IPsec StrongSwan nenavaze spojeni

Dan Lukes dan at obluda.cz
Wed May 4 10:46:23 CEST 2022

Previous message (by thread): IPsec StrongSwan nenavaze spojeni
Next message (by thread): mountroot nenajde zpool
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

StrongSwan neznam, takze odpovim spis obecne.

On 28.4.2022 19:23, Miroslav Lachman wrote:
> Muj problem je, ze pokud tam mam nastaveno auto=route, tak by to podle 
> dokumentace melo nainstalovat kernal trap a pokud system zachyti nejaky 
> trafik do te destinace a spojeni jeste neni navazane, tak ho navaze.

To je soucast implementace IPSEC. Pokud podle policy ma do nejake 
destinace jit paket pres IPSEC, ale nejsou k dispozici potrebne 
parametry (=IPSEC spojeni neni hotove) tak se vygeneruje zprava pro 
ISAKMP daemona (zde StrongWan), od ktereho se ocekava, ze parametry 
dohodne a spojeni navaze.

Pokud to nefunguje, znamena, ze neco z toho selhalo - zprava pro daemona 
se nevygenerovala, nebo ji daemon neobdrzel, nebo ji nerozumel, nebo se 
mu pozadovane spojeni navazat nepodarilo.

Ktery z tech moznych problemu to je lze zjistit jen z nejakejch LOGu 
a/nebo ladenim.

> Puvodne jsem to v konfiguraci mel nastavene jako auto=start, ale pokud 
> dojde k ukonceni spojeni z protejsi strany, ztrate konektivity, nebo 
> jinym problemum, tak uz se spojeni samo neobnovi.

Ano.

Jen mam potrebu upozornit, ze ...

> What usually works best is to use auto=route for your connection. The 
> kernel will (re-)trigger the connection if it failed for whatever 
> reason, and ensures that no traffic passes unencrypted

... tohle tak uplne neplati. IPSEC ma "by design" problem, ze nefunguje 
dobre ve striktne client-server prostredi.

Predstav si klienta spojeneho se serverem. Na strane serveru dojde k 
jednostrannemu zaniku aktualniho IPSEC spojeni. O tom ale klient nic 
nevi a normalne posila IPSEC pakety. SServer je zahazuje, protoz epodl 
enej nepatri zadnemu aktivnimu spojeni. Tim se k nemu nedostava zadny 
pozadavek na ktery by server mohl odpovedet a kdyz server neodpovida, 
neposila zadne pakety, ktere by aktivovaly trigger a handhaking noveho 
spojeni. Sojeni pak je nepruchozi dokud hanshaking nezahaji klient, coz 
se stane teprve po zaniku stavajiciho spojeni.

Ale to rikam spis pro doplneni, tvuj problem tohle asi nebude.

Dan

Previous message (by thread): IPsec StrongSwan nenavaze spojeni
Next message (by thread): mountroot nenajde zpool
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list