Mac客户端的OpenSwan死区检测

Question

我正在运行一个OpenSwan服务器，以方便客户端服务器连接到一个安全的数据中心.

我对MacOS中IPSEC客户端的标准MacOS有一个问题，特别是在使用WIFI时。

当我第一次连接时，它工作得很好。当我断开连接并再次尝试连接时，它在身份验证步骤(共享秘密)中失败。

据我所见，当MAC使用WIFI时，没有时间向OpenSwan发送删除信号，就OpenSwan而言，对等端仍然存在。我可以在OpenSwan日志中看到这一点：

Jun  8 12:23:43 vpn1 pluto[20030]: ERROR: asynchronous network error report on eth0 (sport=500) for message to 213.242.106.82 port 500, complainant 213.242.106.82: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

在我断开了Mac的连接后很长一段时间，这条消息继续出现在OpenSwan日志中。当我在服务器上重新启动ipsec服务时，日志条目消失，我可以再次连接。

我已经在我的OpenSwan配置中包含了死对等检测：

 dpddelay=30
 dpdtimeout=120
 dpdaction=clear

我可以看到，当我启动连接时，启用了死亡对等检测：

Jun  8 12:45:34 vpn1 pluto[11064]: "vpnpsk"[14] 213.242.106.82 #14: STATE_QUICK_R2: IPsec SA established transport mode {ESP/NAT=>0x0188ccda <0x7fe9af15 xfrm=AES_256-HMAC_SHA1 NATOA=none NATD=213.242.106.82:4500 DPD=enabled}

但是，当我关闭MAC上的连接时，DPD似乎没有启动。OpenSwan只是一直记录有关连接的错误。

我只是在找建议。一个解决办法。

Answer 1

结果发现，这是我正在使用的OpenSwan版本中的一个bug。

我使用的是，问题是RPM：

 openswan.x86_64 0:2.6.37-3.17.amzn1

我降级到

openswan.x86_64 0:2.6.37-2.16.amzn1

这个问题就消失了。

很明显，在3.17中有很多错误