Score:0

IKE SA หลายตัวพร้อม Strongswan VPN

ธง cn

ฉันมี VPN ระหว่างเซิร์ฟเวอร์หนึ่งเครื่อง (Debian 10, Strongswan 5.7.2) และเซิร์ฟเวอร์พันธมิตร (Stormshield SN510) ทำงานได้ดี เซิร์ฟเวอร์อื่นๆ ของฉันสามารถเข้าถึงพาร์ทเนอร์บน HTTPS ผ่าน VPN

แต่ IKE SA ยังคงใช้งานอยู่ จนกว่าฉันจะมี 70 อันและตำแหน่งข้อมูล VPN ของพาร์ทเนอร์มีปัญหาในการจัดการ

ตัวอย่างเช่น ชุดย่อยขนาดเล็ก (ฉันลบทุก IP โดยเจตนา)

root@ipsec1:/etc# sudo swanctl -l
พันธมิตร: #1837 ก่อตั้ง IKEv2
  ก่อตั้งขึ้นเมื่อ 669 ที่แล้ว รับรองอีกครั้งในปี 19183
  พาร์ทเนอร์เฟส 2: #2629, reqid 26, ติดตั้งแล้ว, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128
    ติดตั้งเมื่อ 669 วินาทีที่แล้ว คีย์ใหม่ในปี 1990 หมดอายุในปี 2931
    ใน cd63b8c2, 0 ไบต์, 0 แพ็กเก็ต
    ออก cacc8158, 0 ไบต์, 0 แพ็คเก็ต
  พันธมิตรเฟส 2: #2630, reqid 26, ติดตั้ง, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128
    ติดตั้งเมื่อ 669 วินาทีที่แล้ว คีย์ใหม่ในปี 2087 หมดอายุในปี 2931
    ใน c859fcff, 0 ไบต์, 0 แพ็กเก็ต
    ออก c2e8b52a, 0 ไบต์, 0 แพ็กเก็ต
  พาร์ทเนอร์เฟส 2: #2631, reqid 26, ติดตั้งแล้ว, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128
    ติดตั้งเมื่อ 669 ที่แล้ว คีย์ใหม่ในปี 1853 หมดอายุในปี 2932
    ใน cb8845a0, 0 ไบต์, 0 แพ็กเก็ต
    ออก c3507f7a, 0 ไบต์, 0 แพ็กเก็ต
  เฟสพันธมิตร 2: #2632, reqid 26, ติดตั้ง, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128
    ติดตั้งเมื่อ 668 วินาทีที่แล้ว คีย์ใหม่ในปี 2188 หมดอายุในปี 2932
    ใน c281ec0f, 0 ไบต์, 0 แพ็กเก็ต
    ออก c290fff2, 0 ไบต์, 0 แพ็กเก็ต
  เฟสพันธมิตร 2: #2633, reqid 26, ติดตั้ง, TUNNEL, ESP:AES_CBC-256/HMAC_SHA2_256_128
    ติดตั้งเมื่อ 668 ที่แล้ว คีย์ใหม่ในปี 1913 หมดอายุในปี 2932
    ใน c73a42eb, 0 ไบต์, 0 แพ็กเก็ต
    ออก ca21c339, 0 ไบต์, 0 แพ็กเก็ต

นี่คือไฟล์การกำหนดค่า

พันธมิตร conn
        อัตโนมัติ = เริ่มต้น
        authby = ความลับ
        การแลกเปลี่ยนคีย์=ikev2
        ike=aes256-sha2_256-modp3072
        ซ้าย=xx.xx.xx.xx
        leftid=xx.xx.xx.xx
        ขวา=xx.xx.xx.xx
        rightid=xx.xx.xx.xx
        ikelifetime=21600s
        ก้าวร้าว=ไม่
        dpdtimeout=120 วินาที
        dpddelay=30 วินาที
        dpdaction=รีสตาร์ท
        
พันธมิตร conn-phase2
        ยัง = พันธมิตร
        พิมพ์=อุโมงค์
        esp=aes256-sha2_256-modp3072
        บีบอัด=ไม่
        leftsubnet=xx.xx.xx.xx/32,xx.xx.xx.xx/32,xx.xx.xx.xx/32
        rightsubnet=xx.xx.xx.xx/24
        อายุการใช้งาน = 3600 วินาที

