vpnc - มันตัดการเชื่อมต่อหลังจาก 24 นาที

17

VPNC ด้วยเหตุผลบางอย่างทำให้ฉันยกเลิกการเชื่อมต่อหลังจากช่วงระยะเวลาหนึ่ง ฉันลองจับเวลาเพื่อดูว่าใช้เวลานานแค่ไหนและดูเหมือนว่าจะเป็นทุกครั้งหลังจาก 24 นาที

หลังจากถูกตัดการเชื่อมต่อฉันไม่มีการเชื่อมต่อ internett เนื่องจาก /etc/resolv.conf ของฉันยังคงเหมือนเดิมเมื่อเชื่อมต่อกับ vpnc ถ้าฉันลอง vpnc-disconnect มันก็แค่ sais "ไม่พบ vpnc ทำงานอยู่" ฉันต้องใช้ eth0 dow ขึ้นไปจากนั้นแก้ไข /etc/resolv.conf ด้วยตนเองเพื่อรับการเชื่อมต่อเครือข่ายที่เหมาะสม

การตั้งค่าของฉันมีดังต่อไปนี้: 

IPSec gateway xx.xx.xx.xx
IPSec ID anonymized
IPSec secret anonymized
#IKE Authmode hybrid
Xauth username myUsername
DPD idle timeout (our side) 0

ฉันยังลองปิงทำงานต่อเนื่อง ฉันมีลำธารและการเล่นดนตรีอย่างต่อเนื่องเช่นกัน แต่ก็ยังตัดการเชื่อมต่อของฉัน

ทำงานได้ดีโดยไม่ต้องตัดการเชื่อมต่อกับ windows

แก้ไข ข้อมูลเพิ่มเติม:ฉันได้เพิ่มบันทึกจาก / var / log / syslog ของฉันว่าเกิดอะไรขึ้นเมื่อฉันตัดการเชื่อมต่อ:

ฉันเชื่อมต่อก่อน:

 Jul 24 14:03:09 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: devices added 
 path: /sys/devices/virtual/net/tun0, iface: tun0)
 Jul 24 14:03:09 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: device added 
 (path: /sys/devices/virtual/net/tun0, iface: tun0): no ifupdown configuration found.

จากนั้นฉันก็ถูกตัดการเชื่อมต่อหลังจาก 24 นาที: 

 Jul 24 14:27:29 cad-unix avahi-daemon[1089]: Withdrawing workstation service for tun0.
 Jul 24 14:27:29 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: devices removed 
 (path: /sys/devices/virtual/net/tun0, iface: tun0)

แก้ไข : ปรับแต่งคำถามเล็กน้อยเพื่อการอ่านที่ดีขึ้น ตอนนี้ยังระบุว่าปัญหาเกิดขึ้นที่ 24 นาทีทุกครั้ง

แก้ไข : เวอร์ชัน Im กำลังทำงาน: vpnc เวอร์ชั่น 0.5.3

แก้ไข : หลังจากรวบรวมเวอร์ชั่น 0.5.1 ตอนนี้ฉันได้รับอีกหนึ่งรายการในไฟล์บันทึก: vpnc [16364]: การเชื่อมต่อถูกยกเลิกโดยเพียร์

แก้ไขล่าสุดฉันเดา : ฉันหมดหวัง เปิดสำหรับข้อเสนอแนะใด ๆ แม้แต่การเปลี่ยนเป็นลินุกซ์ distro อื่นก็เป็นตัวเลือกหากเป็น Ubuntu ซึ่งเป็นปัญหา

ubuntu  cisco-vpn-client  vpnc 
Chris Dale
แหล่งที่มา
ฉันไม่มีเงื่อนงำสำหรับการแก้ปัญหาที่เกิดขึ้นจริงนี้ แต่ถ้ามันยุติทุก ๆ 24 นาทีบนจุดที่จะต้องมีปัญหาการเชื่อมต่อหมดเวลา
James Mertz
บันทึกเหล่านี้เป็น verbose ที่สามารถสร้างขึ้นได้หรือไม่?
Darth Android
@Darth Android ฉันไม่รู้ว่าจะสร้างบันทึก verbose เพิ่มเติมด้วย VPNC ใน Ubuntu ได้อย่างไร ข้อเสนอแนะใด ๆ เป็นมากกว่าการต้อนรับ!
Chris Dale
ลอง--debug 3สิ่งนี้ควรถ่ายโอนข้อมูลทุกอย่างยกเว้นข้อมูลการรับรองความถูกต้อง แต่โปรดตรวจสอบให้แน่ใจว่าไม่มีคีย์หรือรหัสผ่านถูกเปิดเผย
Darth Android
อาจต้อง--no-detachเช่นกัน
Darth Android

