Пару вопросов по ipsec-tools

[kharkov_max]

День добрый.

Есть 2 сервера freebsd сервер А и сервер B между которыми настроен тунель на ipsec-tools.
На каждом из серверов есть еще тунели на другие серверы, другие тунели работают на 500 порту.

1. Если A и B связаны по 500 порту все работает нормально.
Но если скажем на сервере B я выставляю другой порт для подключения скажем 65000, соответственно меняя в нужном месте настройки на сервере A то: тунель поднимается, если нет пакетов засыпает и потом его можно реанимировать только с сервера A (к примеру пингом). Если пытаюсь как нить поднять тунель с сервера B то ничего не получается, не работает даже после перезагрузки B сервера, пока не включу, к примеру, пинги на A сервере.

Как бы заставить нормально работать на разных портах ?

2. Если в тунелях не ходят пакеты, происходит как бы "засыпание" racoon. Восстановить легко, достаточно пустить пинг или обратиться из одной сети к другой, но это большой таймаут, как избавиться от "засыпания" и подерживать связь постоянно ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[kharkov_max]

UP

[kharkov_max]

UP
Не уж то ни кто и не подскажет ?

[kharkov_max]

Ну хоть по второму пункту подскажете...
Как поддерживать тунель постоянно ?

[kharkov_max]

В первой фазе установлен параметр lifetime time = 600 sec
Во второй фазе также lifetime time = 600 sec

Эти параметры отвечают за время жизни ключей соединения соответствующих фаз.
Если в тунеле нет пакетов то тунель "засыпает" именно через 600 сек.

Когда я увеличиваю эти параметры, скажем до 24 hour, то "засыпание" тунеля видимо происходит позже.
Как минимум я проверил через 30 мин и 60 мин пинги ходят сразу без задержки (задержки на формирование новых ключей).

С одной стороны это выход, т.е. можно поставить эти параметры очень большими и все.
Но с другой стороны, это уменьшает защищенность тунеля.
Т.е. чем чаще переформировываются ключи, тем защищенее тунель.

Вопрос !!!
Есть ли в ipsec-tools механизм поддержки тунеля в рабочем состоянии даже если определенное время в тунеле не ходят пакеты?

[kharkov_max]

UP

[kharkov_max]

UP

[kharkov_max]

UP
Не уж то ни кто не натыкался ?

[FreeBSP]

http://www.opennet.ru:8101/openforum/vs ... 686.html#5
я гуглил так
http://www.google.ru/search?q=ipsec-tools+keep+alive
это мысли на счет отваливания тоннеля по таймауту
на счет несимметричных портов - хз. ipsec на практике не щупал, да и теории много не копал

[kharkov_max]

По ману racoon.conf для keepalive нужно включить при инсталяции порта NAT-T
может кто нить объяснить что это за опция, что она даст и поможет ли в моей ситуации ?

[FreeBSP]

http://forum.lissyara.su/viewtopic.php? ... ec#p221504

agat,
фишка в том что при нате вносятся изменения в пакет, в том то и состоит нат. а IPSEC, насколько я знаю, содержит средства проверки целостности не только инкапсулированных данных, но и пакта - носителя. а поскольку целостность нарушается, то пакет становится невалидным и отбрасывается. таким образом установление ipsec соединения через нат невозможно. для решения проблемы была сделана технология NAT_Traversal(или както так похоже называется). там фишка в том что данные инкапсулируются в UDP пакты, которые нормально проходят нат.

вот
наверняка что то напутал, но идея вроде такая

для включения нат-т может потребоваться пересборка ядра и появился nat-t только в восьмерке. на 7.2 нормально пропатчить ядро я не смог
//************************************************
это технология для работы ipsec сквозь нат. надо ли вам это - зависит от того как ходят пакеты

[kharkov_max]

Спасибо за разъяснения ...

Ну тогда получается какая то безвыходная ситуация.
Выходит так что средствами ipsec-tools невозможно поддерживать тунель постоянно.
И во время смены ключа, а если пакеты не ходят то ключ после окончания времени действия не поменяется, будут задержки, по времени ровно на формирование новых ключей и установке связи по ним.

Что то тут не так ...