1 Temat przez kszul (edytowany przez kszul 2017-07-20 11:48:33)

  • kszul
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-10-25
  • Posty: 39

Temat: IPsec (strongswan) systematycznie zrywa połączenie

Witam

Mam problem z połączeniem IPsec z wykorzystaniem Strongswana.
Jestem tylko użytkownikiem mającym się podpiąć do VPN z drugiej strony. Moja wiedza w tym temacie jest trochę ograniczona.

Użytkownicy z innych lokalizacji łączący się podobnie jak ja, tyle że za pomocą tplinków z oryginalnym oprogramowaniem (z obsługą IPseca oczywiście) nie mają żadnych problemów. A tam jedyne opcje do ustawienia to: key exchange method (IKEv1), encryption algorithm (3DES), integirity algorithm (SHA1), Hellman group for key exchange (modp768), key life time (28800) no i oczywiście odpowiednie adresy i klucz PSK.

A u mnie tunel zestawia się poprawnie i wszystko działa sobie jak powinno. Tylko, jeżeli nie ma ruchu z tamtej strony, to połączenie zostaje zerwane (zawsze po ok. 166 sekundach pingi przestają odpowiadać). Pomaga albo zrestarowanie IPseca po mojej stronie, albo puszczenie pinga od drugiej strony.  Połączenie jest poprawne do puki przychodzą pingi z drugiej strony. Wystarczy wstrzymać ruch i znów po ok. 166 sekundach połączenie się zrywa.

Kolega po drugiej stronie (co się na tym zna ale nie potrafi mi pomóc w tym przypadku) twierdzi, że tunel jest ciągle zestawiony tylko z jakiegoś powodu komunikacja jest przerywana.

Mój sprzęt:
Ruter: Nexx WT3020 (8M) + extroot
Firmware: LEDE Reboot 17.01-SNAPSHOT r3435-65eec8b / LuCI lede-17.01 branch (git-17.152.82987-7f6fc16)

WT3020 -- router ADSL ==VPN== SERWER
Na routerze mam przekierowane porty utp 500, 4500 i 1701 na WT3020.

/etc/firewall.user

route add -net 192.168.0.0/24 dev br-lan
iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -d 0/0 -j SNAT --to 10.0.0.33
iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -d 192.168.0.0/24 -j SNAT --to 192.168.5.1

/etc/config/firewall

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config include
    option path '/etc/firewall.user'

/etc/ipsec.conf

conn %default

  ikelifetime=28800s
  keylife=1h
  dpdtimeout=150s
  dpdaction=restart
  dpddelay=10s
  closeaction=restart
  keyingtries=%forever
  authby=psk
  ike=3des-sha1-modp768
  esp=3des-sha1-modp768

  
conn site2site

  aggressive=no
  leftfirewall=yes
#  MOJA STRONA (yyy)
  left=10.0.0.33
  leftid=yyy.yyy.yyy.yyy
  leftsourceip=10.0.0.33
  leftsubnet=192.168.5.0/24
#  TAMTA STRONA (xxx)
  right=xxx.xxx.xxx.xxx
  rightid=xxx.xxx.xxx.xxx
  rightsubnet=192.168.0.0/24
  rightdns=192.168.0.2
  keyexchange=ikev1
  type=tunnel
  auto=start

logread
https://pastebin.com/7CNMk4sh

logi IPseca bez pingu z drugiej strony. Ok. 11:33:48 pingi z drugiej strony "obudziły" połączenie.
https://pastebin.com/eDCxd4yC

logi IPseca z pingiem z drugiej strony
https://pastebin.com/usvbTmPB