From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <savithur@avatar.spb.ru>
Date: Fri, 8 Aug 2003 14:29:42 +0400 (MSD)
From: Dmitriy Gnidchenko <savithur@avatar.spb.ru>
X-X-Sender: savithur@gw.lincomp.ru
To: Community <community@altlinux.ru>
Subject: Re: [Comm] IPSec problems
In-Reply-To: <20030808150951.4abd5592.gosha@zkb.ru>
Message-ID: <Pine.LNX.4.55L.0308081356270.6672@gw.lincomp.ru>
References: <20030808150951.4abd5592.gosha@zkb.ru>
MIME-Version: 1.0
Content-Type: TEXT/PLAIN; charset=koi8-r
Content-Transfer-Encoding: 8BIT
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: community@altlinux.ru
List-Id: <community.altlinux.ru>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Fri, 08 Aug 2003 10:24:06 -0000
Archived-At: <http://lore.altlinux.org/community/Pine.LNX.4.55L.0308081356270.6672@gw.lincomp.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Fri, 8 Aug 2003, Igor Solovyov wrote:

> Hi All!
>
> Возникла проблема с использованием ipsec.
> Между двумя организациями установлен обычный тунель:
>
> # ifconfig tunl2
> tunl2     Link encap:IPIP Tunnel  HWaddr
>           inet addr:10.0.13.2  P-t-P:10.0.13.1
> Mask:255.255.255.255
>           UP POINTOPOINT RUNNING NOARP  MTU:1480  Metric:1
>
> Этот тунельный интерфейс и используется для ipsec:
>
> # cat /etc/ipsec.conf
> .......
> config setup
>         interfaces="ipsec0=tunl2"
> .......
>
> # ifconfig ipsec0
> ipsec0    Link encap:IPIP Tunnel  HWaddr
>           inet addr:10.0.13.2  Mask:255.255.255.255
>           UP RUNNING NOARP  MTU:16260  Metric:1
> .....
>
> Установлены 5 коннектов:
>
> # ipsec eroute
> 1018 192.168.10.0/24 -> 192.168.31.0/24 => tun0x100d@10.0.13.1
> 0    192.168.62.0/24 -> 192.168.31.0/24 => tun0x1004@10.0.13.1
> 0    192.168.63.0/24 -> 192.168.31.0/24 => tun0x100e@10.0.13.1
> 14   192.168.64.0/24 -> 192.168.31.0/24 => tun0x1008@10.0.13.1
> 0    192.168.65.0/24 -> 192.168.31.0/24 => tun0x100a@10.0.13.1
>
> Все работает нормально.
> Но время от времени часть соединений просто перестают
> работать.
> Причем именно часть, а не все. Обычно 3 или 4 из 5.
> Они не исчезают, их видно с помощью ipsec eroute как приведено
> выше, но фактически связи между соответсвующими сетями нет.
> В логах ничего криминального по этому поводу я не вижу.
> Помогает только service ipsec restart.
>
> Замечено, что перестают работать именно те коннекты, в которых
> некоторое время отсутствует активность. Т.е. если через какой-
> либо коннект идет работа, то он работать не перестает.
> Если же работы никакой нет, то через некоторое время этот
> коннект
> перестает работать совсем.
>
> Кто-нибудь боролся с таким? Помогите плиз.
У меня тоже нечто подобное случалось.
Линух связан был c IPSec Cisco

Сейчас привести статистику не могу.

Но канал действительно отваливался,
debug на циске ругался по поводу ключа.
Оживал канал только перезагрузкой FreeSWan