9月 2014
Monthly Archive
RT107eとCentOSでipsec生存確認
maru 07 9月 2014 | : IPSec, サーバー
VPNが途切れがちなので調査したところ、RT107eのログに
[IKE] ICMP: dead peer detection SA[1] yyy.yyy.yyy.yyy
[IKE] inactivate ISAKMP socket
[IKE] initiate informational exchange (delete)
[IKE] inactivate IPsec socket[transport:1](outbound)
[IKE] inactivate IPsec socket[transport:1](inbound)
IP Tunnel[1] Down
と出ており、接続が切れていました。
IPSecの生存確認をしていないことが原因のようでしたので、以下のように変更しました。
ヤマハ-ルータ(RT107e)のIPSec/L2TP – 2:Centosとの接続の設定を変更し、
RT107eの設定
tunnel select 1
tunnel encapsulation l2tp
tunnel endpoint address yyy.yyy.yyy.yyy
ipsec tunnel 1ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 on ←変更 IPSecの生存確認のログを有効にする
ipsec ike keepalive use 1 on ←変更 IPSecの生存確認を有効にする
ipsec ike keepalive use 1 on icmp-echo yyy.yyy.yyy.yyy ←追加 CentOSのGlobalアドレスに向けてICMPでIPSecの生存確認
ipsec ike local address 1 192.168.1.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text
ipsec ike remote address 1l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 1
としました。
CentOSの設定
/etc/ipsec.confを変更し、
config setup
protostack=netkey
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
force_keepalive=yes ←追加
としました。
これで、24時間以上たっていますが、途切れることなく接続しています。
SAの寿命は8時間ですが、これを超えて接続していますので、問題無いようです。