Я пытаюсь создать туннель с помощью StrongSwan. Для этого я создаю два файла sh, по одному для каждого маршрутизатора шлюза. Все, что я делаю в файлах sh, - это создаю туннель, настраиваю его и вызываю «ipsec restart». Затем я запускаю каждый файл на соответствующем маршрутизаторе.
Странно то, что если я выполняю их последовательно, это срабатывает каждый раз. Если, однако, я выполняю их в одно и то же время, все будет перенастроено и будет выглядеть правильно, но по туннелю нет связи. Повторный вызов "ipsec restart" исправляет это.
У меня вопрос: плохо ли по своей сути настраивать каждую сторону туннеля в одно и то же время? Одновременный перезапуск ipsec для каждого конца как-то портит подключение?
Спасибо!
ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ:
Я просмотрел системные журналы на предмет исправного запуска по сравнению с неудачным запуском и обнаружил следующее в выходных данных неудачного запуска:
Dec 13 10:06:32 CORE charon: 14[KNL] unable to add policy 172.28.2.2/32 === 172.102.211.2/32 fwd
Dec 13 10:06:32 CORE charon: 14[IKE] unable to install IPsec policies (SPD) in kernel
Dec 13 10:06:32 CORE charon: 14[ENC] generating IKE_AUTH response 1 [ IDr AUTH N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(TS_UNACCEPT) ]
Dec 13 10:06:32 CORE charon: 07[IKE] CHILD_SA bag-afb-rtr_eth1{1} established with SPIs cc8d2941_i cfe8ad47_o and TS 172.102.211.2/32 === 172.28.2.2/32
Dec 13 10:06:32 CORE charon: 07[IKE] received AUTH_LIFETIME of 10248s, scheduling reauthentication in 9708s
Dec 13 10:06:32 CORE charon: 07[IKE] peer supports MOBIKE
Dec 13 10:06:32 CORE charon: 14[NET] sending packet: from 172.102.211.2[4500] to 172.28.2.2[4500]
Dec 13 10:06:32 CORE charon: 09[NET] received packet: from 172.102.211.2[4500] to 172.28.2.2[4500]
Dec 13 10:06:32 CORE charon: 09[ENC] parsed IKE_AUTH response 1 [ IDr AUTH N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(TS_UNACCEPT) ]
Dec 13 10:06:32 CORE charon: 09[IKE] authentication of '172.102.211.2' with pre-shared key successful
Dec 13 10:06:32 CORE charon: 09[IKE] IKE_SA crh-432nd-sipr-rtr_eth2[1] established between 172.28.2.2[172.28.2.2]...172.102.211.2[172.102.211.2]
Dec 13 10:06:32 CORE charon: 09[IKE] scheduling reauthentication in 10046s
Dec 13 10:06:32 CORE charon: 09[IKE] maximum IKE_SA lifetime 10586s
Dec 13 10:06:32 CORE charon: 09[IKE] received TS_UNACCEPTABLE notify, no CHILD_SA built
Dec 13 10:06:32 CORE charon: 09[IKE] received AUTH_LIFETIME of 9806s, scheduling reauthentication in 9266s
Dec 13 10:06:32 CORE charon: 09[IKE] peer supports MOBIKE
Dec 13 10:06:32 CORE dhclient: DHCPDISCOVER on eth3 to 255.255.255.255 port 67 interval 10
Dec 13 10:06:32 CORE charon: 00[DMN] signal of type SIGINT received. Shutting down
Похоже, это может указывать на то, почему он не работает. Есть идеи, что могло вызвать это?