お世話になってます。
CENTURYのNXR-G240とSoftEtherサーバVersion 4.25 Build 9656間をL2TPV3 over IPsecでつなげて使っています。
7月あたりから連続稼動でも快調に動作していたのですが、12月に入り2回ほど30分程度IPsecが途切れる障害が発生しました。
SoftEther側のLogにはこれといったログが残っていなかったのですが、メーカに問い合わせたところ、以下のような回答を頂きました。
SoftEther側で調査できることはないでしょうか?
事象は12/13と12/14の同じく16:30前後に起きただけで、それ以前も以後も発生していませんので、
次回発生時に調査することになると思っていますが、
なにとぞ、アドバイスよろしくお願いいたします。
------------------------------------------------------------------------
ログを見ますと isakmp sa のrekey時に
Dec 13 16:13:02 CENTURY-RT pluto[2978]: "tunnel1" #5745: KE has 127 byte DH public value; 128 required
※(補足)同Logが16:13:02~16:13:26の間2秒おきに13回記録されています。
のようなログが出力されてrekeyが完了できず、isakmp saがexpireしているようです。
上記ログは対向装置(SoftEther)から送られてきたDH 公開鍵の長さが本来128バイトであるひつようが
あるものが127バイトだったためエラーとなっていることを意味します。
SoftEther側の動作は弊社ではわかりませんが、頂いたログからは以下のような
流れで不通状態が発生したと思われます。
・isakmp sa のrekey時に上記エラーが発生
・isakmp saがexpire
・SoftEther側のIPsec SAが削除(expire?)されたため不通状態が発生(L2TPv3切断検知)
・NXR側のIPsec SAのrekeyのタイミングでisakmp saを再構築して通信復旧
------------------------------------------------------------------------
CENTURYルータとのL2TPV3 over IPsec 通信断について
-
- Posts: 23
- Joined: Thu Mar 14, 2019 2:10 am
Re: CENTURYルータとのL2TPV3 over IPsec 通信断について
miyajimaさま、皆さま
お世話になります。
すみませんが、FutureNet とSoftEtherの基本的な接続方法のコンフィグを展開いただけないでしょうか?
(このような情報が欲しいです。)
他社のハードウエア VPN 製品からの接続方法
https://ja.softether.org/4-docs/2-howto ... etup_Guide
お世話になります。
すみませんが、FutureNet とSoftEtherの基本的な接続方法のコンフィグを展開いただけないでしょうか?
(このような情報が欲しいです。)
他社のハードウエア VPN 製品からの接続方法
https://ja.softether.org/4-docs/2-howto ... etup_Guide