vpnc - rozłącza się po 24 minutach

17

VPNC z jakiegoś powodu wciąż mnie rozłącza po pewnym czasie. Próbowałem mierzyć czas, aby zobaczyć, jak długo to trwa i wydaje się, że jest za każdym razem po 24 minutach.

Po rozłączeniu nie mam połączenia z Internetem, ponieważ mój plik /etc/resolv.conf jest nadal taki sam, jak powinien być podczas łączenia z vpnc. Jeśli spróbuję odłączyć vpnc, będzie to tylko napis „nie znaleziono uruchomionego vpnc”. Muszę wznowić działanie eth0 i później, a następnie ręcznie edytować plik /etc/resolv.conf, aby uzyskać prawidłowe połączenie sieciowe.

Moje ustawienia są następujące:

IPSec gateway xx.xx.xx.xx
IPSec ID anonymized
IPSec secret anonymized
#IKE Authmode hybrid
Xauth username myUsername
DPD idle timeout (our side) 0

Próbowałem też mieć ciągły ping. Ciągle odtwarzam strumienie i muzykę, ale wciąż mnie to rozłącza.

Działa to dobrze bez rozłączania w systemie Windows.

EDYTOWAĆ. Więcej informacji: Dodałem dziennik z mojego / var / log / syslog tego, co dzieje się, gdy jestem rozłączony:

Najpierw łączę:

 Jul 24 14:03:09 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: devices added 
 path: /sys/devices/virtual/net/tun0, iface: tun0)
 Jul 24 14:03:09 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: device added 
 (path: /sys/devices/virtual/net/tun0, iface: tun0): no ifupdown configuration found.

Następnie jestem rozłączany po 24 minutach:

 Jul 24 14:27:29 cad-unix avahi-daemon[1089]: Withdrawing workstation service for tun0.
 Jul 24 14:27:29 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: devices removed 
 (path: /sys/devices/virtual/net/tun0, iface: tun0)

Edycja : Poprawiłem nieco pytanie, aby poprawić czytanie. Również teraz określając, że problem występuje za każdym razem po 24 minutach.

Edycja : Wersja Uruchamiam: wersja vpnc 0.5.3

Edycja : Po skompilowaniu wersji 0.5.1 otrzymuję jeszcze jeden wpis w pliku dziennika: vpnc [16364]: połączenie zakończone przez użytkownika

Ostatnia edycja, jak sądzę : jestem zdesperowana. Otwarty na wszelkie sugestie. Nawet zmiana na inną dystrybucję Linuksa jest opcją, jeśli problem stanowi Ubuntu.

Chris Dale
źródło
Nie mam pojęcia, jak to rozwiązać, ale jeśli kończy się co 24 minuty na kropce, musi to oznaczać problem z przekroczeniem limitu czasu.
James Mertz
Czy te dzienniki są tak szczegółowe, jak można je wygenerować?
Darth Android
@Darth Android, nie wiem, jak mogę tworzyć więcej pełnych dzienników za pomocą VPNC w Ubuntu. Wszelkie sugestie są mile widziane!
Chris Dale,
spróbuj --debug 3To powinno zrzucić wszystko oprócz danych uwierzytelniających, ale proszę przejrzeć je i upewnić się, że nie zostaną ujawnione żadne klucze ani hasła.
Darth Android,
Może i potrzebować --no-detach.
Darth Android

Odpowiedzi:

8

Istnieje raport o błędzie rozwiązujący ten problem, datowany na 28.10.2010, ale niestety nadal nierozwiązany. Wygląda na to, że czas rozłączenia jest nieco indywidualny, chociaż zgłaszane czasy są nadal dłuższe niż 24 minuty.

Artykuł wskazuje na poprawkę opisaną tutaj , która wymaga ponownej kompilacji vpnc.

Jeśli twój problem dotyczy ponownego generowania klucza , to problem dotyczący ponownego generowania artykułu w wersji 0.5.3 twierdzi, że błąd jest nowy w wersji 0.5.3 i nie istnieje w wersji 0.5.1.

