O IPsec não lê a configuração quando o túnel é excluído

4

Eu criei um túnel entre dois sites usando o IPsec. Eu cometi um erro na configuração, o endereço do destino era falso, então eu deletei este túnel. Mas após a exclusão, o ipsec tenta estabelecer a conexão com o outro site.

O que eu recebo de ipsec statusall :

Connections:
Security Associations (1 up, 0 connecting):
   TEST4[1]: CONNECTING, x.x.x.x[%any]...y.y.y.y[%any]
   TEST4[1]: IKE SPIs: eb1655dd8f51750d_i* 0000000000000000_r
   TEST4[1]: Tasks active: IKE_VENDOR IKE_INIT IKE_NATD IKE_CERT_PRE IKE_AUTHENTICATE IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME 

e do arquivo de log eu recebo:

peer not responding, trying again (52/0)
charon: 04[IKE] initiating IKE_SA TEST4[1] to y.y.y.y
charon: 04[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
charon: 04[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 03[IKE] retransmit 1 of request with message ID 0
charon: 03[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 01[IKE] retransmit 2 of request with message ID 0
charon: 01[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 14[IKE] retransmit 3 of request with message ID 0
charon: 14[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 05[IKE] retransmit 4 of request with message ID 0
charon: 05[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]
charon: 02[IKE] retransmit 5 of request with message ID 0
charon: 02[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500]

Como posso reconfigurar o ipsec para estar ciente da nova configuração quando eu excluir o túnel para que ele não continue tentando estabelecer a conexão mesmo que não haja nenhum túnel?

    
por Bingo 03.04.2014 / 14:31

1 resposta

2

A simples atualização dos arquivos de configuração do strongSwan não afeta o daemon de codificação em execução ou os túneis IPsec estabelecidos.

Você precisa reiniciar o daemon com ipsec restart (que encerra todas as Associações de Segurança IKE e IPsec existentes) ou torná-lo ciente da configuração atualizada com ipsec update . Como este último não tem efeito nas conexões existentes, você teria que finalizar aquele iniciado anteriormente manualmente com ipsec down . No seu caso, ipsec down TEST4 .

man ipsec ou a página sobre o comando ipsec no wiki strongSwan fornece mais informações nos comandos de controle disponíveis.

    
por 03.04.2014 / 15:54