forum.opennet.ru - "racoon требует ручного перезакуска" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"racoon требует ручного перезакуска"

Форум Открытые системы на сервере (VPN / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"racoon требует ручного перезакуска"	+/–
Сообщение от yurybx (ok) on 27-Ноя-10, 13:28
На сервере FreeBSD 7.1 установлен порт ipsec-tools-0.7.3 и поднят ip-sec тоннель с роутером Dlink DI-804HV на другом конце. Проблема: периодически пропадает связь между офисами по тоннелю (не проходят даже пинги). Перезапуск D-link не помогает. Тоннель приходит к жизни только после перезапуска racoon. Вот логи racoon: ... 2010-11-27 10:26:03: INFO: IPsec-SA established: ESP/Tunnel YY.YY.YY.YY[0]->XX.XX.XX.XX[0] spi=231504593(0xdcc7ad1) 2010-11-27 10:26:03: INFO: IPsec-SA established: ESP/Tunnel XX.XX.XX.XX[0]->YY.YY.YY.YY[0] spi=1207959568(0x48000010) 2010-11-27 10:26:04: INFO: ISAKMP-SA deleted XX.XX.XX.XX[500]-YY.YY.YY.YY[500] spi:533aec9f0a036333:c822144f933d5475 2010-11-27 10:51:36: ERROR: unknown Informational exchange received. 2010-11-27 10:51:36: INFO: respond new phase 1 negotiation: XX.XX.XX.XX[500]<=>YY.YY.YY.YY[500] 2010-11-27 10:51:36: INFO: begin Identity Protection mode. 2010-11-27 10:51:36: WARNING: SPI size isn't zero, but IKE proposal. 2010-11-27 10:51:36: INFO: ISAKMP-SA established XX.XX.XX.XX[500]-YY.YY.YY.YY[500] spi:a3b014adc0ca9132:64fde296716df57d 2010-11-27 10:51:36: INFO: respond new phase 2 negotiation: XX.XX.XX.XX[0]<=>YY.YY.YY.YY[0] 2010-11-27 10:51:37: INFO: IPsec-SA established: ESP/Tunnel YY.YY.YY.YY[0]->XX.XX.XX.XX[0] spi=239437563(0xe4586fb) 2010-11-27 10:51:37: INFO: IPsec-SA established: ESP/Tunnel XX.XX.XX.XX[0]->YY.YY.YY.YY[0] spi=1308622864(0x4e000010) 2010-11-27 10:53:07: INFO: purged IPsec-SA proto_id=ESP spi=1308622864. 2010-11-27 10:53:07: INFO: ISAKMP-SA expired XX.XX.XX.XX[500]-YY.YY.YY.YY[500] spi:a3b014adc0ca9132:64fde296716df57d 2010-11-27 10:53:07: INFO: respond new phase 1 negotiation: XX.XX.XX.XX[500]<=>YY.YY.YY.YY[500] 2010-11-27 10:53:07: INFO: begin Identity Protection mode. 2010-11-27 10:53:07: WARNING: SPI size isn't zero, but IKE proposal. 2010-11-27 10:53:07: INFO: ISAKMP-SA established XX.XX.XX.XX[500]-YY.YY.YY.YY[500] spi:5a8d85109ccb8221:131c88f5f1333733 2010-11-27 10:53:07: INFO: respond new phase 2 negotiation: XX.XX.XX.XX[0]<=>YY.YY.YY.YY[0] 2010-11-27 10:53:07: INFO: IPsec-SA established: ESP/Tunnel YY.YY.YY.YY[0]->XX.XX.XX.XX[0] spi=194230684(0xb93b99c) 2010-11-27 10:53:07: INFO: IPsec-SA established: ESP/Tunnel XX.XX.XX.XX[0]->YY.YY.YY.YY[0] spi=1342177296(0x50000010) 2010-11-27 10:53:08: INFO: ISAKMP-SA deleted XX.XX.XX.XX[500]-YY.YY.YY.YY[500] spi:a3b014adc0ca9132:64fde296716df57d 2010-11-27 10:54:38: INFO: purged IPsec-SA proto_id=ESP spi=1342177296. 