Openswan IPSec连接(到cisco asa)每18小时断开连接

时间:2014-03-03 16:20:19

标签: cisco ipsec

我们安装了一个安装了Linux Openswan U2.6.32的CentOS 5.5(vm)。在它上面,我们有一个IPSec隧道,其对等端是一个cisco asa。隧道每18小时断开一次(我们需要隧道始终保持通行)。

我们已在openswan测试了许多设置,但目前我们有以下配置:

    auto=start
    type=tunnel
    keyexchange=ike
    authby=secret
    rightrsasigkey=%cert
    leftrsasigkey=%cert 
    compress=no 
    esp=aes256-sha1
    ike=aes256-sha1-modp1536       
    pfs=no
    ikelifetime=24h
    keylife=1h
    dpddelay=2
    dpdtimeout=1000
    dpdaction=restart
    rekey=yes

我们无法访问对等设备。

以前有人遇到过这个问题吗?

1 个答案:

答案 0 :(得分:0)

您可能会围绕其中一个隧道指标与Cisco ASA发生一些错位,例如,常见的错位是在ipsec会话超时(不是您配置24小时的ike会话)周围 在这种情况下,配置中缺少的属性是 salifetime = 18小时

一旦双方对齐,重新键将正确发生

其他建议:

a)将dpdtimeout减少到远低于1000secs(常见设置在30秒到3分钟之间) 如果这没有帮助,您可能需要重新检查ASA的配置方式,确保它没有设置为每隔n Kb丢弃隧道或隧道是理想的

b)将dpdaction从restart更改为restart_by_peer

相关问题
最新问题