O IPsec não lê a configuração quando o túnel é excluído

Navegue suas respostas
4

Eu criei um túnel entre dois sites usando o IPsec. Eu cometi um erro na configuração, o endereço do destino era falso, então eu deletei este túnel. Mas após a exclusão, o ipsec tenta estabelecer a conexão com o outro site.

O que eu recebo de ipsec statusall : 

Connections:
Security Associations (1 up, 0 connecting):
   TEST4[1]: CONNECTING, x.x.x.x[%any]...y.y.y.y[%any]
   TEST4[1]: IKE SPIs: eb1655dd8f51750d_i* 0000000000000000_r
   TEST4[1]: Tasks active: IKE_VENDOR IKE_INIT IKE_NATD IKE_CERT_PRE IKE_AUTHENTICATE IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME

e do arquivo de log eu recebo: 

peer not responding, trying again (52/0)
charon: 04[IKE] initiating IKE_SA TEST4[1] to y.y.y.y
charon: 04[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
charon: 04[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 03[IKE] retransmit 1 of request with message ID 0
charon: 03[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 01[IKE] retransmit 2 of request with message ID 0
charon: 01[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 14[IKE] retransmit 3 of request with message ID 0
charon: 14[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 05[IKE] retransmit 4 of request with message ID 0
charon: 05[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 02[IKE] retransmit 5 of request with message ID 0
charon: 02[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]

Como posso reconfigurar o ipsec para estar ciente da nova configuração quando eu excluir o túnel para que ele não continue tentando estabelecer a conexão mesmo que não haja nenhum túnel?

    
por Bingo 03.04.2014 / 14:31

1 resposta

2

A simples atualização dos arquivos de configuração do strongSwan não afeta o daemon de codificação em execução ou os túneis IPsec estabelecidos.

Você precisa reiniciar o daemon com ipsec restart (que encerra todas as Associações de Segurança IKE e IPsec existentes) ou torná-lo ciente da configuração atualizada com ipsec update . Como este último não tem efeito nas conexões existentes, você teria que finalizar aquele iniciado anteriormente manualmente com ipsec down . No seu caso, ipsec down TEST4 .

man ipsec ou a página sobre o comando ipsec no wiki strongSwan fornece mais informações nos comandos de controle disponíveis.

    
por 03.04.2014 / 15:54

Tags

A implementação do Linux da variável de configuração do sistema ARG_MAX é diferente de outras variáveis do sistema e é compatível com POSIX? Instalando o software na primeira vez em que um sistema é inicializado após a instalação do CentOS