Здравствуйте, Freebsd.
Уже не в первый раз сталкиваюсь с тем, что иногда перестает работать
site-to-site туннель IPSec.
Маршрутизатор на стороне A
FreeBSD dragonfly.machouse.kiev.ua 9.0-RELEASE-p4 FreeBSD 9.0-RELEASE-p4 #0
r242829:
Wed Nov 14 18:38:56 EET 2012 root@dragonfly:/usr/obj/usr/src/sys/dragonfly
i386
Обмен ключами производит racoon2-20100526a_4
Маршрутизатор на стороне Б
микротик с прошивкой v6.7
Показания setkey -D
А Б
esp mode=tunnel spi=238840711(0x0e3c6b87) reqid=0(0x00000000)
E: rijndael-cbc 39f7ce21 d8779884 c927761d b0eb54dd
A: hmac-md5 8b10c914 8476f53d a01fff9f 573c70f9
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Feb 12 17:19:45 2014 current: Feb 12 17:35:24 2014
diff: 939(s) hard: 1800(s) soft: 1800(s)
last: hard: 0(s) soft: 0(s)
current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 0 hard: 0 soft: 0
sadb_seq=3 pid=20338 refcnt=1
А Б
esp mode=tunnel spi=71269353(0x043f7be9) reqid=0(0x00000000)
E: rijndael-cbc 1d5c1e48 c6d95b38 4d43cb94 e8fa24f7
A: hmac-md5 f0d240bb b58ea730 5407bc3d 0e3eeafe
seq=0x0000082b replay=4 flags=0x00000000 state=mature
created: Feb 12 17:13:14 2014 current: Feb 12 17:35:24 2014
diff: 1330(s) hard: 1800(s) soft: 1800(s)
last: Feb 12 17:35:21 2014 hard: 0(s) soft: 0(s)
current: 354120(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 2091 hard: 0 soft: 0
sadb_seq=2 pid=20338 refcnt=2
Б А
esp mode=tunnel spi=218118462(0x0d00393e) reqid=0(0x00000000)
E: rijndael-cbc b1383d65 bfb8d3c5 a1ee529b 30c1e080
A: hmac-md5 7b5d0140 fdd8b28e d2e534a1 718d34d6
seq=0x00000588 replay=4 flags=0x00000000 state=mature
created: Feb 12 17:19:45 2014 current: Feb 12 17:35:24 2014
diff: 939(s) hard: 1800(s) soft: 1800(s)
last: Feb 12 17:35:20 2014 hard: 0(s) soft: 0(s)
current: 156756(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 1416 hard: 0 soft: 0
sadb_seq=1 pid=20338 refcnt=1
Б А
esp mode=tunnel spi=31446424(0x01dfd598) reqid=0(0x00000000)
E: rijndael-cbc 390f4516 5944dbe0 02cbe672 6624ef0b
A: hmac-md5 78e32d1b 84daeaef 4b1ccc3c 9349a89a
seq=0x0000a61b replay=4 flags=0x00000000 state=mature
created: Feb 12 17:13:14 2014 current: Feb 12 17:35:24 2014
diff: 1330(s) hard: 1800(s) soft: 1800(s)
last: Feb 12 17:19:22 2014 hard: 0(s) soft: 0(s)
current: 9506227(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 42523 hard: 0 soft: 0
sadb_seq=0 pid=20338 refcnt=1
Пробую пинговать с машины на стороне маршрутизатора А машину на
стороне маршрутизатора Б и смотрю на внешний интерфейс А
17:34[3]root@dragonfly:~>tcpdump -ni em1 esp and host Б
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes
17:34:27.694695 IP А > Б: ESP(spi=0x043f7be9,seq=0x7f0), length 148
17:34:27.694738 IP А > Б: ESP(spi=0x043f7be9,seq=0x7f1), length 148
17:34:32.038012 IP А > Б: ESP(spi=0x043f7be9,seq=0x7f2), length 100
17:34:35.694307 IP А > Б: ESP(spi=0x043f7be9,seq=0x7f3), length 148
17:34:37.538154 IP А > Б: ESP(spi=0x043f7be9,seq=0x7f4), length 100
Т.е. сервер А с FreeBSD почему-то не пробовал зашифровать трафик
вторым более новым набором ключей spi=238840711(0x0e3c6b87).
Догадываюсь, что и микротик в данном случае был виноват. Я не сделал
запись какие были на микротике в этот момент ключи и их SPI,
но на нем был только один набор ключей (более новый).
Собственно вопрос, кто в такой ситуации виноват и как это можно
исправить?
--
С наилучшими пожеланиями (73),
Тел: +380 (44) 4619175, 4943810
