozben az ipsec statusall vonatkozo blokkja pedig sokszorozza az SA -kat:
Security Associations (24 up, 0 connecting):
si[40]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{413}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c5fd9cc5_i cce92764_o
si{413}: 10.20.0.0/16 === 192.168.20.0/24
si[39]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{435}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c36bdd92_i c7ceb7e7_o
si{435}: 10.20.0.0/16 === 192.168.20.0/24
si[34]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{421}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c541c8e1_i ce85eacb_o
si{421}: 10.20.0.0/16 === 192.168.20.0/24
si[33]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{430}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c069c53d_i c0459266_o
si{430}: 10.20.0.0/16 === 192.168.20.0/24
si[32]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{420}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c49e3ccc_i ce442666_o
si{420}: 10.20.0.0/16 === 192.168.20.0/24
si[31]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{416}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c5371a79_i cd90a37b_o
si{416}: 10.20.0.0/16 === 192.168.20.0/24
si[28]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{424}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c640fce2_i ca02677c_o
si{424}: 10.20.0.0/16 === 192.168.20.0/24
si[27]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{434}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c5c5304b_i c6ecb0d4_o
si{434}: 10.20.0.0/16 === 192.168.20.0/24
si[26]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{427}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: cd38c425_i c31d41c4_o
si{427}: 10.20.0.0/16 === 192.168.20.0/24
si[25]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{418}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c184a1b7_i c3c80d27_o
si{418}: 10.20.0.0/16 === 192.168.20.0/24
si[20]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{417}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c7104173_i c985657d_o
si{417}: 10.20.0.0/16 === 192.168.20.0/24
si[19]: ESTABLISHED 6 hours ago, 2a01:4ff:c012:2000::153[ips-gd.domain.hu]...2a01:4ff:c013:3000::240[ips-si.domain.hu]
si{426}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c3495f02_i c9285dd9_o
si{426}: 10.20.0.0/16 === 192.168.20.0/24
A kerdes az, hogy a fent emlitett auto parameterezesen kivul meg mi nem jo itt, ha a kapcsolat alapbol letrejon es stabil?
kis update: uniqueids=no eseten is ugyanez a szitu.
- 915 megtekintés
Hozzászólások
A mindkét oldalon lévő "auto=start" pont ilyen és hasonló szörnyűségeket fog eredményezni, célszerű lenne erre fókuszálnod: "de az auto=add esetén egy elvesztett kapcsolat nem minden esetben tudott ujraépülni"
az id-k csak sikeres összeállás után lesznek egyedileg ellenőrizve, de mivel mindkét oldalon initiator-ként indul a story, ezért gyakorlatilag soha :)
Szóval itt nem arról van szó, hogy nem javallott, hanem arról, hogy normál üzemben igazából tilos (ha mindkét oldal IKE_SA_INIT -el fog indítani és senki nem nézi az id-k egyediségét mert pont ezt a role-t vered agyon, legalábbis IKEv2 alatt egészen biztosan)
// Happy debugging, suckers
#define true (rand() > 10)
- A hozzászóláshoz be kell jelentkezni
De miért nem használ auto=route -ot mindkét oldalon. Ez a javasolt beállítás s2s ipsec-nél. Ez berakja a trap-et a kernel policy-ba és ha illeszkedő csomag jön triggereli az SA-t.
- A hozzászóláshoz be kell jelentkezni
Kipróbáltam most, ha egy napon belül nem lesz 10+ SA, akkor ez a jó megoldás (vegyesben már póbáltam, ott nem vált be).
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
függően attól, hogy mekkora a forgalom a tunnel-en, párhuzamosan kettő még előfordulhat (illetve rekeying esetén még lehet problémás)
// Happy debugging, suckers
#define true (rand() > 10)
- A hozzászóláshoz be kell jelentkezni
Igen, tapasztaltam. Mindenesetre betettem monit -ot ezekre a kapcsolatokra, aztan legrosszabb esetben ujra felepul (a dpd nalam max futarszolgalatkent mukodik valamiert).
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni