Рейтинг:-1

Клиент Strongswan и Windows: соединение зависает через несколько минут

флаг sa

На AWS VPS я установил Strongswan, чтобы использовать его в качестве VPN. Он отлично работает с клиентом iPhone. Однако, когда я пытаюсь подключиться из клиента Windows, соединение SA успешно устанавливается и работает нормально в течение нескольких минут, но через несколько минут (от 2 до 10 минут, в большинстве случаев 2 или чуть больше) соединение зависает и останавливает проходящий трафик. Кажется, что обе стороны видят соединение как живое, по крайней мере, я не вижу никаких признаков ошибок.

Я потратил несколько дней, пытаясь выяснить, в чем дело. Материалов, описывающих подобные ситуации, в Интернете, кажется, довольно мало.Кроме того, я новичок в администрировании Linux и сетей, поэтому, возможно, я видел описание этой проблемы и ее решение, но просто не мог понять. Буду очень благодарен за любую помощь.

Ниже ipsec.conf (Здесь реальный внешний IP сервера заменен на EXT.SRVR.IP.ADR)

настройка конфигурации
    уникальные идентификаторы = никогда
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"

подключение% по умолчанию
    обмен ключами=ikev2
    ike=aes128gcm16-sha2_256-prfsha256-ecp256,aes256-sha2_256-prfsha256-modp2048!
    esp=aes128gcm16-sha2_256-ecp256,aes256-sha1!
    фрагментация=да
    ключ = нет
    сжать=да
    dpdaction=очистить
    слева=% любой
    leftauth=pubkey
    leftsourceip=EXT.SRVR.IP.ADR
    leftid=EXT.SRVR.IP.ADR
    leftcert=debian.pem
    leftsendcert=всегда
    левая подсеть=0.0.0.0/0
    справа=%любой
    rightauth=pubkey
    исходный код=10.10.10.0/24
    правый DNS=8.8.8.8,8.8.4.4

conn ikev2-pubkey
    авто=добавить

А вот отрывок из ipsec.log (настоящие IP заменены на "ВНЕШ.СРВР.IP.АДР", "INT.SRVR.IP.ADR" и "МАЙ.CLNT.IP.ADR" для внешнего IP сервера, его внутреннего IP и моего Windows клиента соответственно опущены видимо несущественные строки)

17 марта 12:41:17 имя-сервера charon: 03[NET] получен пакет: от MY.CLNT.IP.ADR[500] до INT.SRVR.IP.ADR[500]
17 марта 12:41:17 имя-сервера charon: 03[NET] ожидание данных на сокетах
17 марта 12:41:17 имя-сервера charon: 07[MGR] checkout IKEv2 SA сообщением с SPI cc34c04e15f31fd2_i 00000000000000000_r
17 марта 12:41:17 имя-сервера charon: 07[MGR] создал IKE_SA (безымянный)[1]
17 марта 12:41:17 имя-сервера charon: 07[NET] получен пакет: от MY.CLNT.IP.ADR[500] до INT.SRVR.IP.ADR[500] (536 байт)
17 марта 12:41:17 имя сервера charon: 07[ENC] проанализировано запрос IKE_SA_INIT 0 [SA KE No N(NATD_S_IP) N(NATD_D_IP)]
17 марта 12:41:17 имя-сервера charon: 07[CFG] ищет конфигурацию ike для INT.SRVR.IP.ADR...MY.CLNT.IP.ADR
17 марта 12:41:17 имя-сервера charon: 07[CFG] кандидат: %any...%any, prio 28
17 марта 12:41:17 имя сервера charon: 07[CFG] найдено соответствие конфигурации ike: %any...%any с prio 28
17 марта 12:41:17 имя-сервера charon: 07[IKE] MY.CLNT.IP.ADR инициирует IKE_SA
17 марта 12:41:17 имя-сервера charon: 07[IKE] IKE_SA (безымянный)[1] изменение состояния: СОЗДАН => ПОДКЛЮЧЕНИЕ
17 марта 12:41:17 имя-сервера charon: 07[CFG] выбор предложения:
17 марта 12:41:17 имя-сервера charon: 07[CFG] не найдено приемлемого ENCRYPTION_ALGORITHM
17 марта 12:41:17 имя-сервера charon: 07[CFG] выбор предложения:
17 марта 12:41:17 имя-сервера charon: 07[CFG] не найдено приемлемого ENCRYPTION_ALGORITHM
17 марта 12:41:17 имя-сервера charon: 07[CFG] выбор предложения:
17 марта 12:41:17 имя-сервера charon: 07[CFG] не найдено приемлемого ENCRYPTION_ALGORITHM
17 марта 12:41:17 имя-сервера charon: 07[CFG] выбор предложения:
17 марта 12:41:17 имя-сервера charon: 07[CFG] не найдено приемлемой PSEUDO_RANDOM_FUNCTION
17 марта 12:41:17 имя-сервера charon: 07[CFG] выбор предложения:
17 марта 12:41:17 имя сервера charon: 07[CFG] соответствует предложению
Mar 17 12:41:17 server-name charon: 07[CFG] received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_2048
17 марта 12:41:17 имя сервера charon: 07[CFG] сконфигурированные предложения: IKE:AES_GCM_16_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
17 марта 12:41:17 имя сервера charon: 07[CFG] выбранное предложение: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
17 марта 12:41:17 имя-сервера charon: 07[IKE] локальный хост находится за NAT, отправка сообщений поддержки активности
17 марта 12:41:17 имя-сервера charon: 07[IKE] удаленный хост находится за NAT
17 марта 12:41:17 имя-сервера charon: 07[IKE] отправляет запрос сертификата для "CN=EXT.SRVR.IP.ADR"
17 марта 12:41:17 имя-сервера charon: 07[ENC] генерирует ответ IKE_SA_INIT 0 [SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH)]
17 марта 12:41:17 имя-сервера charon: 07[NET] отправка пакета: с INT.SRVR.IP.ADR[500] на MY.CLNT.IP.ADR[500] (465 байт)
17 марта 12:41:17 имя-сервера charon: 04[NET] отправка пакета: с INT.SRVR.IP.ADR[500] на MY.CLNT.IP.ADR[500]
17 марта 12:41:17 имя-сервера charon: 07[MGR] регистрация IKE_SA (без имени)[1]
17 марта 12:41:17 имя-сервера charon: 07[MGR] успешная регистрация IKE_SA
17 марта 12:41:17 имя-сервера charon: 03[NET] получен пакет: от MY.CLNT.IP.ADR[4500] до INT.SRVR.IP.ADR[4500]
17 марта 12:41:17 имя-сервера charon: 03[NET] ожидание данных на сокетах
17 марта 12:41:17 имя-сервера charon: 08[MGR] проверка IKEv2 SA по сообщению с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:41:17 имя-сервера charon: 08[MGR] IKE_SA (безымянный)[1] успешно извлечен
17 марта 12:41:17 имя сервера charon: 08[NET] получен пакет: от MY.CLNT.IP.ADR[4500] до INT.SRVR.IP.ADR[4500] (3408 байт)
17 марта 12:41:17 имя-сервера charon: 08[ENC] проанализировано запрос IKE_AUTH 1 [IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV) SA TSi TSr]
17 марта 12:41:17 имя-сервера charon: 08[IKE] получил запрос сертификата для неизвестного центра сертификации с идентификатором ключа 39:9e:66:a7:20:3c:4d:06:fb:62:6b:65:87: 22:35:57:а0:а0:0а:22
...
17 марта 12:41:17 имя-сервера charon: 08[IKE] получил запрос сертификата для неизвестного ЦС с идентификатором ключа 01:f0:33:4c:1a:a1:d9:ee:5b:7b:a9:de:43: до н.э.: 02: 7d: 57: 09: 33: фб
17 марта 12:41:17 имя-сервера charon: 08[IKE] получил запрос сертификата для "CN=EXT.SRVR.IP.ADR"
17 марта 12:41:17 имя-сервера charon: 08[IKE] получил запрос сертификата для неизвестного центра сертификации с идентификатором ключа 88:a9:5a:ef:c0:84:fc:13:74:41:6b:b1:63: 32:c2:cf:92:59:bb:3b
...
17 марта 12:41:17 имя-сервера charon: 08[IKE] получил запрос сертификата для неизвестного ЦС с идентификатором ключа 4f:9c:7d:21:79:9c:ad:0e:d8:b9:0c:57:9f: 1а:02:99:е7:90:f3:87
17 марта 12:41:17 имя_сервера charon: 08[IKE] получил 67 запросов сертификатов для неизвестного ЦС
17 марта 12:41:17 имя-сервера charon: 08[IKE] получил сертификат конечного объекта "CN=me"
17 марта 12:41:17 имя-сервера charon: 08[CFG] ищет одноранговые конфигурации, соответствующие INT.SRVR.IP.ADR[%any]...MY.CLNT.IP.ADR[CN=me]
17 марта 12:41:17 имя сервера charon: 08[CFG] кандидат "ikev2-pubkey", совпадение: 01.01.28 (я/другой/ike)
17 марта 12:41:17 имя-сервера charon: 08[CFG] выбрана конфигурация пира «ikev2-pubkey»
17 марта 12:41:17 имя-сервера charon: 08[CFG] с использованием сертификата "CN=me"
17 марта 12:41:17 имя-сервера charon: 08[CFG] сертификат "CN=me" ключ: 4096 бит RSA
17 марта 12:41:17 имя-сервера charon: 08[CFG] с использованием доверенного сертификата CA "CN=EXT.SRVR.IP.ADR"
17 марта 12:41:17 имя-сервера charon: 08[CFG] проверка статуса сертификата "CN=me"
17 марта 12:41:17 имя-сервера charon: 08[CFG] проверка ocsp пропущена, ocsp не найден
17 марта 12:41:17 имя-сервера charon: 08[CFG] статус сертификата недоступен
17 марта 12:41:17 имя-сервера charon: 08[CFG] сертификат "CN=EXT.SRVR.IP.ADR" ключ: 4096 бит RSA
17 марта 12:41:17 имя-сервера charon: 08[CFG] достиг самозаверяющего корневого центра сертификации с длиной пути 0
17 марта 12:41:17 имя-сервера charon: 08[IKE] аутентификация «CN=me» с подписью RSA успешна
17 марта 12:41:17 имя-сервера charon: 08[IKE] обрабатывает атрибут INTERNAL_IP4_ADDRESS
17 марта 12:41:17 имя-сервера charon: 08[IKE] обработка атрибута INTERNAL_IP4_DNS
17 марта 12:41:17 имя-сервера charon: 08[IKE] обработка атрибута INTERNAL_IP4_NBNS
17 марта 12:41:17 имя-сервера charon: 08[IKE] обработка атрибута INTERNAL_IP4_SERVER
17 марта 12:41:17 имя-сервера charon: 08 [IKE] одноранговый узел поддерживает MOBIKE
17 марта 12:41:17 имя-сервера charon: 08[IKE] аутентификация «EXT.SRVR.IP.ADR» (я) с подписью RSA успешна
17 марта 12:41:17 имя-сервера charon: 08[IKE] IKE_SA ikev2-pubkey[1] установлен между INT.SRVR.IP.ADR[EXT.SRVR.IP.ADR]...MY.CLNT.IP. ДОПОГ[CN=я]
17 марта 12:41:17 имя-сервера charon: 08[IKE] IKE_SA ikev2-pubkey[1] изменение состояния: CONNECTING => ESTABLISHED
17 марта 12:41:17 имя-сервера charon: 08[IKE] отправка сертификата конечного объекта "CN=EXT.SRVR.IP.ADR"
17 марта 12:41:17 имя-сервера charon: 08[IKE] одноранговый узел запросил виртуальный IP-адрес %any
17 марта 12:41:17 имя-сервера charon: 08[CFG] назначает новую аренду 'CN=me'
17 марта 12:41:17 имя-сервера charon: 08[IKE] назначает виртуальный IP-адрес 10.10.10.1 узлу «CN=me»
17 марта 12:41:17 имя-сервера charon: 08[IKE] создание атрибута INTERNAL_IP4_DNS
17 марта 12:41:17 имя-сервера charon: 08[IKE] создание атрибута INTERNAL_IP4_DNS
17 марта 12:41:17 server-name charon: 08[CFG] ищет дочернюю конфигурацию для 0.0.0.0/0 === 0.0.0.0/0
17 марта 12:41:17 server-name charon: 08[CFG] предлагает нам селекторы трафика:
17 марта 12:41:17 имя-сервера charon: 08[CFG] 0.0.0.0/0
17 марта 12:41:17 имя-сервера charon: 08[CFG] предлагает селекторы трафика для других:
17 марта 12:41:17 имя-сервера charon: 08[CFG] 10.10.10.1/32
17 марта 12:41:17 имя_сервера charon: 08[CFG] кандидат "ikev2-pubkey" с приоритетом 5+1
17 марта 12:41:17 имя сервера charon: 08[CFG] найдено соответствие дочерней конфигурации "ikev2-pubkey" с prio 6
17 марта 12:41:17 имя-сервера charon: 08[CFG] выбор предложения:
17 марта 12:41:17 имя-сервера charon: 08[CFG] не найдено приемлемого ENCRYPTION_ALGORITHM
17 марта 12:41:17 имя-сервера charon: 08[CFG] выбор предложения:
17 марта 12:41:17 имя-сервера charon: 08[CFG] не найдено приемлемого ENCRYPTION_ALGORITHM
17 марта 12:41:17 имя-сервера charon: 08[CFG] выбор предложения:
17 марта 12:41:17 имя-сервера charon: 08[CFG] не найдено приемлемого ENCRYPTION_ALGORITHM
17 марта 12:41:17 имя-сервера charon: 08[CFG] выбор предложения:
17 марта 12:41:17 имя сервера charon: 08[CFG] соответствует предложению
17 марта 12:41:17 имя сервера charon: 08[CFG] получил предложения: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
17 марта 12:41:17 имя сервера charon: 08[CFG] сконфигурированные предложения: ESP:AES_GCM_16_128/ECP_256/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
17 марта 12:41:17 имя сервера charon: 08[CFG] выбранное предложение: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
17 марта 12:41:17 имя-сервера charon: 08[KNL] получил SPI c6bcf84d
17 марта 12:41:17 server-name charon: 08[CFG] выбирает для нас селекторы трафика:
17 марта 12:41:17 имя сервера charon: 08[CFG] config: 0.0.0.0/0, получено: 0.0.0.0/0 => совпадение: 0.0.0.0/0
17 марта 12:41:17 имя_сервера charon: 08[CFG] выбор селекторов трафика для других:
17 марта 12:41:17 имя сервера charon: 08[CFG] конфигурация: 10.10.10.1/32, получено: 0.0.0.0/0 => совпадение: 10.10.10.1/32
17 марта 12:41:17 имя-сервера charon: 08[KNL] добавление записи SAD с SPI c6bcf84d и reqid {1}
17 марта 12:41:17 имя-сервера charon: 08[KNL] с использованием алгоритма шифрования AES_CBC с размером ключа 256
17 марта 12:41:17 имя-сервера charon: 08[KNL] с использованием алгоритма целостности HMAC_SHA1_96 с размером ключа 160
17 марта 12:41:17 имя сервера charon: 08[KNL] с использованием окна повтора из 32 пакетов
17 марта 12:41:17 имя-сервера charon: 08[KNL] добавление записи SAD с SPI b74162a4 и reqid {1}
17 марта 12:41:17 имя-сервера charon: 08[KNL] с использованием алгоритма шифрования AES_CBC с размером ключа 256
17 марта 12:41:17 имя-сервера charon: 08[KNL] с использованием алгоритма целостности HMAC_SHA1_96 с размером ключа 160
17 марта 12:41:17 имя-сервера charon: 08[KNL] с использованием окна воспроизведения 0 пакетов
17 марта 12:41:17 имя_сервера charon: 08[KNL] добавление политики 0.0.0.0/0 === 10.10.10.1/32 out [приоритет 391808, количество ссылок 1]
17 марта 12:41:17 имя_сервера charon: 08[KNL] политика уже существует, попробуйте обновить ее
17 марта 12:41:17 имя сервера charon: 08[KNL] добавление политики 10.10.10.1/32 === 0.0.0.0/0 в [приоритет 391808, количество ссылок 1]
17 марта 12:41:17 имя_сервера charon: 08[KNL] политика уже существует, попробуйте обновить ее
17 марта 12:41:17 имя_сервера charon: 08[KNL] добавление политики 10.10.10.1/32 === 0.0.0.0/0 fwd [приоритет 391808, количество ссылок 1]
17 марта 12:41:17 имя_сервера charon: 08[KNL] политика уже существует, попробуйте обновить ее
17 марта 12:41:17 имя_сервера charon: 08[KNL] policy 0.0.0.0/0 === 10.10.10.1/32 уже существует, количество ссылок увеличивается
17 марта 12:41:17 имя сервера charon: 08[KNL] обновление политики 0.0.0.0/0 === 10.10.10.1/32 вышло [приоритет 191808, количество ссылок 2]
17 марта 12:41:17 имя-сервера charon: 08[KNL] получение локального адреса в селекторе трафика 0.0.0.0/0
17 марта 12:41:17 имя-сервера charon: 08[KNL] с использованием хоста %any
17 марта 12:41:17 имя сервера charon: 08[KNL] получение имени iface для индекса 2
17 марта 12:41:17 имя сервера charon: 08[KNL] с использованием 172.26.0.1 в качестве следующего перехода и eth0 в качестве dev для доступа к MY.CLNT.IP.ADR/32
17 марта 12:41:17 имя-сервера charon: 08[KNL] маршрут установки: 10.10.10.1/32 через 172.26.0.1 src %any dev eth0
17 марта 12:41:17 имя сервера charon: 08[KNL] получение индекса iface для eth0
17 марта 12:41:17 имя_сервера charon: 08[KNL] policy 10.10.10.1/32 === 0.0.0.0/0 уже существует, увеличивается количество ссылок
17 марта 12:41:17 имя сервера charon: 08[KNL] обновление политики 10.10.10.1/32 === 0.0.0.0/0 в [приоритет 191808, количество ссылок 2]
17 марта 12:41:17 имя_сервера charon: 08[KNL] policy 10.10.10.1/32 === 0.0.0.0/0 fwd уже существует, увеличивается количество ссылок
17 марта 12:41:17 имя-сервера charon: 08[KNL] политика обновления 10.10.10.1/32 === 0.0.0.0/0 fwd [приоритет 191808, количество ссылок 2]
17 марта 12:41:17 имя-сервера charon: 08[IKE] CHILD_SA ikev2-pubkey{1} установлен с SPI c6bcf84d_i b74162a4_o и TS 0.0.0.0/0 === 10.10.10.1/32
17 марта 12:41:17 имя-сервера charon: 08[ENC] генерирует ответ IKE_AUTH 1 [IDr CERT AUTH CPRP (ADDR DNS DNS) SA TSi TSr N (MOBIKE_SUP) N (ADD_6_ADDR)]
17 марта 12:41:17 имя сервера charon: 08[NET] отправка пакета: с INT.SRVR.IP.ADR[4500] на MY.CLNT.IP.ADR[4500] (2048 байт)
17 марта 12:41:17 имя-сервера charon: 04[NET] отправка пакета: с INT.SRVR.IP.ADR[4500] на MY.CLNT.IP.ADR[4500]
17 марта 12:41:17 имя-сервера charon: 08[MGR] checkin IKE_SA ikev2-pubkey[1]
17 марта 12:41:17 имя-сервера charon: 08[MGR] регистрация IKE_SA прошла успешно
17 марта 12:41:37 имя-сервера charon: 10[MGR] checkout IKEv2 SA с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:41:37 имя-сервера charon: 10[MGR] IKE_SA ikev2-pubkey[1] успешно извлечен
17 марта 12:41:37 имя-сервера charon: 10[KNL] политика запросов 0.0.0.0/0 === 10.10.10.1/32 вышло
17 марта 12:41:37 имя-сервера charon: 10[MGR] регистрация IKE_SA ikev2-pubkey[1]
17 марта 12:41:37 имя-сервера charon: 10[MGR] регистрация IKE_SA прошла успешно
17 марта 12:41:47 имя-сервера dhclient[358]: PRC: продление аренды на eth0.
17 марта 12:41:47 имя-сервера dhclient[358]: XMT: обновление на eth0, интервал 9070 мс.
17 марта 12:41:47 имя_сервера dhclient[358]: RCV: Ответное сообщение на eth0 от fe80::60:52ff:fe0a:c10e.
17 марта 12:41:47 имя-сервера charon: 11[MGR] проверка IKEv2 SA с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:41:47 имя-сервера charon: 11[MGR] IKE_SA ikev2-pubkey[1] успешно извлечен
17 марта 12:41:47 имя-сервера charon: 11[MGR] регистрация IKE_SA ikev2-pubkey[1]
17 марта 12:41:47 имя-сервера charon: 11[MGR] регистрация IKE_SA прошла успешно
17 марта 12:41:47 имя-сервера charon: 12[MGR] checkout IKEv2 SA с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:41:47 имя-сервера charon: 12[MGR] IKE_SA ikev2-pubkey[1] успешно извлечен
17 марта 12:41:47 имя-сервера charon: 12[KNL] политика запросов 10.10.10.1/32 === 0.0.0.0/0 в
17 марта 12:41:47 имя-сервера charon: 12[KNL] политика запросов 10.10.10.1/32 === 0.0.0.0/0 fwd
17 марта 12:41:47 имя-сервера charon: 12[MGR] checkin IKE_SA ikev2-pubkey[1]
17 марта 12:41:47 имя-сервера charon: 12[MGR] успешная регистрация IKE_SA
17 марта 12:41:56 имя-сервера charon: 13[MGR] проверка IKEv2 SA с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:41:56 имя-сервера charon: 13[MGR] IKE_SA ikev2-pubkey[1] успешно извлечен
17 марта 12:41:56 имя-сервера charon: 13[KNL] политика запроса 0.0.0.0/0 === 10.10.10.1/32 вышло
17 марта 12:41:56 имя-сервера charon: 13[MGR] регистрация IKE_SA ikev2-pubkey[1]
17 марта 12:41:56 имя-сервера charon: 13[MGR] успешная регистрация IKE_SA
...
17 марта 12:49:35 имя-сервера charon: 16[MGR] checkout IKEv2 SA с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:49:35 имя-сервера charon: 16[MGR] IKE_SA ikev2-pubkey[1] успешно извлечен
17 марта 12:49:35 имя-сервера charon: 16[KNL] политика запросов 10.10.10.1/32 === 0.0.0.0/0 в
17 марта 12:49:35 имя-сервера charon: 16[KNL] политика запросов 10.10.10.1/32 === 0.0.0.0/0 fwd
17 марта 12:49:35 имя-сервера charon: 16[MGR] checkin IKE_SA ikev2-pubkey[1]
17 марта 12:49:35 имя-сервера charon: 16[MGR] регистрация IKE_SA прошла успешно
17 марта 12:49:51 имя сервера charon: 05[MGR] проверка IKEv2 SA с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:49:51 имя-сервера charon: 05[MGR] IKE_SA ikev2-pubkey[1] успешно извлечен
17 марта 12:49:51 имя-сервера charon: 05[KNL] политика запроса 0.0.0.0/0 === 10.10.10.1/32 вышло
17 марта 12:49:51 имя-сервера charon: 05[MGR] checkin IKE_SA ikev2-pubkey[1]
17 марта 12:49:51 имя-сервера charon: 05[MGR] успешная регистрация IKE_SA
17 марта 12:49:55 имя сервера charon: 06[MGR] проверка IKEv2 SA с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:49:55 имя-сервера charon: 06[MGR] IKE_SA ikev2-pubkey[1] успешно извлечен
17 марта 12:49:55 имя-сервера charon: 06[KNL] политика запросов 10.10.10.1/32 === 0.0.0.0/0 в
17 марта 12:49:55 имя-сервера charon: 06[KNL] политика запроса 10.10.10.1/32 === 0.0.0.0/0 fwd
17 марта 12:49:55 имя-сервера charon: 06[IKE] отправляет запрос DPD
17 марта 12:49:55 имя-сервера charon: 06[IKE] ставит в очередь задачу IKE_DPD
17 марта 12:49:55 имя_сервера charon: 06[IKE] активация новых задач
17 марта 12:49:55 имя-сервера charon: 06[IKE] активация задачи IKE_DPD
17 марта 12:49:55 имя-сервера charon: 06[ENC] генерирует ИНФОРМАЦИОННЫЙ запрос 0 [ ]
17 марта 12:49:55 имя-сервера charon: 06[NET] отправка пакета: с INT.SRVR.IP.ADR[4500] на MY.CLNT.IP.ADR[4500] (80 байт)
17 марта 12:49:55 имя-сервера charon: 06[MGR] регистрация IKE_SA ikev2-pubkey[1]
17 марта 12:49:55 имя-сервера charon: 06[MGR] успешная регистрация IKE_SA
17 марта 12:49:55 имя-сервера charon: 04[NET] отправка пакета: с INT.SRVR.IP.ADR[4500] на MY.CLNT.IP.ADR[4500]
17 марта 12:49:55 имя-сервера charon: 03[NET] получен пакет: от MY.CLNT.IP.ADR[4500] до INT.SRVR.IP.ADR[4500]
17 марта 12:49:55 имя-сервера charon: 03[NET] ожидание данных на сокетах
17 марта 12:49:55 имя-сервера charon: 07[MGR] проверка IKEv2 SA по сообщению с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:49:55 имя-сервера charon: 07[MGR] IKE_SA ikev2-pubkey[1] успешно извлечен
17 марта 12:49:55 имя-сервера charon: 07[NET] получен пакет: от MY.CLNT.IP.ADR[4500] до INT.SRVR.IP.ADR[4500] (80 байт)
17 марта 12:49:55 имя-сервера charon: 07[ENC] проанализировано ИНФОРМАЦИОННЫЙ ответ 0 [ ]
17 марта 12:49:55 имя_сервера charon: 07[IKE] активация новых задач
17 марта 12:49:55 имя-сервера charon: 07[IKE] нечего инициировать
17 марта 12:49:55 имя-сервера charon: 07[MGR] checkin IKE_SA ikev2-pubkey[1]
17 марта 12:49:55 имя-сервера charon: 07[MGR] регистрация IKE_SA прошла успешно
17 марта, 12:49:57 имя-сервера dhclient[358]: PRC: продление аренды на eth0.
17 марта, 12:49:57 имя-сервера dhclient[358]: XMT: обновление на eth0, интервал 10290 мс.
17 марта 12:49:57 имя_сервера dhclient[358]: RCV: Ответное сообщение на eth0 от fe80::60:52ff:fe0a:c10e.
17 марта 12:49:59 имя-сервера charon: 09[MGR] проверка IKEv2 SA с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:49:59 имя-сервера charon: 09[MGR] IKE_SA ikev2-pubkey[1] успешно извлечен
17 марта 12:49:59 имя-сервера charon: 09[MGR] checkin IKE_SA ikev2-pubkey[1]
17 марта 12:49:59 имя-сервера charon: 09[MGR] регистрация IKE_SA прошла успешно
17 марта 12:50:00 имя-сервера charon: 03[NET] получен пакет: от MY.CLNT.IP.ADR[4500] до INT.SRVR.IP.ADR[4500]
17 марта 12:50:00 имя-сервера charon: 03[NET] ожидание данных на сокетах
