On Thu, Jun 18, 2009 at 04:23:03PM +0200, Jan 'RedBully' Seiffert wrote: > Hmmm, mal als bloede vermutung: > > Das connect mit einem Fehler zureuck kommt basiert entweder auf internem > Kernel > Zustand (kein Speicher, keine Route, etc.) oder auf einer Meldung der > Gegenseite, so auf ICMP/TCP ebene (ICMP port closed, oder RST). > Ich denke das Problem ist mit IPSec, das die Packete durch das Routing da > reingehen, aber NICHTS zurueck kommt (der Userspace Daemon ist noch am > rumhaeulen, es wird nichts ge-forwarded im Kernel, usw.). Ein Black hole. > Das einzige was jetzt connect davon abhaelt ewig zu blocken ist ein genereller > timeout. Nur entweder: > - verhindert IPsec den Timer, da ja alles "in bearbeitung" ist > - der ist sooo lang eingestellt (10 Minuten oder sowas), das Bind zuerst auf > die > Idee kommt, es wuerde fatal haengen (z.B. 2 Min) > - der ist kaputt/es gibt ihn nicht
Das ist definitiv eine IP Sec geschichte - Ein Datagram socket connecten bedeutet nur das der Kernel sich die Destination fuer die zukuenftigen Pakete merkt - d.h. es duerfte unter keinen umstaenden blocken (Anders als bei TCP das einen connection versuch unternimmt). Und bei IPSec gehen eben ueberhaupt keine Pakete raus wenn die keys nicht verhandelt sind - D.h. die Socket policy ist block im falle von nicht aufgebauten associations ... > > Hat jemand da eine loesung fuer? > > > > Ich denke man muesste ertstmal rausfinden was Bind toetet. Ich tippe er sich > selbst durch irgend eine Art Watchdog timeout. Nope - es haengt noch mehr - munin auch - der versucht u.a. auch von der kiste zu pollen am anderen ende vom IPSec - die kiste stirbt einen langsamen tod wenn das IPSec weg ist ... Flo -- Florian Lohoff [email protected] +49-171-2280134 Those who would give up a little freedom to get a little security shall soon have neither - Benjamin Franklin
signature.asc
Description: Digital signature
-- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
