リブート後、Libreswanの設定により、特定の時間にIPSecトンネルを維持できるクライアントは1つだけです。問題

最後の更新
PDFとして保存

Views:: 7

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: nas<a>2009879868</a>

Last Updated:

環境

ONTAP 9以降
IPSec
リブレスワン
NFS

問題

IPsecおよびIPsecトンネル用に設定された複数のクライアントが、クライアントの再起動後に確立できない。
1つのクライアントだけがIPsecトンネルを確立できます。つまり、クライアントの再起動時に、クライアントで次のエラーが発生してIPsecトンネルの確立に失敗します。

[root@libreswan_client ~]# ipsec auto --up mytunnel 002 "mytunnel" #1: initiating v2 parent SA 133 "mytunnel" #1: STATE_PARENT_I1: initiate 002 "mytunnel" #1: local IKE proposals for mytunnel (IKE SA initiator selecting KE): 1:IKE:ENCR=AES_CBC_256;PRF=HMAC_SHA2_384;INTEG=HMAC_SHA2_384_192;DH=ECP_384 133 "mytunnel" #1: STATE_PARENT_I1: sent v2I1, expected v2R1 002 "mytunnel" #1: WARNING: connection mytunnel PSK length of 19 bytes is too short for sha2_384 PRF in FIPS mode (24 bytes required) 002 "mytunnel" #1: local ESP/AH proposals for mytunnel (IKE SA initiator emitting ESP/AH proposals): 1:ESP:ENCR=AES_GCM_C_256;INTEG=NONE;DH=NONE;ESN=DISABLED 134 "mytunnel" #2: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=aes_256 integ=sha384_192 prf=sha2_384 group=DH20} 002 "mytunnel" #2: IKE SA authentication request rejected: AUTHENTICATION_FAILED

Client1が再起動され、IPsec接続とマウントは正常に動作します。
ただし、 client2を再起動すると、IPsec通信を確立できず、マウントがエラーなしでハングします。
以下のコマンドを実行してIPsec接続を再確立し、マウントを実行します。

::>security ipsec policy modify -vserver vs912 -is-enabled true -name <Policy_Name>

次にclient1をリブートすると、同じエラーでIPsecトンネルの確立に失敗します。
security ipsec policy modify client1のIPSec通信を確立するためにコマンドを実行すると、 client1は正常に機能し始めますが、client2はリブートすると接続の確立に失敗します。
クライアント側のIPSec設定は次のとおりです。

sudo cat /etc/ipsec.d/ipsec.conf conn mytunnel left=10.216.41.46 leftid=@client_side_identity right=10.216.41.176 rightid=@ontap_side_identity ikev2=insist ike=aes_256-sha384;dh20 phase2alg=aes_gcm256-null authby=secret type=transport auto=add

ONTAPでは、次の設定が表示されます。

cdot_vsim9_9_11::*> security ipsec policy show -vserver vs912 -fields local-identity,remote-identity vserver name local-identity remote-identity ------- ------------------- -------------- --------------- vs912 10.216.41.46_policy ontap_side_identity client_side_identity --> For client1 vs912 10.216.41.79_policy ontap_side_identity client_side_identity --> For client2