Szerintem felre lettel vezetve. Kifejtem.
On 2017-08-25 12:58, Sándor Fehér wrote:
NO NE :), akkor egy kérdés:
Tegyük fel, hogy újraindítom a szervert és lecsatlakoznak a kliensek
és valami oknál fogva ( pl watchdog) újraindulnak a kliensek is.
Eredmény: egy szerver restart hazavágja a vpn-t
Tök logikus amit írsz, de a való életben igen is lehet olyan eset,
hogy csak a szerver "él" a kliensek később csatlakoznak.
A valo eletben minden helyzet pont ilyen.
Az előbbi miatt nem értem, hogy miért így működik a program: elszáll,
ha fel húzod up-al az rw kapcsolatot.
szoval az elmeletem (ami nem biztos, hogy helyes, de jelenleg akkor is
ezt gondolom) az, hogy egy dolog a vpn-t elinditani (felepiteni a
tuloldallal) es elinditani ugy, hogy keszen legyen bejovo kapcsolatok
fogadasara.
szerintem a problemad tok egyszeru, ugyanis reprodukaltam. nalad
auto=add van, ami azt jelenti, hogy kezzel kell up-ot adni neki. nalam
auto=start van, mert ha a szerver rebootol, en nem ohajtok kezzel
inditgatni dolgokat.
Most csak a vicc kedveert ujrainditottam ipsec restart-tal az egesz
szolgaltatast, es nezd mi van a logomban:
Aug 25 13:24:10 cube2 charon: 05[CFG] received stroke: add connection
'mom3g-oob_cube'
Aug 25 13:24:10 cube2 charon: 05[CFG] added configuration
'mom3g-oob_cube'
Aug 25 13:24:10 cube2 charon: 09[CFG] received stroke: initiate
'mom3g-oob_cube'
Aug 25 13:24:10 cube2 charon: 09[IKE] unable to resolve %any, initiate
aborted
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Ez viszont nem hiba. Az, hogy initiate nem tortenik az tok normalis -
nincs kihez. De ettol fuggetlenul a kapcsolat mukodni fog, amint a
kliens kezdemenyezte a vpn-t es bejutott.
A fenti amugy egy OOB menedzsment kapcsolat edesanyam otthoni
routerehez, hogy akkor is tudjam mi van a routerrel ha nincs net, mert
nyilvan engem hiv fel, hogy fiam, miert nem megy a net.
Szoval a kliens oldalrol elinditom a kapcsolat felepiteset:
c1921.bud-mom#ping vrf oob 10.7.20.13 source loopback 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.7.20.13, timeout is 2 seconds:
Packet sent with a source address of 10.7.20.14
!!!!!
es a logban kozben:
Aug 25 13:25:40 cube2 charon: 10[IKE] CHILD_SA mom3g-oob_cube{1}
established with SPIs XXXXXXXXXX and TS 10.7.20.13/32 === 10.7.20.14/32
Azaz szerintem a megoldas annyi, hogy ne dolj be a hibauzenetnek. Nem
hazudik, tenyleg nem tud kapcsolatot kezdemenyezni, de ez nem baj, mivel
csak fogadnia kell.
Lehet, hogy nem tunik logikusnak a fenti, nekem se ez jutott elsore
eszembe, de szerintem a fentiekkel reprodukaltam a te helyzetedben levo
hibat es latszik, hogy ennek ellenere mukodik, ahogy kell neki. Mivel
en auto=start -ot szoktam hasznalni, logot meg csak akkor nezek ha hiba
van, igy a hibauzenet eddig nekem fel se tunt.
udv
adam
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