2010-11-27 10:54:38: INFO: ISAKMP-SA expired XX.XX.XX.XX[500]-YY.YY.YY.YY[500] spi:5a8d85109ccb8221:131c88f5f1333733 2010-11-27 10:54:38: INFO: respond new phase 1 negotiation: XX.XX.XX.XX[500]<=>YY.YY.YY.YY[500] 2010-11-27 10:54:38: INFO: begin Identity Protection mode. 2010-11-27 10:54:38: WARNING: SPI size isn't zero, but IKE proposal. 2010-11-27 10:54:38: INFO: ISAKMP-SA established XX.XX.XX.XX[500]-YY.YY.YY.YY[500] spi:c8f7bae16bbd02a0:ab49cfac3dbecda9 2010-11-27 10:54:38: INFO: respond new phase 2 negotiation: XX.XX.XX.XX[0]<=>YY.YY.YY.YY[0] 2010-11-27 10:54:38: INFO: IPsec-SA established: ESP/Tunnel YY.YY.YY.YY[0]->XX.XX.XX.XX[0] spi=200192469(0xbeeb1d5) 2010-11-27 10:54:38: INFO: IPsec-SA established: ESP/Tunnel XX.XX.XX.XX[0]->YY.YY.YY.YY[0] spi=1375731728(0x52000010) 2010-11-27 10:54:39: INFO: ISAKMP-SA deleted XX.XX.XX.XX[500]-YY.YY.YY.YY[500] spi:5a8d85109ccb8221:131c88f5f1333733 ... Повторение "ISAKMP-SA deleted" каждые 90 сек. из-за включенной в d-link функции "IKE keep alive". Как побороть эту проблему? (Перезапуск демона через cron не предлагать). Вот конфиг racoon: path include "/usr/local/etc/racoon" ; path pre_shared_key "/usr/local/etc/racoon/psk.txt" ; path certificate "/usr/local/etc/cert" ; padding { maximum_length 20; # maximum padding length. randomize off; # enable randomize length. strict_check off; # enable strict check. exclusive_tail off; # extract last one octet. } listen { isakmp XX.XX.XX.XX [500]; } timer { # These value can be changed per remote node. counter 5; # maximum trying count to send. interval 20 sec; # maximum interval to resend persend 1; # the number of packets per a send. # timer for waiting to complete each phase. phase1 30 sec; phase2 15 sec; } remote anonymous { exchange_mode main,aggressive; #exchange_mode aggressive,main; doi ipsec_doi; situation identity_only; #my_identifier address; my_identifier address XX.XX.XX.XX; peers_identifier address YY.YY.YY.YY; #certificate_type x509 "mycert" "mypriv"; nonce_size 16; lifetime time 3600 sec; # sec,min,hour initial_contact on; support_proxy on; proposal_check obey; # obey, strict or claim dpd_delay 5; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key ; dh_group 1 ; } } sainfo anonymous { pfs_group 1; lifetime time 3600 sec; encryption_algorithm 3des ; authentication_algorithm hmac_md5; compression_algorithm deflate ; }
Ответить \| Правка \| Cообщить модератору

