У меня есть VPN между одним сервером (Debian 10, Strongswan 5.7.2) и партнерским сервером (Stormshield SN510). Все работает нормально, другие мои серверы могут подключаться к партнерскому серверу по HTTPS через VPN.
Но IKE SA остаются активными, пока у меня не будет 70 из них, и у конечной точки партнерской VPN не возникнет проблем с их обработкой.
Например, небольшое подмножество (я специально убрал каждый IP)
root@ipsec1:/etc# sudo swanctl -l
партнер: #1837, УСТАНОВЛЕН, IKEv2
установлен 669 года назад, перепроверен в 19 183 году.
партнерская фаза 2: # 2629, требуется 26, УСТАНОВЛЕНО, ТУННЕЛЬ, ESP: AES_CBC-256/HMAC_SHA2_256_128
установлен 669 с назад, смена ключей в 1990-х, срок действия истекает через 2931 с
в cd63b8c2, 0 байт, 0 пакетов
out cacc8158, 0 байт, 0 пакетов
партнерская фаза 2: # 2630, требуется 26, УСТАНОВЛЕНО, ТУННЕЛЬ, ESP: AES_CBC-256/HMAC_SHA2_256_128
установлен 669 сек. назад, перекодирован в 2 087 сек., срок действия истекает в 2 931 сек.
в c859fcff, 0 байт, 0 пакетов
out c2e8b52a, 0 байт, 0 пакетов
партнерская фаза 2: # 2631, требуется 26, УСТАНОВЛЕНО, ТУННЕЛЬ, ESP: AES_CBC-256/HMAC_SHA2_256_128
установлен 669 с назад, смена ключей 1853 с, срок действия истекает через 2932 с
в cb8845a0, 0 байт, 0 пакетов
out c3507f7a, 0 байт, 0 пакетов
партнерская фаза 2: # 2632, требуется 26, УСТАНОВЛЕНО, ТУННЕЛЬ, ESP: AES_CBC-256/HMAC_SHA2_256_128
установлен 668 с назад, смена ключей через 2188 с, срок действия истекает через 2932 с
в c281ec0f, 0 байт, 0 пакетов
out c290fff2, 0 байт, 0 пакетов
партнерская фаза 2: # 2633, требуется 26, УСТАНОВЛЕНО, ТУННЕЛЬ, ESP: AES_CBC-256/HMAC_SHA2_256_128
установлен 668 с назад, смена ключей в 1913 с, срок действия истекает через 2932 с
в c73a42eb, 0 байт, 0 пакетов
out ca21c339, 0 байт, 0 пакетов
Вот файл конфигурации
аферист
авто=старт
авторизация = секрет
обмен ключами=ikev2
ike=aes256-sha2_256-modp3072
слева = хх.хх.хх.хх
левый идентификатор = хх.хх.хх.хх
справа = хх.хх.хх.хх
правильный идентификатор = хх.хх.хх.хх
ikelifetime=21600с
агрессивный = нет
dpdtimeout = 120 с
dpddelay=30s
dpdaction=перезагрузка
conn партнер-фаза2
также=партнер
тип=туннель
esp = aes256-sha2_256-modp3072
сжать=нет
левая подсеть = хх.хх.хх.хх/32,хх.хх.хх.хх/32,хх.хх.хх.хх/32
правая подсеть = хх.хх.хх.хх/24
срок службы = 3600 с
Выдержка из charon.log
[2021-11-25 10:22:57] 06[IKE] <партнер|1837> активация задачи CHILD_REKEY
[2021-11-25 10:22:57] 06[IKE] <partner|1837> установление CHILD_SA partner-phase2{2675} reqid 26
[2021-11-25 10:22:57] 06[ENC] <партнер|1837> создание запроса CREATE_CHILD_SA 80 [ N(REKEY_SA) SA No KE TSi TSr ]
[2021-11-25 10:22:57] 06[NET] <партнер|1837> отправка пакета: от xx.xx.xx.xx[4500] до xx.xx.xx.xx[4500] (736 байт)
[2021-11-25 10:22:58] 16[NET] <partner|1837> полученный пакет: от xx.xx.xx.xx[4500] до xx.xx.xx.xx[4500] (208 байт)
[2021-11-25 10:22:58] 16[ENC] <partner|1837> проанализирован ответ CREATE_CHILD_SA 80 [ N(ESP_TFC_PAD_N) SA No TSi TSr ]
[2021-11-25 10:22:58] 16[IKE] <partner|1837> получил уведомление ESP_TFC_PADDING_NOT_SUPPORTED
[2021-11-25 10:22:58] 16[IKE] <partner|1837> получил ESP_TFC_PADDING_NOT_SUPPORTED, не используя заполнение ESPv3 TFC
[2021-11-25 10:22:58] 16[CFG] <partner|1837> выбранное предложение: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
[2021-11-25 10:22:58] 16[IKE] <partner|1837> игнорируя обмен KE, согласился на предложение, не относящееся к PFS
[2021-11-25 10:22:58] 16[IKE] <partner|1837> входящий CHILD_SA partner-phase2{2675} установлен с SPI cede52fe_i c22f460a_o и TS xx.xx.xx.xx/32 === xx. хх.хх.хх/24
[2021-11-25 10:22:58] 16[IKE] <partner|1837> исходящий CHILD_SA partner-phase2{2675} установлен с SPI cede52fe_i c22f460a_o и TS xx.xx.xx.xx/32 === xx. хх.хх.хх/24
[2021-11-25 10:22:58] 16[IKE] <partner|1837> повторная инициация уже активных задач
[2021-11-25 10:22:58] 16[IKE] <партнер|1837> задача CHILD_REKEY
[2021-11-25 10:22:58] 16[IKE] <partner|1837> закрытие CHILD_SA partner-phase2{2641} с SPI c48f9704_i (0 байт) c8d17eb6_o (0 байт) и TS xx.xx.xx.xx /32 === хх.хх.хх.хх/24
[2021-11-25 10:22:58] 16[IKE] <partner|1837> отправляет DELETE для ESP CHILD_SA с SPI c48f9704
[2021-11-25 10:22:58] 16[ENC] <partner|1837> создание ИНФОРМАЦИОННОГО запроса 81 [ D ]
[2021-11-25 10:22:58] 16[NET] <partner|1837> отправка пакета: от xx.xx.xx.xx[4500] до xx.xx.xx.xx[4500] (80 байт)
[2021-11-25 10:22:58] 07[NET] <partner|1837> получен пакет: от xx.xx.xx.xx[4500] до xx.xx.xx.xx[4500] (80 байт)
[2021-11-25 10:22:58] 07[ENC] <partner|1837> проанализирован ИНФОРМАЦИОННЫЙ ответ 81 [ D ]
[2021-11-25 10:22:58] 07[IKE] <partner|1837> получил DELETE для ESP CHILD_SA с SPI c8d17eb6
[2021-11-25 10:22:58] 07[IKE] <партнер|1837> CHILD_SA закрыт
[2021-11-25 10:22:58] 07[IKE] <partner|1837> активация новых задач
[2021-11-25 10:22:58] 07[IKE] <partner|1837> нечего инициировать
