การเชื่อมต่อ IPsec/L2TP ล้มเหลวเมื่อไคลเอ็นต์ 2 เครื่องมีที่อยู่ LAN ภายในเครื่องเดียวกัน

เรากำลังมีปัญหาเป็นครั้งคราวกับ IPsec/L2TP remote access VPN ซึ่งให้บริการโดย strongSwan (charon)

วันนี้ผู้ใช้ไม่สามารถเชื่อมต่อได้ ฉันดูบันทึก charon และสังเกตเห็นว่าเซสชันอื่นที่มีอยู่ได้รับผลกระทบ ส่วนทั่วไปคือที่อยู่ LAN ในเครื่อง (192.168.0.18)

ทุกอย่างเงียบใน charon.log จากนั้นผู้ใช้ B เชื่อมต่อ (50.xx.xx.xx) เซสชันสำหรับผู้ใช้ A (70.xx.xx.xx) สร้างบันทึกทันที เมื่อความพยายามของผู้ใช้ B ล้มเหลว (ตัดการเชื่อมต่อ l2tp) ทุกอย่างก็เงียบลงอีกครั้ง

ข้อความที่ตัดตอนมาจากบันทึกของ Charon:

16 กรกฎาคม 01:14:59 01[IKE] <21363> 50.xxx.xxx.xxx กำลังเริ่มต้นโหมดหลัก IKE_SA
16 ก.ค. 01:14:59 น. 08[IKE] <การเข้าถึงระยะไกล|21362> การปิดการเข้าถึงระยะไกลของ CHILD_SA{45249} ด้วย SPI c9ea7827_i (59714 ไบต์) 08d6c880_o (43106 ไบต์) และ TS abc.61.143.254/32[udp/ l2f] === 70.xxx.xxx.xxx/32[udp/63717]
16 ก.ค. 01:14:59 น. 08[IKE] <remote-access|21362> กำลังลบ IKE_SA remote-access[21362] ระหว่าง abc.61.143.254[abc.61.143.254]...70.xxx.xxx.xxx[ 192.168.0.18]
16 ก.ค. 01:14:59 น. 08[IKE] <remote-access|21363> IKE_SA remote-access[21363] สร้างขึ้นระหว่าง abc.61.143.254[abc.61.143.254]...50.xxx.xxx.xxx[ 192.168.0.18]
16 ก.ค. 01:15:00 น. 06[IKE] <remote-access|21363> CHILD_SA remote-access{45251} สร้างด้วย SPI cc91da0f_i 0e42f461_o และ TS abc.61.143.254/32[udp/l2f] === 50.68.170.211 /32[udp/58401]
16 กรกฎาคม 01:15:02 15[IKE] <21364> 70.xxx.xxx.xxx กำลังเริ่มต้นโหมดหลัก IKE_SA
16 กรกฎาคม 01:15:03 11[IKE] <การเข้าถึงระยะไกล|21363> การปิดการเข้าถึงระยะไกลของ CHILD_SA{45251} ด้วย SPI cc91da0f_i (331 ไบต์) 0e42f461_o (300 ไบต์) และ TS abc.61.143.254/32[udp/ l2f] === 50.xxx.xxx.xxx/32[udp/58401]
16 ก.ค. 01:15:03 น. 11[IKE] <remote-access|21363> กำลังลบ IKE_SA remote-access[21363] ระหว่าง abc.61.143.254[abc.61.143.254]...50.xxx.xxx.xxx[ 192.168.0.18]
16 ก.ค. 01:15:03 น. 11[IKE] <remote-access|21364> IKE_SA remote-access[21364] สร้างขึ้นระหว่าง abc.61.143.254[abc.61.143.254]...70.xxx.xxx.xxx[ 192.168.0.18]
16 ก.ค. 01:15:03 07[IKE] <remote-access|21364> CHILD_SA remote-access{45252} สร้างด้วย SPIs cca08f41_i 0da530b5_o และ TS abc.61.143.254/32[udp/l2f] === 70.xxx .xxx.xxx/32[udp/63717]
16 กรกฎาคม 01:15:22 11[IKE] <21365> 50.xxx.xxx.xxx กำลังเริ่มต้นโหมดหลัก IKE_SA
16 กรกฎาคม 01:15:23 07[IKE] <การเข้าถึงระยะไกล|21364> การปิดการเข้าถึงระยะไกลของ CHILD_SA{45252} ด้วย SPI cca08f41_i (12135 ไบต์) 0da530b5_o (8428 ไบต์) และ TS abc.61.143.254/32[udp/ l2f] === 70.xxx.xxx.xxx/32[udp/63717]
16 ก.ค. 01:15:23 น. 07[IKE] <remote-access|21364> กำลังลบ IKE_SA remote-access[21364] ระหว่าง abc.61.143.254[abc.61.143.254]...70.xxx.xxx.xxx[ 192.168.0.18]
16 ก.ค. 01:15:23 07[IKE] <remote-access|21365> IKE_SA remote-access[21365] สร้างขึ้นระหว่าง abc.61.143.254[abc.61.143.254]...50.xxx.xxx.xxx[ 192.168.0.18]
16 ก.ค. 01:15:23 12[IKE] <remote-access|21365> CHILD_SA remote-access{45253} สร้างด้วย SPIs c28d018d_i 0dbb052e_o และ TS abc.61.143.254/32[udp/l2f] === 50.xxx .xxx.xxx/32[udp/58401]
16 ก.ค. 01:15:26 15[KNL] 10.255.255.0 เข้า ppp1
16 ก.ค. 01:15:26 14[KNL] 10.255.255.0 หายไปจาก ppp1

ฉันไม่เห็นว่าที่อยู่ LAN ในเครื่องจะส่งผลต่อเซิร์ฟเวอร์ได้อย่างไรแต่ความขัดแย้งระหว่างการเชื่อมต่อทั้งสองนี้สอดคล้องกัน และบันทึกค่อนข้างก่อนและหลังบันทึกข้างต้น

ปัญหาคือลูกค้าส่งที่อยู่ IP ส่วนตัวเป็นข้อมูลประจำตัว คุณสามารถดูตัวตนใน [] ในข้อความบันทึก:

กำลังลบ IKE_SA การเข้าถึงระยะไกล[21362] ระหว่าง abc.61.143.254[abc.61.143.254]...70.xxx.xxx.xxx[192.168.0.18]
การเข้าถึงระยะไกล IKE_SA[21363] สร้างขึ้นระหว่าง abc.61.143.254[abc.61.143.254]...50.xxx.xxx.xxx[192.168.0.18]

ดังนั้น IKE_SA ทั้งสองจึงอยู่ระหว่างข้อมูลประจำตัว 192.168.0.18 และ abc.61.143.254.

ขึ้นอยู่กับการตั้งค่าสำหรับ มีเอกลักษณ์ (swanctl.conf) หรือ รหัสเฉพาะ (ipsec.conf) รายการที่ซ้ำกันจะถูกลบ เพื่อหลีกเลี่ยงปัญหานี้ ให้ปิดใช้งานการตรวจสอบเอกลักษณ์นี้โดยตั้งค่าเป็น ไม่ หรือถ้าลูกค้าส่ง INITIAL_CONTACT แจ้งไปที่ ไม่เคย.