Я использую сервер OpenSwan для облегчения подключения клиент-сервер к защищенному центру обработки данных.
У меня проблема со стандартным клиентом L2TP over IPSEC в MacOS, особенно при использовании WIFI.
При первом подключении работает нормально. Когда я отключаюсь и пытаюсь подключиться снова, на этапе аутентификации (общий секрет) происходит сбой.
Из того, что я вижу, когда MAC использует WIFI, у него нет времени для отправки сигнала DELETE в OpenSwan, поэтому, что касается OpenSwan, одноранговый узел все еще существует. Я вижу это в журналах OpenSwan:
Jun 8 12:23:43 vpn1 pluto[20030]: ERROR: asynchronous network error report on eth0 (sport=500) for message to 213.242.106.82 port 500, complainant 213.242.106.82: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
Это сообщение продолжает появляться в журналах OpenSwan еще долго после того, как я отключил клиент Mac. Когда я перезапускаю службу ipsec на сервере, запись в журнале исчезает, и я могу подключиться снова.
Я включил обнаружение мертвого пира в свою конфигурацию OpenSwan:
dpddelay=30
dpdtimeout=120
dpdaction=clear
Я вижу, что обнаружение мертвых узлов включено, когда я запускаю соединение:
Jun 8 12:45:34 vpn1 pluto[11064]: "vpnpsk"[14] 213.242.106.82 #14: STATE_QUICK_R2: IPsec SA established transport mode {ESP/NAT=>0x0188ccda <0x7fe9af15 xfrm=AES_256-HMAC_SHA1 NATOA=none NATD=213.242.106.82:4500 DPD=enabled}
Однако, когда я закрываю соединение на MAC, DPD не срабатывает. OpenSwan просто продолжает регистрировать ошибки, связанные с соединением.
Просто ищу предложения re. исправление.
Оказывается, это ошибка в используемой мной версии OpenSwan.
Я использую Amazon Linux AMI, и проблема с RPM:
openswan.x86_64 0:2.6.37-3.17.amzn1
Я понизил до
openswan.x86_64 0:2.6.37-2.16.amzn1
и проблема исчезла.
Судя по всему, в 3.17 довольно много ошибок