Michael Shigorin wrote: >On Wed, Oct 24, 2007 at 12:58:11AM +0300, Grigory Milev wrote: > > >>>>Мы используем strongswan. Он прекрасно работает без клипсов >>>>в связке strongswan <-> strongswan. >>>> >>>> >>>Ну это понятно. Openswan тоже прекрасно работает без клипса, >>>на неткее. Только вот с клипсом гораздо удобнее строить >>>фаерволы. >>> >>> >>Есть strongswan - работает отлично, могу подлится. >> >> Добрый день! По поводу strongswan - коннект устанавливается нормально. Был у меня в одном варианте тормоз с установкой соединени я- но тут сам виноват - включил максимум отладки - из за нее и притормаживал... Проблема сейчас в другом - соединение устанавливается довольно быстро, но после установки соединения продолжаются попытки установить уже установленное соединение (по моим впечатлениям) Команда ipsec status выдает: 000 "telecom-to-tplus": 195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.153.194[@telecom.perm. ru]; erouted; eroute owner: #359955 000 "telecom-to-tplus": newest ISAKMP SA: #357471; newest IPsec SA: #359955; 000 "telecom-to-tplusnet": 192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.15 3.194[@telecom.perm.ru]; erouted; eroute owner: #359952 000 "telecom-to-tplusnet": newest ISAKMP SA: #0; newest IPsec SA: #359952; 000 "telecomnet-to-tplus": 195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.153.194[@telecom.pe rm.ru]===192.168.0.0/24; erouted; eroute owner: #359953 000 "telecomnet-to-tplus": newest ISAKMP SA: #0; newest IPsec SA: #359953; 000 "telecomnet-to-tplusnet": 192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222 .153.194[@telecom.perm.ru]===192.168.0.0/24; erouted; eroute owner: #359954 000 "telecomnet-to-tplusnet": newest ISAKMP SA: #0; newest IPsec SA: #359954; 000 "tplus-to-consudm": 195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155.138[@consudm.ru]; er outed; eroute owner: #359959 000 "tplus-to-consudm": newest ISAKMP SA: #352548; newest IPsec SA: #359959; 000 "tplus-to-consudmnet": 195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155.138[@consudm.ru]= ==192.168.2.0/24; erouted; eroute owner: #359956 000 "tplus-to-consudmnet": newest ISAKMP SA: #352949; newest IPsec SA: #359956; 000 "tplusnet-to-consudm": 192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155. 138[@consudm.ru]; erouted; eroute owner: #359957 000 "tplusnet-to-consudm": newest ISAKMP SA: #0; newest IPsec SA: #359957; 000 "tplusnet-to-consudmnet": 192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.1 55.138[@consudm.ru]===192.168.2.0/24; erouted; eroute owner: #359958 000 "tplusnet-to-consudmnet": newest ISAKMP SA: #0; newest IPsec SA: #359958; 000 000 #357466: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 44s 000 #357466: "telecom-to-tplus" esp.3ad90d15@195.222.153.194 (200 bytes) esp.fc8f26e3@195.222.159.130 (0 bytes); tunnel 000 #357458: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_EXPIRE in 674s 000 #357458: "telecom-to-tplus" esp.3ad90d10@195.222.153.194 (200 bytes) esp.d17fd0d3@195.222.159.130 (0 bytes); tunnel 000 #357450: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_EXPIRE in 667s 000 #357450: "telecom-to-tplus" esp.3ad90d0c@195.222.153.194 (200 bytes) esp.d0903130@195.222.159.130 (133 bytes); tunnel 000 #357442: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 23s 000 #357442: "telecom-to-tplus" esp.3ad90d09@195.222.153.194 (200 bytes) esp.7abae1c1@195.222.159.130 (133 bytes); tunnel 000 #357434: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 36s 000 #357434: "telecom-to-tplus" esp.3ad90d05@195.222.153.194 (0 bytes) esp.e2c1a579@195.222.159.130 (133 bytes); tunnel 000 #357426: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_EXPIRE in 647s 000 #357426: "telecom-to-tplus" esp.3ad90d01@195.222.153.194 (0 bytes) esp.fa657f27@195.222.159.130 (133 bytes); tunnel 000 #357418: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_EXPIRE in 641s 000 #357418: "telecom-to-tplus" esp.3ad90cfd@195.222.153.194 (0 bytes) esp.6207bd1e@195.222.159.130 (0 bytes); tunnel 000 #357410: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_EXPIRE in 635s 000 #357410: "telecom-to-tplus" esp.3ad90cf9@195.222.153.194 (0 bytes) esp.5ff2391a@195.222.159.130 (0 bytes); tunnel 000 #357402: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_EXPIRE in 628s И таких строк с STATE_QUICK_I2 (sent QI2, IPsec SA established) уже за 3 тысячи. Причем соединение telecom-to-tlus стоит и работает... tcpdump по интерфейсу выдает: 15:10:25.756003 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp: isakmp: phase 2/others ? inf[E] 15:10:26.031241 IP 195.222.153.194.isakmp > 195.222.159.130.isakmp: isakmp: phase 2/others ? inf[E] 15:10:26.036694 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp: isakmp: phase 2/others ? inf[E] 15:10:26.038604 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp: isakmp: phase 2/others ? inf[E] ... Никто не сталкивался с такой ситуацией? -- С Уважением Директор ООО НЕВОД Костарев А.Ф.