Проблема с IPsec (racoon)

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Прохожий
проходил мимо

Проблема с IPsec (racoon)

Непрочитанное сообщение Прохожий » 2008-04-08 13:51:11

Привет All !

Имеется несколько FreeBSD роутеров, между ними туннели с IPSEC (racoon).

Интересует вопрос, в моменты, когда временно возникают проблемы со
связностью между этим оборудованием racoon, потом не может корректно
отработать и обменяться ключами, bgp сессии долго не поднимаются пока не
сделаешь рестарт racoon.

Вот что возникает в логах:

Код: Выделить всё

Apr  5 05:42:57 gw racoon: ERROR: unknown Informational exchange received.
Apr  5 05:42:58 gw racoon: INFO: ISAKMP-SA deleted IP_1[500]-IP_2[500] 
spi:88f6d35a0f6802e9:6f77cf6e66830f97
Apr  5 05:42:59 gw racoon: INFO: IPsec-SA request for IP1 queued due to no 
phase1 found.
Apr  5 05:42:59 gw racoon: INFO: initiate new phase 1 negotiation: 
IP1[500]<=>IP2[500]
Apr  5 05:42:59 gw racoon: INFO: begin Identity Protection mode.
Apr  5 05:42:59 gw racoon: ERROR: unknown Informational exchange received.
Apr  5 05:43:05 gw last message repeated 3 times
Apr  5 05:43:23 gw racoon: INFO: respond new phase 1 negotiation: 
IP_1[500]<=>IP_2[500]
Apr  5 05:43:23 gw racoon: INFO: begin Identity Protection mode.
Apr  5 05:43:23 gw racoon: INFO: received Vendor ID: DPD
Apr  5 05:43:27 gw racoon: ERROR: IP_1 give up to get IPsec-SA due to time 
up to wait.
Apr  5 05:43:27 gw racoon: INFO: ISAKMP-SA deleted IP_1[500]-IP_2[500] 
spi:99b11629148d9921:f3f7c3c22cd5f8d1
Apr  5 05:43:30 gw racoon: ERROR: phase2 negotiation failed due to time up 
waiting for phase1. ESP IP_1[0]->IP_2[0]
Apr  5 05:43:30 gw racoon: INFO: delete phase 2 handler.

Думается на какой-то таймер, вот что стоит:

Код: Выделить всё

padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
 
timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per send.
 
        # maximum time to wait for completing each phase.
        phase1 30 sec;
        phase2 15 sec;
}
 
{
        pfs_group 2;
        lifetime time 30 min;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}

Что посоветуете ?
Последний раз редактировалось dikens3 2008-04-08 14:02:28, всего редактировалось 1 раз.
Причина: используйте [code][/code]

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Проблема с IPsec (racoon)

Непрочитанное сообщение Alex Keda » 2008-04-11 12:43:41

а связь устойчивая между хостами?
Убей их всех! Бог потом рассортирует...

alik1c
рядовой
Сообщения: 10
Зарегистрирован: 2010-08-04 12:51:05

Re: Проблема с IPsec (racoon)

Непрочитанное сообщение alik1c » 2010-08-10 13:59:05

ребята наткнулся на ваш пост, напишите пжл если вы решили данную проблему?
очень нужно!

alik1c
рядовой
Сообщения: 10
Зарегистрирован: 2010-08-04 12:51:05

Re: Проблема с IPsec (racoon)

Непрочитанное сообщение alik1c » 2010-10-07 11:49:25

Здравствуйте, подскажите пожалуйста кто нибудь решил данную проблему?
И вообще из-за чего все это начинается?

Код: Выделить всё

racoon: ERROR: IP_1 give up to get IPsec-SA due to time