From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <gosha@zkb.ru>
Date: Fri, 8 Aug 2003 15:09:51 +0600
From: Igor Solovyov <gosha@zkb.ru>
To: Community <community@altlinux.ru>
Message-Id: <20030808150951.4abd5592.gosha@zkb.ru>
Organization: JSC CB "Zlatkombank"
X-Mailer: Sylpheed version 0.8.8 (GTK+ 1.2.10; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: [Comm] IPSec problems
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: community@altlinux.ru
List-Id: <community.altlinux.ru>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Fri, 08 Aug 2003 09:09:55 -0000
Archived-At: <http://lore.altlinux.org/community/20030808150951.4abd5592.gosha@zkb.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Hi All!

Возникла проблема с использованием ipsec.
Между двумя организациями установлен обычный тунель:

# ifconfig tunl2
tunl2     Link encap:IPIP Tunnel  HWaddr
          inet addr:10.0.13.2  P-t-P:10.0.13.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1480  Metric:1

Этот тунельный интерфейс и используется для ipsec:

# cat /etc/ipsec.conf
.......
config setup
        interfaces="ipsec0=tunl2"
.......

# ifconfig ipsec0
ipsec0    Link encap:IPIP Tunnel  HWaddr
          inet addr:10.0.13.2  Mask:255.255.255.255
          UP RUNNING NOARP  MTU:16260  Metric:1
.....

Установлены 5 коннектов:

# ipsec eroute
1018 192.168.10.0/24 -> 192.168.31.0/24 => tun0x100d@10.0.13.1
0    192.168.62.0/24 -> 192.168.31.0/24 => tun0x1004@10.0.13.1
0    192.168.63.0/24 -> 192.168.31.0/24 => tun0x100e@10.0.13.1
14   192.168.64.0/24 -> 192.168.31.0/24 => tun0x1008@10.0.13.1
0    192.168.65.0/24 -> 192.168.31.0/24 => tun0x100a@10.0.13.1

Все работает нормально.
Но время от времени часть соединений просто перестают работать.
Причем именно часть, а не все. Обычно 3 или 4 из 5.
Они не исчезают, их видно с помощью ipsec eroute как приведено
выше, но фактически связи между соответсвующими сетями нет.
В логах ничего криминального по этому поводу я не вижу.
Помогает только service ipsec restart.

Замечено, что перестают работать именно те коннекты, в которых
некоторое время отсутствует активность. Т.е. если через какой-
либо коннект идет работа, то он работать не перестает. 
Если же работы никакой нет, то через некоторое время этот коннект
перестает работать совсем.

Кто-нибудь боролся с таким? Помогите плиз.

-- 
Best regards!
Igor Solovyov
System/network administrator
JSC CB "Zlatkombank"