現状接続できてるけど、いったん切断すると1時間待たないと切れないので、めも。
問題は、strong swanのconnのlifetimeをvyattaから設定できない(ikelifetimeのほうはあるのに)ので、タイムアウトがesp側のsaだけ36000secになってしまうのだ。
そういえば、vyatta 6.3からstrong swanなのね、6.1はopenswanだった希ガス・・・
現在のバージョンはこれ。
vyatta@vpn:~$ show versionんで、設定はこれ。タイムアウト以外は動いているので、めも。
Version: VC6.3-2011.07.21
Description: Vyatta Core 6.3 2011.07.21
Copyright: 2006-2011 Vyatta, Inc.
Built by: autobuild@vyatta.com
Built on: Thu Jul 21 06:05:47 UTC 2011
Build ID: 1107210629-a17b235
System type: Intel 32bit Virtual
Boot via: disk
Hypervisor: KVM
Uptime: 23:24:57 up 47 min, 1 user, load average: 0.00, 0.01, 0.05
あと、local-userは追加して、PSK,アドレスも書き換えること。
vyatta@vpn# show vpn l2tp remote-accessんで、これだと切断後3600秒待たされる。
authentication {
mode local
}
client-ip-pool {
start 10.8.2.10
stop 10.8.2.200
}
dns-servers {
server-1 dns-server1
server-2 dns-server2
}
ipsec-settings {
authentication {
mode pre-shared-secret
pre-shared-secret [SET PSK]
}
ike-lifetime 31
}
outside-address [eternal global ip]
outside-nexthop [default gateway ip]
rootで/etc/ipsec.d/tunnels/remote-accessの[conn]に、
lifetime=30とか追加すると大丈夫になる。
けど、vyattaで設定変更すると消える。だめだこりゃ。
方針転換して、まじめに、vpn ipsecを設定しないとだめかも。
vpn ipsec なら、espでlifetimeを設定できたはず。
追記:
vpn ipsecでは、ipsec over lt2pができない模様。
l2tpを書くと、ipsec-settingsを設定しなさいと言われる。
とりあえず、下記の掲示板のパッチを当てることにする。
http://www.vyatta.org/forum/viewtopic.php?t=6931&sid=6204854ba8a99afda6db60f09d94c01e
あと、VC6.4にあげてしまった。
add system image http://www.vyatta.com/downloads/vc6.4/vyatta-livecd-virt_VC6.4-2012.04.30_i386.iso
これ実行してrebootだけの簡単なお仕事です。
設定ファイルの変更にも追従してくれるみたい。すげぇ。
0 件のコメント:
コメントを投稿