Openswan IPSec 连接（到 cisco asa）每 18 小时断开一次

Question

我们有一个安装了 Linux Openswan U2.6.32 的 CentOS 5.5 (vm)。在它上面，我们有一个 IPSec 隧道，它的对等点是 cisco asa。隧道每 18 小时断开一次（我们需要隧道一直保持畅通）。

我们在 openswan 测试了很多设置，但目前我们有以下配置：

    auto=start
    type=tunnel
    keyexchange=ike
    authby=secret
    rightrsasigkey=%cert
    leftrsasigkey=%cert 
    compress=no 
    esp=aes256-sha1
    ike=aes256-sha1-modp1536       
    pfs=no
    ikelifetime=24h
    keylife=1h
    dpddelay=2
    dpdtimeout=1000
    dpdaction=restart
    rekey=yes 

我们无权访问对等设备。

以前有人遇到过这个问题吗？

Answer 1

您可能与 Cisco ASA 围绕其中一个隧道指标存在偏差，例如，常见偏差围绕 ipsec 会话超时（不是您为 24 小时配置的 ike 会话） 在这种情况下，您的配置中缺少的属性是 生命时间=18h

一旦双方对齐，重新生成密钥就会正确发生

其他建议：

a) 将 dpdtimeout 减少到远低于 1000 秒（常见设置在 30 秒到 3 分钟之间） 如果这没有帮助，您可能需要重新检查 ASA 的配置方式，确保它没有设置为每隔 n Kb 丢弃一次隧道或当隧道是理想的时候

b) 将 dpdaction 从 restart 更改为 restart_by_peer