Соединение Openswan IPSec (к cisco asa) отключается каждые 18 часов

У нас есть CentOS 5.5 (vm) с установленным Linux Openswan U2.6.32. На нем у нас есть туннель IPSec с узлом, который является cisco asa. Туннель отключается каждые 18 часов (нам нужно, чтобы туннель не спал все время).

Мы протестировали множество настроек на openswan, но в настоящее время у нас есть следующая конфигурация:

    auto=start
    type=tunnel
    keyexchange=ike
    authby=secret
    rightrsasigkey=%cert
    leftrsasigkey=%cert 
    compress=no 
    esp=aes256-sha1
    ike=aes256-sha1-modp1536       
    pfs=no
    ikelifetime=24h
    keylife=1h
    dpddelay=2
    dpdtimeout=1000
    dpdaction=restart
    rekey=yes

У нас нет доступа к одноранговому устройству.

Кто-нибудь сталкивался с этой проблемой раньше?


ipsec cisco
person Invigo Support    schedule 03.03.2014    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Существует вероятность того, что у вас есть некоторая несогласованность с Cisco ASA в отношении одной из метрик туннеля, например, распространенная несогласованность связана с тайм-аутом сеанса ipsec (а не сеансом ike, который вы настроили на 24 часа), в этом случае отсутствующее свойство из вашего конфиг - это время жизни = 18 часов

Как только обе стороны выровнены, повторный ввод произойдет правильно.

Другие предложения:

а) уменьшите dpdtimeout до чего-то намного меньшего, чем 1000 секунд (обычные настройки составляют от 30 секунд до 3 минут), если это не помогает, вы можете перепроверить, как настроен ASA, убедившись, что он не настроен на удаление туннеля каждый n Kb или когда туннель идеальный

б) измените dpdaction с перезапуска на restart_by_peer

person Amir    schedule 18.03.2015