IPsec StrongSwan nenavaze spojeni

Thu, 28 Apr 2022 10:24:43 -0700

Nejsem si uplne jisty, jestli je tenhle problem specificky pro FreeBSD, protoze jiny system nemam. Kazdopadne se moje pozorovani rozchazi s tim, co tvrdi dokumentace a ruzna HowTo.
Mam stroj, ktery se pres IPSec pripojuje do nekolika dalsich siti. Konfigurace je pomerne jednoducha a "funkcni" za predpokladu, ze spojeni rucne nahodim prikazem "ipsec up conn1", "ipsec up conn2" atd. 

conn conn1
    keyexchange=ikev2
    ikelifetime=3h
    ike=aes256-sha256-ecp384
    esp=aes256-sha256-ecp384
    lifetime=1h
    authby=secret
    type=tunnel
    left=AA.BB.CC.DD
    leftid=AA.BB.CC.DD
    leftsubnet=10.11.12.13/24
    right=MM.NN.OO.PP
    rightid=MM.NN.OO.PP
    rightsubnet=192.168.5.60
    #auto=start
    auto=route
    dpdaction=restart
    dpddelay=30s
    closeaction=restart


Podobne vypadaji i ostatni spojeni, ale maji jine IP adresy a ike / esp 
algoritmy.



Muj problem je, ze pokud tam mam nastaveno auto=route, tak by to podle 
dokumentace melo nainstalovat kernal trap a pokud system zachyti nejaky 
trafik do te destinace a spojeni jeste neni navazane, tak ho navaze.

https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection

U me se ale nic nestane, spojeni se nenavaze, ping z pocitace v LAN na 
ten vzdaleny konec neprojde.
Pokud spustim "ipsec up conn1", tak se spojeni navaze a packety zacnou z 
LAN prochazet.



Pokud tam ale nastavim auto=start a reloadnu konfiguraci "ipsec reload", 
tak se okamzite navaze spojeni a muzu z LAN pingat ten vzdaleny host.



Puvodne jsem to v konfiguraci mel nastavene jako auto=start, ale pokud 
dojde k ukonceni spojeni z protejsi strany, ztrate konektivity, nebo 
jinym problemum, tak uz se spojeni samo neobnovi. Zda se, ze na to 
nefunguje ani dpdaction=restart.



Nasel jsem treba i ticket https://wiki.strongswan.org/issues/825 nebo 
ServerFault

https://serverfault.com/questions/556885/using-strongswan-whats-the-difference-between-auto-add-and-auto-start

kde se pise:


What usually works best is to use auto=route for your connection. The 
kernel will (re-)trigger the connection if it failed for whatever 
reason, and ensures that no traffic passes unencrypted



A tak me napada, jestli nemam necospatne, nebo jestli tohle chovani neni 
zalezitosti Linux vs FreeBSD? Klidne si dovedu predstavit, ze na 
Linuxovem kernelu se tohle muze chovat jinak, nez na FreeBSD.



Provozujete nekdo IPsec se StrongSwan na FreeBSD a funguje vam 
auto=route tak, jak je popisovano?


Mirek
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l






















					Odpovedet emailem