|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Leizer A. Karabin 2:5005/14.44 24 May 2007 16:11:08
To : Victor Sudakov
Subject : ipsec-VPN: racoon vs isakmpd
--------------------------------------------------------------------------------
Я, собственно, просто так вышел Thursday May 24 2007 09:44,
тут слышу - Victor Sudakov говорит Alexey Popov (ну я встрял, конечно):
>> > Hаблюдал ли кто такую траблу, что racoon в очередной раз создаёт новые
>> > ключи, не прибивая старые, от чего линк перестаёт жить? Чем ему можно
>> > помочь в таком случае, если на дальнам конце такой же racoon?
>> Пробовали sysctl net.key.preferred_oldsa=0 ???
VS> Стоят
VS> net.key.preferred_oldsa=0
VS> net.key.blockacq_count=0
VS> Линк работает, но SA постоянно плодятся. Похоже, старые вообще не
VS> прибиваются. Вот сейчас в выводе "setkey -D" насчитал 216 SA. Так и
VS> будет их количество расти до бесконечности?
VS> FreeBSD 6.2-RELEASE-p4
VS> ipsec-tools-0.6.6
VS> 2 Leizer A. Karabin: у тебя тоже SA плодятся?
2-3 пары я видел, но чтоб 216... может не наливать ИПСЕКу больше?
Впрочем, с момента задания на обоих концах всех моих линков
net.key.preferred_oldsa=0 проблем практически не стало. И к-во ключей я перестал
отслеживать. Вот глянул наугад, сейчас на одном хосте на два линка - один лишний
ключ, старше прочих, линки живут.
Бывают случаи, когда енот вдруг упрётся, линк не живёт, по setkey -F
недоубивается нек. ключ в состоянии дохлый так и висит, аж пока не прибьешь
енота, причём апстену, по -9, и не пересоздашь политики, этот ключ не убивается
по -F даже при убитом еноте. Вот такой, блин, overwork. Чего и сколько ему, я не
исследовал, бывает редко, вот такую тропинку протоптал и успокоился.
За сим навеки и проч. Leizer [Team Smile'ик - отменить!]
--- GoldEd 1.1.5-030104
* Origin: Omnia mail mecum COM porto (2:5005/14.44)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
