StrongSwan neznam, takze odpovim spis obecne. On 28.4.2022 19:23, Miroslav Lachman wrote:
Muj problem je, ze pokud tam mam nastaveno auto=route, tak by to podle dokumentace melo nainstalovat kernal trap a pokud system zachyti nejaky trafik do te destinace a spojeni jeste neni navazane, tak ho navaze.
To je soucast implementace IPSEC. Pokud podle policy ma do nejake destinace jit paket pres IPSEC, ale nejsou k dispozici potrebne parametry (=IPSEC spojeni neni hotove) tak se vygeneruje zprava pro ISAKMP daemona (zde StrongWan), od ktereho se ocekava, ze parametry dohodne a spojeni navaze.
Pokud to nefunguje, znamena, ze neco z toho selhalo - zprava pro daemona se nevygenerovala, nebo ji daemon neobdrzel, nebo ji nerozumel, nebo se mu pozadovane spojeni navazat nepodarilo.
Ktery z tech moznych problemu to je lze zjistit jen z nejakejch LOGu a/nebo ladenim.
Puvodne jsem to v konfiguraci mel nastavene jako auto=start, ale pokud dojde k ukonceni spojeni z protejsi strany, ztrate konektivity, nebo jinym problemum, tak uz se spojeni samo neobnovi.
Ano. Jen mam potrebu upozornit, ze ...
What usually works best is to use auto=route for your connection. The kernel will (re-)trigger the connection if it failed for whatever reason, and ensures that no traffic passes unencrypted
... tohle tak uplne neplati. IPSEC ma "by design" problem, ze nefunguje dobre ve striktne client-server prostredi.
Predstav si klienta spojeneho se serverem. Na strane serveru dojde k jednostrannemu zaniku aktualniho IPSEC spojeni. O tom ale klient nic nevi a normalne posila IPSEC pakety. SServer je zahazuje, protoz epodl enej nepatri zadnemu aktivnimu spojeni. Tim se k nemu nedostava zadny pozadavek na ktery by server mohl odpovedet a kdyz server neodpovida, neposila zadne pakety, ktere by aktivovaly trigger a handhaking noveho spojeni. Sojeni pak je nepruchozi dokud hanshaking nezahaji klient, coz se stane teprve po zaniku stavajiciho spojeni.
Ale to rikam spis pro doplneni, tvuj problem tohle asi nebude. Dan -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
