[Comm] Постоянные попытки установить коннект при уже установленном соединении WAS: Re: Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan)

Kostarev Alexey =?iso-8859-1?q?kaf_=CE=C1_nevod=2Eru?=
Пн Ноя 26 10:13:55 MSK 2007


Michael Shigorin wrote:

>On Wed, Oct 24, 2007 at 12:58:11AM +0300, Grigory Milev wrote:
>  
>
>>>>Мы используем strongswan. Он прекрасно работает без клипсов
>>>>в связке strongswan <-> strongswan.
>>>>        
>>>>
>>>Ну это понятно. Openswan тоже прекрасно работает без клипса,
>>>на неткее.  Только вот с клипсом гораздо удобнее строить
>>>фаерволы.
>>>      
>>>
>>Есть strongswan - работает отлично, могу подлится.
>>    
>>
Добрый день!
По поводу strongswan - коннект устанавливается нормально.
Был у меня в одном варианте тормоз с установкой соединени я- но тут сам 
виноват - включил максимум отладки -
из за нее и  притормаживал...

Проблема сейчас в другом - соединение устанавливается довольно быстро, 
но после установки соединения продолжаются попытки
установить уже установленное соединение (по моим впечатлениям)
Команда
ipsec status выдает:
000 "telecom-to-tplus": 
195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.153.194[@telecom.perm.
ru]; erouted; eroute owner: #359955
000 "telecom-to-tplus":   newest ISAKMP SA: #357471; newest IPsec SA: 
#359955;
000 "telecom-to-tplusnet": 
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.15
3.194[@telecom.perm.ru]; erouted; eroute owner: #359952
000 "telecom-to-tplusnet":   newest ISAKMP SA: #0; newest IPsec SA: #359952;
000 "telecomnet-to-tplus": 
195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.153.194[@telecom.pe
rm.ru]===192.168.0.0/24; erouted; eroute owner: #359953
000 "telecomnet-to-tplus":   newest ISAKMP SA: #0; newest IPsec SA: #359953;
000 "telecomnet-to-tplusnet": 
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222
.153.194[@telecom.perm.ru]===192.168.0.0/24; erouted; eroute owner: #359954
000 "telecomnet-to-tplusnet":   newest ISAKMP SA: #0; newest IPsec SA: 
#359954;
000 "tplus-to-consudm": 
195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155.138[@consudm.ru]; 
er
outed; eroute owner: #359959
000 "tplus-to-consudm":   newest ISAKMP SA: #352548; newest IPsec SA: 
#359959;
000 "tplus-to-consudmnet": 
195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155.138[@consudm.ru]=
==192.168.2.0/24; erouted; eroute owner: #359956
000 "tplus-to-consudmnet":   newest ISAKMP SA: #352949; newest IPsec SA: 
#359956;
000 "tplusnet-to-consudm": 
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155.
138[@consudm.ru]; erouted; eroute owner: #359957
000 "tplusnet-to-consudm":   newest ISAKMP SA: #0; newest IPsec SA: #359957;
000 "tplusnet-to-consudmnet": 
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.1
55.138[@consudm.ru]===192.168.2.0/24; erouted; eroute owner: #359958
000 "tplusnet-to-consudmnet":   newest ISAKMP SA: #0; newest IPsec SA: 
#359958;
000
000 #357466: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA 
established); EVENT_SA_REPLACE in 44s
000 #357466: "telecom-to-tplus" esp.3ad90d15 на 195.222.153.194 (200 bytes) 
esp.fc8f26e3 на 195.222.159.130 (0 bytes); tunnel
000 #357458: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA 
established); EVENT_SA_EXPIRE in 674s
000 #357458: "telecom-to-tplus" esp.3ad90d10 на 195.222.153.194 (200 bytes) 
esp.d17fd0d3 на 195.222.159.130 (0 bytes); tunnel
000 #357450: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA 
established); EVENT_SA_EXPIRE in 667s
000 #357450: "telecom-to-tplus" esp.3ad90d0c на 195.222.153.194 (200 bytes) 
esp.d0903130 на 195.222.159.130 (133 bytes); tunnel
000 #357442: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA 
established); EVENT_SA_REPLACE in 23s
000 #357442: "telecom-to-tplus" esp.3ad90d09 на 195.222.153.194 (200 bytes) 
esp.7abae1c1 на 195.222.159.130 (133 bytes); tunnel
000 #357434: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA 
established); EVENT_SA_REPLACE in 36s
000 #357434: "telecom-to-tplus" esp.3ad90d05 на 195.222.153.194 (0 bytes) 
esp.e2c1a579 на 195.222.159.130 (133 bytes); tunnel
000 #357426: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA 
established); EVENT_SA_EXPIRE in 647s
000 #357426: "telecom-to-tplus" esp.3ad90d01 на 195.222.153.194 (0 bytes) 
esp.fa657f27 на 195.222.159.130 (133 bytes); tunnel
000 #357418: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA 
established); EVENT_SA_EXPIRE in 641s
000 #357418: "telecom-to-tplus" esp.3ad90cfd на 195.222.153.194 (0 bytes) 
esp.6207bd1e на 195.222.159.130 (0 bytes); tunnel
000 #357410: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA 
established); EVENT_SA_EXPIRE in 635s
000 #357410: "telecom-to-tplus" esp.3ad90cf9 на 195.222.153.194 (0 bytes) 
esp.5ff2391a на 195.222.159.130 (0 bytes); tunnel
000 #357402: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA 
established); EVENT_SA_EXPIRE in 628s
И таких строк с STATE_QUICK_I2 (sent QI2, IPsec SA established) уже за 3 
тысячи.
Причем соединение telecom-to-tlus стоит и работает...

tcpdump по интерфейсу выдает:
15:10:25.756003 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp: 
isakmp: phase 2/others ? inf[E]
15:10:26.031241 IP 195.222.153.194.isakmp > 195.222.159.130.isakmp: 
isakmp: phase 2/others ? inf[E]
15:10:26.036694 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp: 
isakmp: phase 2/others ? inf[E]
15:10:26.038604 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp: 
isakmp: phase 2/others ? inf[E]
...


Никто не сталкивался с такой ситуацией?



-- 
С Уважением
Директор ООО НЕВОД
Костарев А.Ф.

----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : kaf.vcf
Тип     : text/x-vcard
Размер  : 202 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20071126/68f20f61/attachment-0002.vcf>


Подробная информация о списке рассылки community