Почему ipsec туннель периодически треяет соединение?

Question

[Al Tinho]

Добрый день, на centos7 настроен ipsec libreswan, перидически пропадает соединение (1 раз в сутки на пару минут, может реже) и само восстанавливается, в логах ничего такого нету, подскажите где искать проблему?

Answer 1

[CityCat4]

Он не теряет. Он его намеренно рвет. Для перезапуска процесса обмена шифровальными ключами. Чтобы исключить всякие эффекты типа даже теоретической возможности сбрутить ключ. IPSec делала циска, еслиф че. Это серьезная вещь.
Замена ключа шифрования второго этапа (о котором стороны договорились внутри туннеля, построенного на ключах первого этапа) у меня например - раз в полчаса. Полная замена ключей - первого и второго этапов - раз в два часа. Как оно у Вас настроено, я не знаю.

Comments

[Al Tinho]

Подскажите, какой параметр в конфиге за это отвечает?

[CityCat4]

/etc/strongswan/ipsec.conf

conn %default
        ikelifetime=2h
        lifetime=1h

lifetime - время жизни ключа второго этапа, здесь - один час. ikelifetime - время жизни ключа первого этапа, здесь два часа. Разумеется, эти параметры можно ставить и в отдельном соединении.
Вообще у швана обширнейшая документация, там есть все и даже больше.

[Al Tinho]

CityCat4, эти параметры надо прописывать на 2х концах?

[CityCat4]

Al Tinho, Достаточно на одном, будет взят минимальный. Это все в логе хорошо видно, когда идет сессия IKE, лог у швана весьма подробный. Время жизни ключей берется минимальное совпадающее из возможных, шифрование - максимальное из возможных.

[Al Tinho]

CityCat4, спасибо большое)