Hello all, Am deschis zilele trecute un thread lung legat de openswan. Ceea ce m-a pus de la inceput pe un drum complet aiurea, a fost mesajul din syslog:
Jun 15 14:04:22 dev13 ipsec_setup: ...Openswan IPsec started Jun 15 14:04:22 dev13 ipsec_setup: Starting Openswan IPsec 2.4.8... Jun 15 14:04:23 dev13 ipsec__plutorun: 104 "z1" #1: STATE_MAIN_I1: initiate Jun 15 14:04:23 dev13 ipsec__plutorun: ...could not start conn "z1" In final, s-a dovedit ca mai mult te incurca acest mesaj.... De ce? Pentru ca tunelul se ridica bine mersi, nu vezi vici o eroare in ipsec barf sau /var/log/secure dar acest mesaj apare de fiecare data la startup-ul ipsec-ului. Marturisesc ca mi-a luat inca 2 zile sa descopar cauza acestui mesaj idiot care m-a pus pe un drum gresit de la inceput (in documentatie nu scrie nimic, pe google nu am gasit ceva concret si nici pe lista lor de discutii nu am avut success) ... Deci, pe cele 2 routere am ipsec.conf-ul identic. version 2.0 conn z1 ... some output omitted auto=start include /etc/ipsec.d/examples/no_oe.conf Daca in ipsec.conf schimb auto=start in auto=add (pe unul din echipamente), acel stupid message dispare (numai pe echipamentul pe care am pus auto=add) si am un mesaj curat in /var/log/messages: Jun 15 15:02:23 dev13 kernel: NET: Registered protocol family 15 Jun 15 15:02:23 dev13 ipsec_setup: NETKEY on eth0 1.2.3.4/255.255.255.0broadcast 1.2.3.255 Jun 15 15:02:24 dev13 ipsec_setup: ...Openswan IPsec started Jun 15 15:02:24 dev13 ipsec_setup: Starting Openswan IPsec 2.4.8... OK, deci acum am gasit cauaza acelui mesaj. Citind in documentatie, sa vad cum e mai bine, marturisesc ca inca nu-mi e clar. Iata ce spun ei: "in general, for an intended-to-be-permanent connection, both ends should use *auto=start* to ensure that any reboot causes immediate renegotiation. For roadwarrior connections (*right=%any*), it is not known where the client will show up, so one has to use *auto=add" OK, formularea mi-e clara, fenomenul nu. * Deci, daca ambele capete au auto=start, eu inteleg ca oricare dintre aceste doua capete va incerca sa restabileasca tunelul in cazul in care celalalt capat e down, pina totul revine la normal. Corect? Intrebarea 1. Pai daca e asa, in cazul cu roadwarrior, cine va primi acel auto=start? Partea fixa sau cea mobila? Scenariu: a) router are auto=start si laptopul (IP alocat dinamic) are auto=add. In acest caz, daca crapa legatuta dintre cele 2 echipamente, lap-ul va primi o noua adresa de IP asa ca degeaba va incerca routerul sa faca retry pe vechea adresa de IP ca nu ii va mai raspunde nimeni. Deci, mai bine ar fi sa pun auto=start pe latopuri, da? b) router are auto=add si laptopul are auto=start. In acest caz, daca crapa conexiunea dintre cele doua, sa zicem ca din nou pe laptop, acesta isi va lua un nou IP, caz in care ipsec-ul trebuie repornit (vechea sesiune in nici un caz nu se va mai valida pe router tocmai din cauza ca i s-a schimbat IP-ul). Deci, mai curind m-as duce catre auto=replace pe latop si in nici un caz add sau start... c) auto=add pe ambele echipamente nu ajuta, pentru ca add doar testeaza conexiunea fara sa ridice tunelul (cum spun ei, authorizes but doesn't start this connection at startup). Intrebarea 2. Pe de alta parte, auto=start produce acel mesaj imbecil in loguri ... De ce? Cum se poate scapa de acest mesaj? Se poate sa ma lamuriti si pe mine? Mersi, Alx _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