17 марта 12:50:00 server-name charon: 08[MGR] checkout IKEv2 SA по сообщению с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:50:00 имя-сервера charon: 08[MGR] IKE_SA ikev2-pubkey[1] успешно извлечен
17 марта 12:50:00 имя-сервера charon: 08[NET] получен пакет: от MY.CLNT.IP.ADR[4500] до INT.SRVR.IP.ADR[4500] (80 байт)
17 марта 12:50:00 имя-сервера charon: 08[ENC] проанализирован ИНФОРМАЦИОННЫЙ запрос 2 [ D ]
17 марта 12:50:00 имя-сервера charon: 08[IKE] получил DELETE для ESP CHILD_SA с SPI b74162a4
17 марта 12:50:00 имя-сервера charon: 08[KNL] запрашивает запись SAD с помощью SPI c6bcf84d
17 марта 12:50:00 имя-сервера charon: 08[KNL] запрашивает запись SAD с помощью SPI b74162a4
17 марта 12:50:00 имя-сервера charon: 08[IKE] закрытие CHILD_SA ikev2-pubkey{1} с SPI c6bcf84d_i (1148939 байт) b74162a4_o (21040410 байт) и TS 0.0.0.0/0 === 10.10.10.1/ 32
17 марта 12:50:00 имя-сервера charon: 08[IKE] отправляет DELETE для ESP CHILD_SA с SPI c6bcf84d
17 марта 12:50:00 имя-сервера charon: 08[IKE] CHILD_SA закрыто
17 марта 12:50:00 server-name charon: 08[KNL] удаление политики 0.0.0.0/0 === 10.10.10.1/32 out
17 марта 12:50:00 server-name charon: 08[KNL] политика все еще используется другим CHILD_SA, не удалена
17 марта 12:50:00 имя_сервера charon: 08[KNL] обновление политики 0.0.0.0/0 === 10.10.10.1/32 out [приоритет 391808, количество ссылок 1]
17 марта 12:50:00 server-name charon: 08[KNL] удаление политики 10.10.10.1/32 === 0.0.0.0/0 в
17 марта 12:50:00 server-name charon: 08[KNL] политика все еще используется другим CHILD_SA, не удалена
17 марта 12:50:00 имя сервера charon: 08[KNL] обновление политики 10.10.10.1/32 === 0.0.0.0/0 в [приоритет 391808, количество ссылок 1]
17 марта 12:50:00 имя-сервера charon: 08[KNL] удаление политики 10.10.10.1/32 === 0.0.0.0/0 fwd
17 марта 12:50:00 server-name charon: 08[KNL] политика все еще используется другим CHILD_SA, не удалена
17 марта 12:50:00 имя_сервера charon: 08[KNL] политика обновления 10.10.10.1/32 === 0.0.0.0/0 fwd [приоритет 391808, количество ссылок 1]
17 марта 12:50:00 server-name charon: 08[KNL] удаление политики 0.0.0.0/0 === 10.10.10.1/32 out
17 марта 12:50:00 имя сервера charon: 08[KNL] получение индекса iface для eth0
17 марта 12:50:00 server-name charon: 08[KNL] удаление политики 10.10.10.1/32 === 0.0.0.0/0 в
17 марта 12:50:00 имя-сервера charon: 08[KNL] удаление политики 10.10.10.1/32 === 0.0.0.0/0 fwd
17 марта 12:50:00 server-name charon: 08[KNL] удаление записи SAD с помощью SPI c6bcf84d
17 марта 12:50:00 имя-сервера charon: 08[KNL] удалена запись SAD с SPI c6bcf84d
17 марта 12:50:00 имя-сервера charon: 08[KNL] удаление записи SAD с помощью SPI b74162a4
17 марта 12:50:00 имя-сервера charon: 08[KNL] удалена запись SAD с SPI b74162a4
17 марта 12:50:00 имя-сервера charon: 08[ENC] генерирует ИНФОРМАЦИОННЫЙ ответ 2 [ D ]
17 марта 12:50:00 имя-сервера charon: 08[NET] отправка пакета: с INT.SRVR.IP.ADR[4500] на MY.CLNT.IP.ADR[4500] (80 байт)
17 марта 12:50:00 имя-сервера charon: 08[MGR] регистрация IKE_SA ikev2-pubkey[1]
17 марта 12:50:00 имя сервера charon: 08[MGR] регистрация IKE_SA прошла успешно
17 марта 12:50:00 имя-сервера charon: 04[NET] отправка пакета: с INT.SRVR.IP.ADR[4500] на MY.CLNT.IP.ADR[4500]
17 марта 12:50:00 имя-сервера charon: 03[NET] получен пакет: от MY.CLNT.IP.ADR[4500] до INT.SRVR.IP.ADR[4500]
17 марта 12:50:00 имя-сервера charon: 03[NET] ожидание данных на сокетах
17 марта 12:50:00 server-name charon: 11[MGR] checkout IKEv2 SA по сообщению с SPI cc34c04e15f31fd2_i e5bd885ad183b108_r
17 марта 12:50:00 имя-сервера charon: 11[MGR] IKE_SA ikev2-pubkey[1] успешно извлечен
17 марта 12:50:00 имя-сервера charon: 11[NET] получен пакет: от MY.CLNT.IP.ADR[4500] до INT.SRVR.IP.ADR[4500] (80 байт)
17 марта 12:50:00 имя-сервера charon: 11[ENC] проанализирован ИНФОРМАЦИОННЫЙ запрос 3 [ D ]
17 марта 12:50:00 имя-сервера charon: 11[IKE] получил DELETE для IKE_SA ikev2-pubkey[1]
17 марта 12:50:00 имя-сервера charon: 11[IKE] удаление IKE_SA ikev2-pubkey[1] между INT.SRVR.IP.ADR[EXT.SRVR.IP.ADR]...MY.CLNT.IP. ДОПОГ[CN=я]
17 марта 12:50:00 имя_сервера charon: 11[IKE] IKE_SA ikev2-pubkey[1] изменение состояния: ESTABLISHED => DELETING
17 марта 12:50:00 имя-сервера charon: 11[IKE] IKE_SA удален
17 марта 12:50:00 имя-сервера charon: 11[ENC] генерирует ИНФОРМАЦИОННЫЙ ответ 3 [ ]
17 марта 12:50:00 имя сервера charon: 11[NET] отправка пакета: с INT.SRVR.IP.ADR[4500] на MY.CLNT.IP.ADR[4500] (80 байт)
17 марта 12:50:00 имя_сервера charon: 11[MGR] регистрация и уничтожение IKE_SA ikev2-pubkey[1]
17 марта 12:50:00 имя-сервера charon: 11[IKE] IKE_SA ikev2-pubkey[1] изменение состояния: УДАЛЕНИЕ => УНИЧТОЖЕНИЕ
17 марта 12:50:00 имя сервера charon: 11[CFG] аренда 10.10.10.1 от CN=me отключился
17 марта 12:50:00 имя_сервера charon: 11[MGR] проверка и уничтожение IKE_SA успешно