คำตอบ:

8

มีรายงานข้อผิดพลาดที่แก้ไขปัญหานี้ตั้งแต่วันที่ 2010-10-28 แต่น่าเสียดายที่ยังไม่มีการแก้ไข ดูเหมือนว่าเวลาในการยกเลิกการเชื่อมต่อจะเป็นรายบุคคลแม้ว่าเวลาที่รายงานจะนานกว่า 24 นาทีก็ตาม

บทความชี้ไปที่การแก้ไขที่อธิบายไว้ที่นี่ซึ่งต้องมีการคอมไพล์ใหม่ของ vpnc

หากปัญหาของคุณเกี่ยวข้องกับการ rekeying แล้วปัญหาการ rekeying ของบทความด้วย 0.5.3อ้างว่าข้อผิดพลาดนั้นใหม่สำหรับเวอร์ชัน 0.5.3 และไม่มีอยู่ใน 0.5.1

[แก้ไข}

ดูเหมือนว่ากลับไปที่ 0.5.1 ไม่ได้ผลสำหรับคุณ ดูเหมือนว่าการยกเลิกการเชื่อมต่อ vpnc นั้นเป็นเรื่องธรรมดาสำหรับลีนุกซ์รุ่นอื่น ๆ

ฉันได้พบการแก้ไขปัญหาการตัดการเชื่อมต่อ vpnc ด้านบนเวอร์ชัน 0.5.xซึ่งแสดงให้เห็นว่าอาจจำเป็นต้องย้อนกลับไปแม้แต่ 0.4.x ในกรณีใด ๆ บทความแนะนำการแก้ไขที่อาจไม่เกี่ยวข้องกับกรณีของคุณ แต่คุณสามารถลอง:

หลังจากทั้งหมดเราต้องปิด DPD ที่ส่วนท้ายของลูกค้าเช่นกัน (vpnc) สิ่งที่เราสามารถทำได้ 2 วิธี:

  • เพิ่ม "--dpd-idle 0" สวิตช์บรรทัดคำสั่งเมื่อเรียกใช้ "vpnc"
  • ยังดีกว่าที่จะเพิ่มบรรทัดนี้ในไฟล์กำหนดค่า: "DPD idle timeout (ด้านข้างของเรา) 0"

ข้อมูลเพิ่มเติม: man vpnc

มีข้อมูลที่คล้ายกันมาจากการสนับสนุน RedHat คือBug 484,114 - VPN ตัดการเชื่อมต่อทุก 5 นาที

คุณสามารถลองไปที่ vpnc 0.4.x แต่ฉันเริ่มสงสัยว่าปัญหาเกิดขึ้นกับคุณหรือด้วยการตั้งค่าบางอย่างของเซิร์ฟเวอร์ vpn: 24 นาทีนั้นแม่นยำเกินไป

harrymc
แหล่งที่มา
อืมน่าสนใจ ฉันจะลองรวบรวมเวอร์ชั่น 0.5.1 ฉันอยู่หลังเราเตอร์ซึ่งไม่ใช้ NAT สำหรับฉัน ฉันไม่มีปัญหาในการตัดการเชื่อมต่อปัญหาในแอปพลิเคชั่น / เกม / อะไรก็ตาม ฉันสามารถลองเราเตอร์ที่แตกต่างจาก ISP ที่แตกต่างกันเช่นกันเพื่อวัตถุประสงค์ในการทดสอบ ฉันมี 2 ISP กับ 2 การเชื่อมต่อ
Chris Dale
ขอโทษที่ตอบกลับช้า ฉันมีงานปาร์ตี้ปริญญาตรีของฉันในสุดสัปดาห์นี้และมีสิ่งอื่นมากมายเกิดขึ้น อย่างไรก็ตามเวอร์ชั่น 0.5.1 นั้นไม่ได้ทำงานอย่างน่าเศร้า มันตัดการเชื่อมต่อหลังจาก 24 นาที รายการบันทึกเดียวกันใน syslog เหมือนก่อน
Chris Dale
ฉันเพิ่มความเป็นไปได้อีกหนึ่งอย่าง และขอแสดงความยินดีด้วย!
harrymc
--force-dpd INTERVALเป็นแฟล็กสำหรับvpnc เวอร์ชั่น 0.5.3r512 / OpenConnect เวอร์ชั่น v5.02
earthmeLon
4

ลองเปลี่ยนโหมดการแวะผ่าน NAT เป็น cisco-udp ซึ่งแก้ไขได้สำหรับฉัน

NAT Traversal Mode cisco-udp

การกำหนดค่าแบบเต็มของฉันมีลักษณะเช่นนี้

IPSec gateway VPNHOSTIP
IPSec ID SAMPLESHAREDUSER
IPSec secret SAMPLESHAREDKEY
Xauth username SAMPLEUSER
Xauth password SAMPLEUSERPASS
IKE Authmode psk
#IKE DH Group dh2 # this is the default
DNSUpdate no
DPD idle timeout (our side) 0
NAT Traversal Mode cisco-udp

การเชื่อมต่อ VPN ของฉันยังคงทำงานหลังจาก 20 ชั่วโมงจนถึงตอนนี้

Pykler
แหล่งที่มา
ขอบคุณสำหรับตัวอย่างของคุณ สิ่งนี้ไม่ได้ผลสำหรับฉันเศร้า :( คุณกำลังใช้ vpnc เวอร์ชันใดอยู่?
Chris Dale
ฉันกำลังใช้งาน 0.5.3 ล่าสุดในเวลาที่เขียนจากอูบุนตู repo
Pykler
1
ทำงานให้ฉันใน 0.5.3!
user545424
1
หลังจากทำเช่นนี้สถานะการออนไลน์ VPNC ของฉันเปลี่ยนจาก 20 นาทีเป็นชั่วโมง vpnc เวอร์ชั่น 0.5.3r512 บน Linux Mint 17
lreeder
1

ฉันมีปัญหาเดียวกันและไม่มีวิธีแก้ไขปัญหาที่แนะนำสำหรับฉัน ในที่สุดฉันก็ยอมแพ้กับ vpnc และลองใช้ไคลเอนต์ ShrewSoft vpn มันค่อนข้างยุ่งยากเพราะคุณต้องคอมไพล์ด้วยตัวเอง (และติดตั้งการพึ่งพาที่ขาดหายไปด้วยตนเอง - ในกรณีของฉัน, cmake, libedit2, flex และ bison) แต่ดูเหมือนว่าจะทำงานได้ดี

ในขณะที่เขียนคุณสามารถดาวน์โหลดได้จากhttps://www.shrew.net/download/ike

นั่งยองหมี
แหล่งที่มา
0

คุณอาจดู--nat-keepaliveตัวเลือกอาจลอง--nat-keepalive 1200

ณ จุดนี้เป็นข้อผิดพลาดที่รู้จักกันไม่แน่ใจว่ามันได้รับการแก้ไข

Darth Android
แหล่งที่มา
ดูเหมือนจะไม่มีตัวเลือก --nat-keepalive ตรวจสอบpastebin.com/sksQafdrของการตอบสนองเมื่อฉันลองใช้ตัวเลือกนั้นร่วมกับตัวเลือกอื่น ๆ ที่ฉันใช้ด้วย
Chris Dale
0

ฉันมีปัญหาเดียวกันhttp://dietrichschroff.blogspot.com/2011/07/linux-vpn-client-disconnect-every-600s.htmlดูเหมือนว่าจะกล่าวถึงปัญหาที่อาจเกี่ยวข้องกับกลุ่ม DH ที่ใช้งานอยู่ ในการเปลี่ยนกลุ่ม DH เป็น 5 ในไฟล์ปรับแต่งของคุณ

IKE DH Group dh5

ตัวเลือกสำหรับการเปลี่ยนแปลงการกำหนดค่านี้คือ

IKE DH Group <dh1/dh2/dh5>
Pykler
แหล่งที่มา
ไม่ได้ผลสำหรับฉันแม้ว่าจะมีเฉพาะค่าเริ่มต้นของ dh2 ในกรณีของฉัน
Pykler
0

หน้าแรกของโครงการ VPNCไม่ได้กล่าวถึงสิ่งนี้ว่าเป็นปัญหาที่ทราบกันดี แต่ฉันถือว่า "phase2-rekeying" ยังคงไม่เสถียร (ตามข้อบกพร่องที่รายงาน) ยังทราบด้วยว่า

  • ไม่มีการป้อนเฟส 1 ซ้ำ

รุ่นที่ได้รับการแพตช์ 0.5.3 (ซึ่งเป็นรุ่นล่าสุดในSVNของโครงการดั้งเดิม) รุ่น VPNC ที่githubรวมถึง:

  • เพิ่มความสามารถในการตอบคำถาม XAuth ด้วยสคริปต์ภายนอก
  • เพิ่มรูทีนการล้างข้อมูลที่รันในกรณีที่มีการขาดการเชื่อมต่อที่ไม่คาดคิด
  • เพิ่มวิธีแก้ปัญหาสำหรับสถานการณ์ที่ concentrator ถามคำถาม Xauth เป็นคำขอรหัสผ่าน
  • เพิ่มแพทช์ Mihai Maties สำหรับการตรวจหา Dead Peer ( http://lists.unix-ag.uni-kl.de/pipermail/vpnc-devel/2010-December/003492.html )

ฉันยังขอแนะนำ watch Guard เป็นทางออกที่ดีที่สุดสำหรับการเชื่อมต่อhttps://github.com/dcantrell/vpncwatch/networkอีกครั้งหากโหมดอัตโนมัติเป็นที่ต้องการอย่างมากและด้านระยะไกลยังสามารถทำให้เกิดการยกเลิกการเชื่อมต่อ (ที่ไม่เกี่ยวข้องกับซอฟต์แวร์)

PS

เนื่องจาก VPNC เป็นรุ่นที่มีการใช้งานเชิงพาณิชย์แบบย้อนกลับการตัดการเชื่อมต่อกับการเปลี่ยนแปลงที่เกิดขึ้นใหม่ในด้านระยะไกลสามารถคาดว่าจะปรากฏขึ้นอีกครั้งจนกว่าจะพบ & แก้ไขอีกครั้ง

ท้ายที่สุดมีตัวเลือกในการใช้ Native Client ( anyconnect ) สำหรับ linux ข้อเสียอย่างหนึ่งคือความสามารถในการกำหนดค่าฝั่งไคลเอ็นต์ในขณะที่การอัปเดตระเบียน DNS และไม่มีเส้นทางเริ่มต้นจะถูก จำกัด อย่างมหาศาล การยกเลิกการเชื่อมต่อจะยังคงเกิดขึ้น แต่มีโอกาสน้อยมาก

Yauhen Yakimovich
แหล่งที่มา
0

ฉันมีปัญหาเดียวกันบน Ubuntu 12.04 และด้วย VPNC จะตัดการเชื่อมต่อหลังจากผ่านไป 24 นาที

ฉันลอง "Shrew Soft" ซึ่งฉันติดตั้งจากศูนย์ซอฟต์แวร์ ฉันสามารถกำหนดค่า VPN โดยใช้ไฟล์. pcf ที่ฉันได้รับจากแผนกไอทีของฉัน จากนั้นฉันก็พบปัญหาเดียวกัน

อย่างไรก็ตามด้วย "Shrew Soft" คุณสามารถกำหนดค่าสองสิ่ง สิ่งที่ทำให้การเชื่อมต่อของฉันอยู่ตลอดไปคือการตั้งค่าใน Phase1-rekeying ฉันเปลี่ยนค่า "Key Life Time Limit" จาก 86400 (24 ชั่วโมง) เป็น 600 วินาที ฉันคิดว่ามีข้อบกพร่องบางแห่งซึ่งใช้เวลา 24 นาทีแทนที่จะเป็น 24 ชั่วโมง

user322660
แหล่งที่มา
0

ฉันเสนอแพตช์สำหรับเฟส IKE ที่ฉันทำซ้ำตามการส่งแพตช์ก่อนหน้าซึ่งทำให้การเชื่อมต่อ vpnc ของฉันเริ่มมีเสถียรภาพในหลายวันเมื่อเทียบกับส่วนหัวของ ASA ฉันเฟส 1 อายุการใช้งาน 24 ชั่วโมงดังนั้นจึงไม่ rekey ประสบความสำเร็จในการเชื่อมต่อและช่วยให้มีชีวิตอยู่ เช่น

  • re-keys เฟส 2 SAs (IPsec) - และ -
  • re-keys เฟส 1 SAs (ISAKMP)
Ralph Schmieder
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.