[EDYTOWAĆ}

Wygląda na to, że powrót do wersji 0.5.1 nie zadziałał. Wydaje się również, że rozłączenia VPN są wspólne dla wielu dystrybucji Linuksa.

Znalazłem naprawianie problemu z rozłączeniem VPN powyżej wersji 0.5.x , co sugeruje, że może trzeba wrócić nawet do wersji 0.4.x. W każdym razie artykuł sugeruje poprawkę, która prawdopodobnie nie dotyczy twojego przypadku, ale możesz spróbować:

W końcu musimy wyłączyć DPD również po stronie klienta (vpnc), co możemy osiągnąć na 2 sposoby:

  • dodaj przełącznik wiersza polecenia „--dpd-idle 0” podczas wywoływania „vpnc”
  • jeszcze lepiej dodać tę linię do pliku konfiguracyjnego: „Limit czasu bezczynności DPD (nasza strona) 0”

Dalsze informacje: man vpnc

Podobne informacje pochodzą z obsługi RedHat: Bug 484114 - VPN rozłącza się co 5 minut .

Możesz spróbować przejść do vpnc 0.4.x, ale zaczynam się zastanawiać, czy problem jest po twojej stronie, czy z jakimś ustawieniem serwera VPN: 24 minuty są zbyt precyzyjne.

harrymc
źródło
Hmm interesujące. Spróbuję skompilować wersję 0.5.1. Jestem za routerem, który robi dla mnie NAT. Nie mam problemów z rozłączaniem się w innych aplikacjach / grach / czymkolwiek. Mogę również wypróbować inny router od innego usługodawcy internetowego do celów testowych. Mam 2 usługodawców internetowych z 2 połączeniami.
Chris Dale,
przepraszam za późną odpowiedź. W ten weekend miałem wieczór kawalerski i pojawiło się mnóstwo innych rzeczy. W każdym razie wersja 0.5.1 nie działała niestety. Odłączyło się po 24 minutach. Te same wpisy w dzienniku systemowym, co wcześniej
Chris Dale
Dodałem jeszcze jedną możliwość. I gratulacje!
harrymc
--force-dpd INTERVALjest flagą dla wersji vpnc 0.5.3r512 / wersji OpenConnect v5.02
earthmeLon
4

Spróbuj zmienić tryb przejścia NAT na cisco-udp, co dla mnie rozwiązało

NAT Traversal Mode cisco-udp

Moja pełna konfiguracja wygląda następująco

IPSec gateway VPNHOSTIP
IPSec ID SAMPLESHAREDUSER
IPSec secret SAMPLESHAREDKEY
Xauth username SAMPLEUSER
Xauth password SAMPLEUSERPASS
IKE Authmode psk
#IKE DH Group dh2 # this is the default
DNSUpdate no
DPD idle timeout (our side) 0
NAT Traversal Mode cisco-udp

Moja sieć VPN działa do tej pory po 20 godzinach.

Pykler
źródło
Dziękuję za twoją próbkę. Niestety nie działało to dla mnie :( Jaką wersję vpnc używasz?
Chris Dale,
Korzystam z wersji 0.5.3 najpóźniej w momencie pisania z repozytorium ubuntu.
Pykler
1
Pracowałem dla mnie w wersji 0.5.3!
user545424 16.0415
1
Po wykonaniu tej czynności mój czas dostępności VPNC wzrósł z 20 minut do godzin. wersja vpnc 0.5.3r512 na Linux Mint 17
wersja
1

Miałem ten sam problem i żadne z sugerowanych rozwiązań nie zadziałało. W końcu zrezygnowałem z vpnc i wypróbowałem klienta VPN ShrewSoft. Jest to trochę kłopotliwe, ponieważ musisz go samodzielnie skompilować (i ręcznie zainstalować brakujące zależności - w moim przypadku cmake, libedit2, flex i bison). Ale wydaje się, że działa dobrze.