Свойства подключения, о которых сообщает Windows:

DataEncryption = Требовать максимум
Предварительная запись = 
Автовход = Нет
Усераскредентиалс = да
Тип аутентификации = Сертификат машины 
Ipv4DefaultGateway = Да
Ipv4AddressAssignment = По серверу
Ipv4DNSServerAssignment = По серверу
Ipv6DefaultGateway = Да
Ipv6AddressAssignment = По серверу
Ipv6DNSServerAssignment = По серверу
IpDnsFlags = Зарегистрировать суффикс основного домена
ИпНБТенаблед = Да
UseFlags = частное соединение
ConnectOnWinlogon = Нет
Мобильность включена для IKEv2 = Да.
Входящий пользователь = admin
VpnStrategy = IKEv2

Когда соединение зависло (не пропускает трафик), swanctl --list-sas сообщает следующее

ikev2-pubkey: #1, УСТАНОВЛЕН, IKEv2, f77fbfbe7c371b32_i e0e250355a87db62_r*
   локальный 'EXT.SRVR.IP.ADR' @ INT.SRVR.IP.ADR[4500]
   удаленный 'CN=me' @ MY.CLNT.IP.ADR[4500] [10.10.10.1]
   AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
   установлен 287 с назад
   ikev2-pubkey: #1, reqid 1, INSTALLED, TUNNEL-in-UDP, ESP:AES_CBC-256/HMAC_SHA1_96
     установлен 287 сек. назад
     в ce57563f, 792014 байт, 4493 пакета, 150 с назад
     out 6b24b7fd, 10904301 байт, 10680 пакетов, 1 с назад
     местный 0.0.0.0/0
     удаленный 10.10.10.1/32