Оглавление

racoon требует ручного перезакуска, Serge, 03:10 , 28-Ноя-10, (1)

racoon требует ручного перезакуска, yurybx, 11:05 , 30-Ноя-10, (2)

racoon требует ручного перезакуска, Serge, 22:13 , 07-Дек-10, (3)

racoon требует ручного перезакуска, yurybx, 15:32 , 08-Дек-10, (4)

racoon требует ручного перезакуска, alphil, 21:06 , 24-Дек-10, (5)

racoon требует ручного перезакуска, Знающий, 10:46 , 26-Дек-10, (6)

racoon требует ручного перезакуска, Semek, 16:42 , 06-Май-11, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "racoon требует ручного перезакуска" +/–

Сообщение от Serge (??) on 28-Ноя-10, 03:10

> На сервере FreeBSD 7.1 установлен порт ipsec-tools-0.7.3 и поднят ip-sec тоннель с
> роутером Dlink DI-804HV на другом конце.
> Проблема: периодически пропадает связь между офисами по тоннелю (не проходят даже пинги).
> Перезапуск D-link не помогает. Тоннель приходит к жизни только после перезапуска
> racoon.
dpd убрать пробовали?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "racoon требует ручного перезакуска" +/–

Сообщение от yurybx (ok) on 30-Ноя-10, 11:05

>> На сервере FreeBSD 7.1 установлен порт ipsec-tools-0.7.3 и поднят ip-sec тоннель с
>> роутером Dlink DI-804HV на другом конце.
>> Проблема: периодически пропадает связь между офисами по тоннелю (не проходят даже пинги).
>> Перезапуск D-link не помогает. Тоннель приходит к жизни только после перезапуска
>> racoon.
> dpd убрать пробовали?
Я его поставил с надеждой решить таким образом проблему. То есть проблема была замечена ещё до того, как я прописал dpd.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "racoon требует ручного перезакуска" +/–

Сообщение от Serge (??) on 07-Дек-10, 22:13

\
> Я его поставил с надеждой решить таким образом проблему. То есть проблема
> была замечена ещё до того, как я прописал dpd.
тогда похоже что lifetime phase 2 не совпадает, а вот рекеинг не проходит. Я бы попробовал покрутить lifetime, ну и конечно дебаг - что бы понять что же на самом деле происходит.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "racoon требует ручного перезакуска" +/–

Сообщение от yurybx (ok) on 08-Дек-10, 15:32

Не стал разбираться. Поставил скрипт, который каждые 15 сек. проверяет связь и перезапускает racoon в случае необходимости.
Подозреваю, что racoon глючит из-за каких-то некорректных пакетов, которые могут приходить через наше не очень стабильное ADSL-соединение.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "racoon требует ручного перезакуска" +/–

Сообщение от alphil (ok) on 24-Дек-10, 21:06

> Не стал разбираться. Поставил скрипт, который каждые 15 сек. проверяет связь и
> перезапускает racoon в случае необходимости.
> Подозреваю, что racoon глючит из-за каких-то некорректных пакетов, которые могут приходить
> через наше не очень стабильное ADSL-соединение.
У меня похожая история. Только racoon это клиент и подключение по UMTS. После малейшего микро-разрыва (а по UMTS они бывают часто), связь падает и пока не наступит конец одной из lifetime, racoon никогда не догадается, что связь упала. Понятно, что можно сделать скрипт мониторизирующий наличие связи между пирами и передергивать racoon, но больше всего меня волнует почему не работает DPD ????? Какой в нем смысл, если на обоих пирах он активирован, но при падении связи никто ничего не заметил.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "racoon требует ручного перезакуска" +/–

Сообщение от Знающий on 26-Дек-10, 10:46

>[оверквотинг удален]
>> Подозреваю, что racoon глючит из-за каких-то некорректных пакетов, которые могут приходить
>> через наше не очень стабильное ADSL-соединение.
> У меня похожая история. Только racoon это клиент и подключение по UMTS.
> После малейшего микро-разрыва (а по UMTS они бывают часто), связь
> падает и пока не наступит конец одной из lifetime, racoon никогда
> не догадается, что связь упала. Понятно, что можно сделать скрипт мониторизирующий
> наличие связи между пирами и передергивать racoon, но больше всего меня
> волнует почему не работает DPD ????? Какой в нем смысл, если
> на обоих пирах он активирован, но при падении связи никто ничего
> не заметил.
Смысл DPD другой. Он предназначен для удаления SA клиентов,которые уже давно отключились(динамические клиенты)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "racoon требует ручного перезакуска" +/–

