リブート後、Libreswanの設定により、特定の時間にIPSecトンネルを維持できるクライアントは1つだけです。問題
環境
- ONTAP 9以降
- IPSec
- リブレスワン
- NFS
問題
- IPsecおよびIPsecトンネル用に設定された複数のクライアントが、クライアントの再起動後に確立できない。
- 1つのクライアントだけがIPsecトンネルを確立できます。つまり、クライアントの再起動時に、クライアントで次のエラーが発生してIPsecトンネルの確立に失敗します。
[root@libreswan_client ~]# ipsec auto --up mytunnel
002 "mytunnel" #1: initiating v2 parent SA
133 "mytunnel" #1: STATE_PARENT_I1: initiate
002 "mytunnel" #1: local IKE proposals for mytunnel (IKE SA initiator selecting KE): 1:IKE:ENCR=AES_CBC_256;PRF=HMAC_SHA2_384;INTEG=HMAC_SHA2_384_192;DH=ECP_384
133 "mytunnel" #1: STATE_PARENT_I1: sent v2I1, expected v2R1
002 "mytunnel" #1: WARNING: connection mytunnel PSK length of 19 bytes is too short for sha2_384 PRF in FIPS mode (24 bytes required)
002 "mytunnel" #1: local ESP/AH proposals for mytunnel (IKE SA initiator emitting ESP/AH proposals): 1:ESP:ENCR=AES_GCM_C_256;INTEG=NONE;DH=NONE;ESN=DISABLED
134 "mytunnel" #2: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=aes_256 integ=sha384_192 prf=sha2_384 group=DH20}
002 "mytunnel" #2: IKE SA authentication request rejected: AUTHENTICATION_FAILED
- Client1が再起動され、IPsec接続とマウントは正常に動作します。
- ただし、 client2を再起動すると、IPsec通信を確立できず、マウントがエラーなしでハングします。
- 以下のコマンドを 実行してIPsec接続を再確立し、マウントを実行します。
::>security ipsec policy modify -vserver vs912 -is-enabled true -name <Policy_Name>
- 次にclient1をリブートすると、 同じエラーでIPsecトンネルの確立に失敗します。
security ipsec policy modify
client1のIPSec通信を確立するためにコマンドを実行すると、 client1は正常に機能し始めますが、client2はリブートすると接続の確立に失敗します。- クライアント側のIPSec設定は次のとおりです。
sudo cat /etc/ipsec.d/ipsec.conf
conn mytunnel
left=10.216.41.46
leftid=@client_side_identity
right=10.216.41.176
rightid=@ontap_side_identity
ikev2=insist
ike=aes_256-sha384;dh20
phase2alg=aes_gcm256-null
authby=secret
type=transport
auto=add
- ONTAPでは、次の設定が表示されます。
cdot_vsim9_9_11::*> security ipsec policy show -vserver vs912 -fields local-identity,remote-identity
vserver name local-identity remote-identity
------- ------------------- -------------- ---------------
vs912 10.216.41.46_policy ontap_side_identity client_side_identity --> For client1
vs912 10.216.41.79_policy ontap_side_identity client_side_identity --> For client2