0

我们有一个安装了 Linux Openswan U2.6.32 的 CentOS 5.5 (vm)。在它上面,我们有一个 IPSec 隧道,它的对等点是 cisco asa。隧道每 18 小时断开一次(我们需要隧道一直保持畅通)。

我们在 openswan 测试了很多设置,但目前我们有以下配置:

    auto=start
    type=tunnel
    keyexchange=ike
    authby=secret
    rightrsasigkey=%cert
    leftrsasigkey=%cert 
    compress=no 
    esp=aes256-sha1
    ike=aes256-sha1-modp1536       
    pfs=no
    ikelifetime=24h
    keylife=1h
    dpddelay=2
    dpdtimeout=1000
    dpdaction=restart
    rekey=yes

我们无权访问对等设备。

有没有人遇到过这个问题?

4

1 回答 1

0

您可能与 Cisco ASA 围绕其中一个隧道指标存在一些偏差,例如,常见偏差是围绕 ipsec 会话超时(不是您为 24 小时配置的 ike 会话),在这种情况下,您的缺少属性配置是 salifetime=18h

一旦双方对齐,重新生成密钥将正确发生

其他建议:

a) 将 dpdtimeout 降低到远低于 1000 秒(常见设置在 30 秒到 3 分钟之间)如果这没有帮助,您可能需要重新检查 ASA 的配置方式,确保它没有设置为每隔n Kb 或当隧道理想时

b) 将 dpdaction 从 restart 更改为 restart_by_peer

于 2015-03-18T13:05:24.533 回答