Windows также показывает, что соединение работает, и никаких признаков ошибок в средстве просмотра событий и соответствующих заблокированных пакетов в журналах брандмауэра SEP.

Сервер: Debian 4.9.246-2, strongSwan 5.5.1.

Клиент: Windows 2008 R2, Agile VPN (настраивается через свойства подключения)

В чем может быть причина такого поведения и как это исправить?

Что я могу сделать, чтобы узнать точную причину?

Буду очень благодарен за любую помощь.

ОБНОВЛЕНИЕ1: Соединение зависает чаще всего (или может быть всегда), когда исходящий трафик становится относительно высоким. Например, когда я посещаю speedtest.net, соединение зависает в тот момент, когда оно пытается измерить скорость загрузки.

УПД2: Другие устройства нормально работают в той же локальной сети, за одним и тем же маршрутизатором, NAT, провайдером и т. д. Это явно указывает на то, что проблема связана только с конкретной машиной с W2k8. На машине есть брандмауэр SEP, но он не виноват - его отключение не влияет на поведение. Стронгсван тоже вряд ли актуален, так как замерзает уже установленный туннель.

флаг cn
Похоже проблема с клиентом. Мы видим в журнале, что он сначала удаляет CHILD_SA, а затем IKE_SA. Понятия не имею, зачем это делать. Не только удаление как таковое, но и то, что сначала удаляется CHILD_SA, потому что удаление IKE_SA все равно удаляет его. Он что-нибудь регистрирует?
m. vokhm avatar
флаг sa
@ecdsa - Когда вы говорите: «Он что-нибудь регистрирует?», Вы имеете в виду, что я могу найти что-то важное в каком-то другом журнале? Тогда куда мне смотреть? Или мне изменить настройки `charondebug` в файле conf, чтобы увидеть дополнительную информацию? Тогда что мне менять?
флаг cn
Я имел в виду клиента (возможно, где-то в средстве просмотра событий).
m. vokhm avatar
флаг sa
@ecdsa О, понятно. Нет, ничего по делу. Все выглядит так, как если бы соединение было успешно установлено, работало какое-то время, а затем было разорвано пользователем.
Рейтинг:0
флаг sa

Причиной стал роутер с не совсем хорошими локальными портами. Wireshark показал, что довольно много пакетов в локальной сети теряется. Простой TCP соединения могли обнажиться, так что я не мог заметить ветхости, но особенно туннель замерз.

Я понимаю, что это не слишком информативное сообщение, но я разместил его здесь как ответ, чтобы другие люди, которые могут столкнуться с подобной проблемой, не теряли слишком много времени на гугление, изучение руководств и проверку конфигураций, когда простая замена маршрутизатора может решить эта проблема.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.