Сообщение от Semek on 06-Май-11, 16:42

А выложи пожалуйста этот скрипт для проверки пинга и перезапуска ракуна.Пожалуйста.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "racoon требует ручного перезакуска"	+/–
Сообщение от Serge (??) on 28-Ноя-10, 03:10
> На сервере FreeBSD 7.1 установлен порт ipsec-tools-0.7.3 и поднят ip-sec тоннель с > роутером Dlink DI-804HV на другом конце. > Проблема: периодически пропадает связь между офисами по тоннелю (не проходят даже пинги). > Перезапуск D-link не помогает. Тоннель приходит к жизни только после перезапуска > racoon. dpd убрать пробовали?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "racoon требует ручного перезакуска"	+/–
	Сообщение от yurybx (ok) on 30-Ноя-10, 11:05
	>> На сервере FreeBSD 7.1 установлен порт ipsec-tools-0.7.3 и поднят ip-sec тоннель с >> роутером Dlink DI-804HV на другом конце. >> Проблема: периодически пропадает связь между офисами по тоннелю (не проходят даже пинги). >> Перезапуск D-link не помогает. Тоннель приходит к жизни только после перезапуска >> racoon. > dpd убрать пробовали? Я его поставил с надеждой решить таким образом проблему. То есть проблема была замечена ещё до того, как я прописал dpd.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "racoon требует ручного перезакуска"	+/–
	Сообщение от Serge (??) on 07-Дек-10, 22:13
	\ > Я его поставил с надеждой решить таким образом проблему. То есть проблема > была замечена ещё до того, как я прописал dpd. тогда похоже что lifetime phase 2 не совпадает, а вот рекеинг не проходит. Я бы попробовал покрутить lifetime, ну и конечно дебаг - что бы понять что же на самом деле происходит.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "racoon требует ручного перезакуска"	+/–
	Сообщение от yurybx (ok) on 08-Дек-10, 15:32
	Не стал разбираться. Поставил скрипт, который каждые 15 сек. проверяет связь и перезапускает racoon в случае необходимости. Подозреваю, что racoon глючит из-за каких-то некорректных пакетов, которые могут приходить через наше не очень стабильное ADSL-соединение.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "racoon требует ручного перезакуска"	+/–
	Сообщение от alphil (ok) on 24-Дек-10, 21:06
	> Не стал разбираться. Поставил скрипт, который каждые 15 сек. проверяет связь и > перезапускает racoon в случае необходимости. > Подозреваю, что racoon глючит из-за каких-то некорректных пакетов, которые могут приходить > через наше не очень стабильное ADSL-соединение. У меня похожая история. Только racoon это клиент и подключение по UMTS. После малейшего микро-разрыва (а по UMTS они бывают часто), связь падает и пока не наступит конец одной из lifetime, racoon никогда не догадается, что связь упала. Понятно, что можно сделать скрипт мониторизирующий наличие связи между пирами и передергивать racoon, но больше всего меня волнует почему не работает DPD ????? Какой в нем смысл, если на обоих пирах он активирован, но при падении связи никто ничего не заметил.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "racoon требует ручного перезакуска"	+/–
	Сообщение от Знающий on 26-Дек-10, 10:46
	>[оверквотинг удален] >> Подозреваю, что racoon глючит из-за каких-то некорректных пакетов, которые могут приходить >> через наше не очень стабильное ADSL-соединение. > У меня похожая история. Только racoon это клиент и подключение по UMTS. > После малейшего микро-разрыва (а по UMTS они бывают часто), связь > падает и пока не наступит конец одной из lifetime, racoon никогда > не догадается, что связь упала. Понятно, что можно сделать скрипт мониторизирующий > наличие связи между пирами и передергивать racoon, но больше всего меня > волнует почему не работает DPD ????? Какой в нем смысл, если > на обоих пирах он активирован, но при падении связи никто ничего > не заметил. Смысл DPD другой. Он предназначен для удаления SA клиентов,которые уже давно отключились(динамические клиенты)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "racoon требует ручного перезакуска"	+/–
	Сообщение от Semek on 06-Май-11, 16:42
	А выложи пожалуйста этот скрипт для проверки пинга и перезапуска ракуна.Пожалуйста.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору