From: Kostarev Alexey <kaf@nevod.ru>
To: shigorin@gmail.com,
ALT Linux Community general discussions
<community@lists.altlinux.org>
Subject: [Comm] Постоянные попытки установить коннект при уже установленном соединении WAS: Re: Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan)
Date: Mon, 26 Nov 2007 12:13:55 +0500
Message-ID: <474A7233.9090400@nevod.ru> (raw)
In-Reply-To: <20071024084056.GH24532@osdn.org.ua>
[-- Attachment #1: Type: text/plain, Size: 5519 bytes --]
Michael Shigorin wrote:
>On Wed, Oct 24, 2007 at 12:58:11AM +0300, Grigory Milev wrote:
>
>
>>>>Мы используем strongswan. Он прекрасно работает без клипсов
>>>>в связке strongswan <-> strongswan.
>>>>
>>>>
>>>Ну это понятно. Openswan тоже прекрасно работает без клипса,
>>>на неткее. Только вот с клипсом гораздо удобнее строить
>>>фаерволы.
>>>
>>>
>>Есть strongswan - работает отлично, могу подлится.
>>
>>
Добрый день!
По поводу strongswan - коннект устанавливается нормально.
Был у меня в одном варианте тормоз с установкой соединени я- но тут сам
виноват - включил максимум отладки -
из за нее и притормаживал...
Проблема сейчас в другом - соединение устанавливается довольно быстро,
но после установки соединения продолжаются попытки
установить уже установленное соединение (по моим впечатлениям)
Команда
ipsec status выдает:
000 "telecom-to-tplus":
195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.153.194[@telecom.perm.
ru]; erouted; eroute owner: #359955
000 "telecom-to-tplus": newest ISAKMP SA: #357471; newest IPsec SA:
#359955;
000 "telecom-to-tplusnet":
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.15
3.194[@telecom.perm.ru]; erouted; eroute owner: #359952
000 "telecom-to-tplusnet": newest ISAKMP SA: #0; newest IPsec SA: #359952;
000 "telecomnet-to-tplus":
195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.153.194[@telecom.pe
rm.ru]===192.168.0.0/24; erouted; eroute owner: #359953
000 "telecomnet-to-tplus": newest ISAKMP SA: #0; newest IPsec SA: #359953;
000 "telecomnet-to-tplusnet":
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222
.153.194[@telecom.perm.ru]===192.168.0.0/24; erouted; eroute owner: #359954
000 "telecomnet-to-tplusnet": newest ISAKMP SA: #0; newest IPsec SA:
#359954;
000 "tplus-to-consudm":
195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155.138[@consudm.ru];
er
outed; eroute owner: #359959
000 "tplus-to-consudm": newest ISAKMP SA: #352548; newest IPsec SA:
#359959;
000 "tplus-to-consudmnet":
195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155.138[@consudm.ru]=
==192.168.2.0/24; erouted; eroute owner: #359956
000 "tplus-to-consudmnet": newest ISAKMP SA: #352949; newest IPsec SA:
#359956;
000 "tplusnet-to-consudm":
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155.
138[@consudm.ru]; erouted; eroute owner: #359957
000 "tplusnet-to-consudm": newest ISAKMP SA: #0; newest IPsec SA: #359957;
000 "tplusnet-to-consudmnet":
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.1
55.138[@consudm.ru]===192.168.2.0/24; erouted; eroute owner: #359958
000 "tplusnet-to-consudmnet": newest ISAKMP SA: #0; newest IPsec SA:
#359958;
000
000 #357466: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_REPLACE in 44s
000 #357466: "telecom-to-tplus" esp.3ad90d15@195.222.153.194 (200 bytes)
esp.fc8f26e3@195.222.159.130 (0 bytes); tunnel
000 #357458: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 674s
000 #357458: "telecom-to-tplus" esp.3ad90d10@195.222.153.194 (200 bytes)
esp.d17fd0d3@195.222.159.130 (0 bytes); tunnel
000 #357450: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 667s
000 #357450: "telecom-to-tplus" esp.3ad90d0c@195.222.153.194 (200 bytes)
esp.d0903130@195.222.159.130 (133 bytes); tunnel
000 #357442: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_REPLACE in 23s
000 #357442: "telecom-to-tplus" esp.3ad90d09@195.222.153.194 (200 bytes)
esp.7abae1c1@195.222.159.130 (133 bytes); tunnel
000 #357434: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_REPLACE in 36s
000 #357434: "telecom-to-tplus" esp.3ad90d05@195.222.153.194 (0 bytes)
esp.e2c1a579@195.222.159.130 (133 bytes); tunnel
000 #357426: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 647s
000 #357426: "telecom-to-tplus" esp.3ad90d01@195.222.153.194 (0 bytes)
esp.fa657f27@195.222.159.130 (133 bytes); tunnel
000 #357418: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 641s
000 #357418: "telecom-to-tplus" esp.3ad90cfd@195.222.153.194 (0 bytes)
esp.6207bd1e@195.222.159.130 (0 bytes); tunnel
000 #357410: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 635s
000 #357410: "telecom-to-tplus" esp.3ad90cf9@195.222.153.194 (0 bytes)
esp.5ff2391a@195.222.159.130 (0 bytes); tunnel
000 #357402: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 628s
И таких строк с STATE_QUICK_I2 (sent QI2, IPsec SA established) уже за 3
тысячи.
Причем соединение telecom-to-tlus стоит и работает...
tcpdump по интерфейсу выдает:
15:10:25.756003 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp:
isakmp: phase 2/others ? inf[E]
15:10:26.031241 IP 195.222.153.194.isakmp > 195.222.159.130.isakmp:
isakmp: phase 2/others ? inf[E]
15:10:26.036694 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp:
isakmp: phase 2/others ? inf[E]
15:10:26.038604 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp:
isakmp: phase 2/others ? inf[E]
...
Никто не сталкивался с такой ситуацией?
--
С Уважением
Директор ООО НЕВОД
Костарев А.Ф.
[-- Attachment #2: kaf.vcf --]
[-- Type: text/x-vcard, Size: 202 bytes --]
begin:vcard
fn:Alexey Kostarev
n:Kostarev;Alexey
org:Nevod Ltd.
adr:;;;Perm;;;Russia
email;internet:kaf@nevod.ru
tel;work:(3422) 196-960
url:http://www.nevod.ru/nevod/staff/kaf/
version:2.1
end:vcard
next prev parent reply other threads:[~2007-11-26 7:13 UTC|newest]
Thread overview: 7+ messages / expand[flat|nested] mbox.gz Atom feed top
2007-10-23 14:54 [Comm] " Michael Shigorin
2007-10-23 15:18 ` Пустовит Михаил Анатольевич
2007-10-23 21:58 ` Grigory Milev
2007-10-24 8:40 ` Michael Shigorin
2007-11-26 7:13 ` Kostarev Alexey [this message]
2007-10-24 3:28 ` Kostarev Alexey
2007-10-24 7:52 ` Пустовит Михаил Анатольевич
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=474A7233.9090400@nevod.ru \
--to=kaf@nevod.ru \
--cc=community@lists.altlinux.org \
--cc=shigorin@gmail.com \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git