On 6/15/07, lonely wolf <[EMAIL PROTECTED]> wrote:
Linux User wrote:
> "in general, for an intended-to-be-permanent connection, both ends
should
> use *auto=start* to ensure that any reboot causes immediate
> renegotiation.
> For roadwarrior connections (*right=%any*), it is not known where the
> client
> will show up, so one has to use *auto=add"
>
> OK, formularea mi-e clara, fenomenul nu.
> *
> Deci, daca ambele capete au auto=start, eu inteleg ca oricare dintre
> aceste
> doua capete va incerca sa restabileasca tunelul in cazul in care
celalalt
> capat e down, pina totul revine la normal. Corect?
corect
>
> Intrebarea 1. Pai daca e asa, in cazul cu roadwarrior, cine va primi
acel
> auto=start? Partea fixa sau cea mobila?
> Scenariu:
> a) router are auto=start si laptopul (IP alocat dinamic) are auto=add.
In
> acest caz, daca crapa legatuta dintre cele 2 echipamente, lap-ul va
> primi o
> noua adresa de IP asa ca degeaba va incerca routerul sa faca retry pe
> vechea
> adresa de IP ca nu ii va mai raspunde nimeni. Deci, mai bine ar fi sa
pun
> auto=start pe latopuri, da?
daca laptopul are IP alocat dinamic, routerul nu are cum sa initieze
conexiuni. deci evident nu ai de ce sa pui "start" pe router ca oricum
nu poate face nimic. el nu trebuie decit sa stea la prindere si cind vin
cereri de initiere de conexiune, sa reactioneze
> b) router are auto=add si laptopul are auto=start. In acest caz, daca
> crapa
> conexiunea dintre cele doua, sa zicem ca din nou pe laptop, acesta isi
va
> lua un nou IP, caz in care ipsec-ul trebuie repornit (vechea sesiune
> in nici
> un caz nu se va mai valida pe router tocmai din cauza ca i s-a schimbat
> IP-ul). Deci, mai curind m-as duce catre auto=replace pe latop si in
> nici un
> caz add sau start...
n-am testat asta, dar parca merge cu "start". in mod sigur "add" pe
laptop nu e suficient, fiindca in acest caz nu mai initiaza nimeni
conexiunea
> c) auto=add pe ambele echipamente nu ajuta, pentru ca add doar testeaza
> conexiunea fara sa ridice tunelul (cum spun ei, authorizes but doesn't
> start
> this connection at startup).
exact
>
> Intrebarea 2. Pe de alta parte, auto=start produce acel mesaj imbecil in
> loguri ... De ce? Cum se poate scapa de acest mesaj?
la mine nu apare. si nu a aparut decit cind aveam o configurare de tipul
conn t1
leftsubnet=xxxx
rightsubnet=yyyy
include=common-stuff
conn t1
leftsubnet=uuuu
rightsubnet=vvvv
include=common-stuff
conn common-stuff
left=1.2.3.4
right=5.6.7.8
[...] toti ceilalti param
mesajul aparea cind aveam "auto=start" in common-stuff, parserul il
considera ca un tunel ca oricare altul si incearca sa il salte
Saul wolfy,
La mine in ipsec.conf nu apare niciun include (in afara de cel cu no_oe care
nu are nimic de-aface cu auto=***)
$ cat /etc/ipsec.conf
version 2.0
conn z1
authby=secret
left=1.2.3.4
leftsubnet=192.168.13.0/24
leftnexthop=1.2.3.111
right=5.6.7.8
rightsubnet=10.0.100.0/24
rightnexthop=5.6.7.222
keyexchange=ike
ike=3des-md5-modp1024
auth=esp
esp=3des-md5-96
pfs=no
auto=start
include /etc/ipsec.d/examples/no_oe.conf
Daca in loc de auto=start ii scriu auto=add, gata nu mai apare mesajul ala
cretin. Problema e ca nu pot scrie auto=add pe ambele routere, deci nu pot
sa scap de mesaj ... Eu suspectam aici alta problema (care a picat): faptul
ca routerul B nu avea IPSECUL pornit si atunci, daca dadeam pe routerul A:
ipsec start, ar fi fost normal sa apara acel mesaj. Din pacate a picat. Am
testat eu acum si mesajul ala idiot apare indiferent de statusul celuilalt
capat! Exista cumva o directiva ceva care reduce nivelul de verbozitate
pentru mesajele din syslog? In man ipsec.conf nu am gasit nimic care sa faca
asta...
Ceva idei?
Alx
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
