1

我有一个运行 Linux 2.6.18(RHEL 版本 2.6.18-274.12.1.el5)和 ipsec-tools 0.7.3 的 VPN 集中器虚拟机。

我与各种集中器有很多联系,但有一个一直在我身上死去。遥控器是 Cisco ASA。

阶段 1 和阶段 2 正确启动,一切似乎都很好,但突然遥控器停止响应。我可以看到 ipsec 数据包发出但没有响应返回。直到那时,DPD 似乎工作正常(我看到每 10 秒发送一次数据包)。这种情况也不会一直发生,有时会持续很长时间。

在遥控器上,此时隧道不再处于活动状态,但浣熊仍然认为它正在进行第 1 阶段 + 第 2 阶段。是否有 ASA 发送的某些消息被浣熊忽略?

我也不明白的是 DPD 逻辑不会终止连接。

这是我的 racoon.conf:

remote x.x.x.x {
                            exchange_mode main;
                            lifetime time 8 hours;
                            dpd_delay 10;

                            proposal {
                                    authentication_method pre_shared_key;
                                    encryption_algorithm aes 256;
                                    hash_algorithm sha1;
                                    dh_group 2;
                            }
                            proposal_check obey;
            }
sainfo subnet y.y.y.y/32[0] any subnet z.z.z.0/26 any {
                            pfs_group 2;
                            lifetime time 1 hour;
                            encryption_algorithm aes 256;
                            authentication_algorithm hmac_sha1;
                            compression_algorithm deflate;
                    }
4

1 回答 1

1

自从被问到这个问题已经有一段时间了,但您可以尝试更新版本的 ipsec-tools。在较新的版本中有许多协议互操作修复。此外,请仔细检查您的参数是否与 ASA 匹配,尤其是关于各种生命周期设置。我在 racoon 的“远程”部分中的“rekey force”也取得了很好的成功。以下是我用于与 ASA 互操作的相关配置部分:

remote w.x.y.z
{
    exchange_mode main;
    lifetime time 28800 seconds;
    proposal_check obey;
    rekey force;
    proposal {
     encryption_algorithm aes 256;
     hash_algorithm sha1;
     authentication_method pre_shared_key;
     dh_group 2;
    }
}

sainfo subnet a.b.c.d/n any subnet e.f.g.h/n any
{
    lifetime time 1 hour ;
    encryption_algorithm aes 256;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate ;
}
于 2015-03-22T22:31:32.660 回答