W momencie pisania tego tekstu możesz go pobrać ze strony https://www.shrew.net/download/ike

Kucający Niedźwiedź
źródło
0

Możesz spojrzeć na tę --nat-keepaliveopcję, być może spróbuj--nat-keepalive 1200

W pewnym momencie był to znany błąd , nie jestem pewien, czy kiedykolwiek został naprawiony.

Darth Android
źródło
Wydaje się, że nie ma opcji --nat-keepalive. Sprawdź pastebin.com/sksQafdr odpowiedzi, gdy wypróbowałem tę opcję w połączeniu z innymi opcjami, które uruchamiam.
Chris Dale,
0

Strona internetowa projektu VPNC nie wspomina o tym, że jest to znany problem, ale zakładam, że „ponowne generowanie fazy2” nadal nie jest tak stabilne (na podstawie zgłoszonych błędów). Zauważ też, że

  • brak ponownego generowania fazy1

Poprawiona wersja 0.5.3 (najnowsza wersja SVN oryginalnego projektu) wydanie VPNC na github zawiera:

  • Dodaje możliwość odpowiadania na pytania XAuth za pomocą zewnętrznego skryptu
  • Dodaje procedury czyszczenia, które działają w przypadku nieoczekiwanego rozłączenia
  • Dodaje obejście dla scenariusza, w którym koncentrator zadaje pytanie Xauth jako żądanie hasła.
  • Dodaje łatkę Mihai Maties do wykrywania Dead Peer ( http://lists.unix-ag.uni-kl.de/pipermail/vpnc-devel/2010-December/003492.html )

Poleciłbym również wartownik jako najlepsze rozwiązanie do ponownego łączenia https://github.com/dcantrell/vpncwatch/network, jeśli tryb automatyczny jest bardzo pożądany, a zdalna strona może nadal powodować (niezwiązane z oprogramowaniem) rozłączenia.

PS

Ponieważ VPNC jest wersją komercyjną z wykorzystaniem inżynierii wstecznej, można się spodziewać, że rozłączenia z pojawiającymi się zmianami po stronie zdalnej pojawią się ponownie, dopóki nie zostaną znalezione i naprawione.

Wreszcie istnieje opcja użycia klienta natywnego ( anyconnect ) dla systemu Linux. Jedną z wad jest to, że możliwości konfiguracji po stronie klienta jako aktualizacja rekordów DNS i brak domyślnej trasy są bardzo ograniczone. Kolejne rozłączenia będą miały miejsce, ale w bardzo rzadkich przypadkach.

Yauhen Yakimovich
źródło
0

Mam ten sam problem na Ubuntu 12.04, a dzięki VPNC rozłącza się dokładnie po 24 minutach.

Próbowałem programu „Shrew Soft”, który zainstalowałem z centrum oprogramowania. Byłem w stanie skonfigurować VPN za pomocą pliku .pcf, który otrzymałem z mojego działu IT. Potem mam dokładnie ten sam problem.

Jednak w „Shrew Soft” możesz skonfigurować kilka rzeczy. Tym, co sprawia, że moje połączenie pozostanie na zawsze, jest ustawienie w fazie ponownego generowania klucza. Zmieniłem wartość „Key Life Time Limit” z 86400 (24 godziny) na 600 sekund. Podejrzewam, że gdzieś jest błąd, który wykorzystuje 24 minuty zamiast 24 godzin.

użytkownik322660
źródło
0

I zaproponował poprawkę do IKE Faza I generowania kluczy na podstawie wcześniejszego składania poprawek, które sprawia, że moja vpnc zainicjowane połączenie stabilne przez wiele dni przed końcem głowicy ASA. Moja faza 1 życie jest 24h, więc robi z powodzeniem aktualizację kluczy i utrzymuje połączenie żywy. Na przykład

  • ponownie kluczuje fazy 2 skojarzeń zabezpieczeń (IPsec) i
  • ponownie wpisuje SA 1 fazy (ISAKMP).
Ralph Schmieder
źródło