Ipsec
用於 Mac WIFI 客戶端的 OpenSwan Dead Peer Detection
我正在執行一個 OpenSwan 伺服器來促進客戶端-伺服器連接到一個安全的數據中心。
我對 MacOS 中的標準 L2TP over IPSEC 客戶端有疑問,特別是在使用 WIFI 時。
當我第一次連接時,它工作正常。當我斷開連接並嘗試再次連接時,它在身份驗證步驟失敗(共享密鑰)。
據我所知,當 MAC 使用 WIFI 時,它沒有時間向 OpenSwan 發送 DELETE 信號,因此就 OpenSwan 而言,對等點仍然存在。我可以在 OpenSwan 日誌中看到這一點:
Jun 8 12:23:43 vpn1 pluto[20030]: ERROR: asynchronous network error report on eth0 (sport=500) for message to 213.242.106.82 port 500, complainant 213.242.106.82: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
在我斷開 Mac 客戶端連接後很長時間,此消息仍繼續出現在 OpenSwan 日誌中。當我在伺服器上重新啟動 ipsec 服務時,日誌條目消失了,我可以再次連接。
我在我的 OpenSwan 配置中包含了死對等檢測:
dpddelay=30 dpdtimeout=120 dpdaction=clear
我可以看到啟動連接時啟用了死對等檢測:
Jun 8 12:45:34 vpn1 pluto[11064]: "vpnpsk"[14] 213.242.106.82 #14: STATE_QUICK_R2: IPsec SA established transport mode {ESP/NAT=>0x0188ccda <0x7fe9af15 xfrm=AES_256-HMAC_SHA1 NATOA=none NATD=213.242.106.82:4500 DPD=enabled}
但是,當我關閉 MAC 上的連接時,DPD 似乎沒有啟動。OpenSwan 只是不斷記錄有關連接的錯誤。
只是在尋找建議。一個修復。
原來這是我正在使用的 OpenSwan 版本中的一個錯誤。
我正在使用 Amazon Linux AMI,問題 RPM 是:
openswan.x86_64 0:2.6.37-3.17.amzn1
我降級為
openswan.x86_64 0:2.6.37-2.16.amzn1
問題消失了。
顯然在 3.17 中存在相當多的錯誤