สารสกัดจาก charon.log

[2021-11-25 10:22:57] 06[IKE] <partner|1837> กำลังเปิดใช้งานงาน CHILD_REKEY
[2021-11-25 10:22:57] 06[IKE] <partner|1837> กำลังสร้าง CHILD_SA partner-phase2{2675} reqid 26
[2021-11-25 10:22:57] 06[ENC] <partner|1837> กำลังสร้างคำขอ CREATE_CHILD_SA 80 [ N(REKEY_SA) SA No KE TSi TSr ]
[2021-11-25 10:22:57] 06[NET] <partner|1837> ส่งแพ็คเก็ต: จาก xx.xx.xx.xx[4500] ถึง xx.xx.xx.xx[4500] (736 ไบต์)
[2021-11-25 10:22:58] 16[NET] <partner|1837> ได้รับแพ็คเก็ต: จาก xx.xx.xx.xx[4500] ถึง xx.xx.xx.xx[4500] (208 ไบต์)
[2021-11-25 10:22:58] 16[ENC] <partner|1837> แยกวิเคราะห์การตอบสนอง CREATE_CHILD_SA 80 [ N(ESP_TFC_PAD_N) SA No TSi TSr ]
[2021-11-25 10:22:58] 16[IKE] <partner|1837> ได้รับการแจ้งเตือน ESP_TFC_PADDING_NOT_SUPPORTED
[2021-11-25 25:22:58] 16[IKE] <partner|1837> ได้รับ ESP_TFC_PADDING_NOT_SUPPORTED ไม่ได้ใช้การเติม ESPv3 TFC
[2021-11-25 10:22:58] 16[CFG] <partner|1837> ข้อเสนอที่เลือก: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
[2021-11-25 10:22:58] 16[IKE] <partner|1837> เพิกเฉยต่อการแลกเปลี่ยน KE ตกลงในข้อเสนอที่ไม่ใช่ PFS
[2021-11-25 10:22:58] 16[IKE] <partner|1837> CHILD_SA ขาเข้า part-phase2{2675} สร้างด้วย SPI cede52fe_i c22f460a_o และ TS xx.xx.xx.xx/32 === xx xx.xx.xx/24
[2021-11-25 10:22:58] 16[IKE] <partner|1837> ขาออก CHILD_SA พาร์ทเนอร์เฟส2{2675} สร้างขึ้นด้วย SPI cede52fe_i c22f460a_o และ TS xx.xx.xx.xx/32 === xx xx.xx.xx/24
[2021-11-25 10:22:58] 16[IKE] <partner|1837> เริ่มงานที่ใช้งานอยู่แล้วอีกครั้ง
[2021-11-25 10:22:58] 16[IKE] <partner|1837> งาน CHILD_REKEY
[2021-11-25 10:22:58] 16[IKE] <partner|1837> ปิด CHILD_SA partner-phase2{2641} ด้วย SPI c48f9704_i (0 ไบต์) c8d17eb6_o (0 ไบต์) และ TS xx.xx.xx.xx /32 === xx.xx.xx.xx/24
[2021-11-25 10:22:58] 16[IKE] <partner|1837> ส่ง DELETE สำหรับ ESP CHILD_SA ด้วย SPI c48f9704
[2021-11-25 10:22:58] 16[ENC] <partner|1837> กำลังสร้างคำขอข้อมูล 81 [ D ]
[2021-11-25 25:22:58] 16[NET] <partner|1837> ส่งแพ็กเก็ต: จาก xx.xx.xx.xx[4500] ถึง xx.xx.xx.xx[4500] (80 ไบต์)
[2021-11-25 25:22:58] 07[NET] <partner|1837> ได้รับแพ็กเก็ต: จาก xx.xx.xx.xx[4500] ถึง xx.xx.xx.xx[4500] (80 ไบต์)
[2021-11-25 10:22:58] 07[ENC] <partner|1837> แยกวิเคราะห์ข้อมูลตอบกลับ 81 [ D ]
[2021-11-25 10:22:58] 07[IKE] <partner|1837> ได้รับการ DELETE สำหรับ ESP CHILD_SA ที่มี SPI c8d17eb6
[2021-11-25 10:22:58] 07[IKE] <partner|1837> CHILD_SA ปิด
[2021-11-25 10:22:58] 07[IKE] <partner|1837> กำลังเปิดใช้งานงานใหม่
[2021-11-25 10:22:58] 07[IKE] <partner|1837> ไม่มีอะไรต้องเริ่ม
cn flag
เอาต์พุตสถานะแสดง CHILD_SA หลายรายการ ไม่ใช่ IKE_SA หรือมี IKE_SA อื่นๆ ที่คุณตัดออก บันทึกไม่ได้มีประโยชน์จริง ๆ เนื่องจากเป็นเพียงการแสดงการป้อนซ้ำตามปกติ คุณต้องอ่านบันทึกตั้งแต่เริ่มต้น (เมื่อสร้าง IKE_SA) และติดตามเพื่อดูว่าเมื่อใดและโดยใครที่สร้าง CHILD_SA (อาจเป็นปลายอีกด้านหนึ่ง ซึ่งในกรณีนี้คุณต้องอ่านบันทึกของพวกเขาเพื่อดู ทำไม).

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา