Linux User wrote:
"in general, for an intended-to-be-permanent connection, both ends should
use *auto=start* to ensure that any reboot causes immediate
renegotiation.
For roadwarrior connections (*right=%any*), it is not known where the
client
will show up, so one has to use *auto=add"
OK, formularea mi-e clara, fenomenul nu.
*
Deci, daca ambele capete au auto=start, eu inteleg ca oricare dintre
aceste
doua capete va incerca sa restabileasca tunelul in cazul in care celalalt
capat e down, pina totul revine la normal. Corect?
corect
Intrebarea 1. Pai daca e asa, in cazul cu roadwarrior, cine va primi acel
auto=start? Partea fixa sau cea mobila?
Scenariu:
a) router are auto=start si laptopul (IP alocat dinamic) are auto=add. In
acest caz, daca crapa legatuta dintre cele 2 echipamente, lap-ul va
primi o
noua adresa de IP asa ca degeaba va incerca routerul sa faca retry pe
vechea
adresa de IP ca nu ii va mai raspunde nimeni. Deci, mai bine ar fi sa pun
auto=start pe latopuri, da?
daca laptopul are IP alocat dinamic, routerul nu are cum sa initieze
conexiuni. deci evident nu ai de ce sa pui "start" pe router ca oricum
nu poate face nimic. el nu trebuie decit sa stea la prindere si cind vin
cereri de initiere de conexiune, sa reactioneze
b) router are auto=add si laptopul are auto=start. In acest caz, daca
crapa
conexiunea dintre cele doua, sa zicem ca din nou pe laptop, acesta isi va
lua un nou IP, caz in care ipsec-ul trebuie repornit (vechea sesiune
in nici
un caz nu se va mai valida pe router tocmai din cauza ca i s-a schimbat
IP-ul). Deci, mai curind m-as duce catre auto=replace pe latop si in
nici un
caz add sau start...
n-am testat asta, dar parca merge cu "start". in mod sigur "add" pe
laptop nu e suficient, fiindca in acest caz nu mai initiaza nimeni
conexiunea
c) auto=add pe ambele echipamente nu ajuta, pentru ca add doar testeaza
conexiunea fara sa ridice tunelul (cum spun ei, authorizes but doesn't
start
this connection at startup).
exact
Intrebarea 2. Pe de alta parte, auto=start produce acel mesaj imbecil in
loguri ... De ce? Cum se poate scapa de acest mesaj?
la mine nu apare. si nu a aparut decit cind aveam o configurare de tipul
conn t1
leftsubnet=xxxx
rightsubnet=yyyy
include=common-stuff
conn t1
leftsubnet=uuuu
rightsubnet=vvvv
include=common-stuff
conn common-stuff
left=1.2.3.4
right=5.6.7.8
[...] toti ceilalti param
mesajul aparea cind aveam "auto=start" in common-stuff, parserul il
considera ca un tunel ca oricare altul si incearca sa il salte
da' stii ca openvpn e alt program si n-are de ce sa apara in subjectul
unui thread referitor la openswan, da?
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
