Имеется несколько FreeBSD роутеров, между ними туннели с IPSEC (racoon).
Интересует вопрос, в моменты, когда временно возникают проблемы со
связностью между этим оборудованием racoon, потом не может корректно
отработать и обменяться ключами, bgp сессии долго не поднимаются пока не
сделаешь рестарт racoon.
Вот что возникает в логах:
Код: Выделить всё
Apr 5 05:42:57 gw racoon: ERROR: unknown Informational exchange received.
Apr 5 05:42:58 gw racoon: INFO: ISAKMP-SA deleted IP_1[500]-IP_2[500]
spi:88f6d35a0f6802e9:6f77cf6e66830f97
Apr 5 05:42:59 gw racoon: INFO: IPsec-SA request for IP1 queued due to no
phase1 found.
Apr 5 05:42:59 gw racoon: INFO: initiate new phase 1 negotiation:
IP1[500]<=>IP2[500]
Apr 5 05:42:59 gw racoon: INFO: begin Identity Protection mode.
Apr 5 05:42:59 gw racoon: ERROR: unknown Informational exchange received.
Apr 5 05:43:05 gw last message repeated 3 times
Apr 5 05:43:23 gw racoon: INFO: respond new phase 1 negotiation:
IP_1[500]<=>IP_2[500]
Apr 5 05:43:23 gw racoon: INFO: begin Identity Protection mode.
Apr 5 05:43:23 gw racoon: INFO: received Vendor ID: DPD
Apr 5 05:43:27 gw racoon: ERROR: IP_1 give up to get IPsec-SA due to time
up to wait.
Apr 5 05:43:27 gw racoon: INFO: ISAKMP-SA deleted IP_1[500]-IP_2[500]
spi:99b11629148d9921:f3f7c3c22cd5f8d1
Apr 5 05:43:30 gw racoon: ERROR: phase2 negotiation failed due to time up
waiting for phase1. ESP IP_1[0]->IP_2[0]
Apr 5 05:43:30 gw racoon: INFO: delete phase 2 handler.
Думается на какой-то таймер, вот что стоит:
Код: Выделить всё
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}
{
pfs_group 2;
lifetime time 30 min;
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1;
compression_algorithm deflate ;
}
Что посоветуете ?