[FreeBSD-users-jp 96112] IPSec on FreeBSD 11.1-RELEASE-p1
Koh-ichi Oniuda (=?iso-2022-jp?B?GyRCNTRAOEVEOUAwbBsoQg==?=)
oniuda @ oni.gr.jp
2017年 9月 12日 (火) 02:57:29 UTC
鬼生田です。
/usr/ports/security/ipsec-toolsをFreeBSD 11.1-RELEASE-p1にインストール
し、2台のFreeBSD間でIPSec VPNを作ろうとしています。ipsec-toolsはFreeBSD4
時代から、FreeBSD9まで使用し続けているのですが、FreeBSD11では、同じような
設定でつながりません。
racoonのログに以下のエラー(pfkey UPDATE failed: No such process)が記録
されます。
DEBUG: pk_recv: retry[0] recv()
DEBUG: got pfkey UPDATE message
ERROR: pfkey UPDATE failed: No such process
DEBUG: pk_recv: retry[0] recv()
DEBUG: got pfkey ADD message
INFO: IPsec-SA established: ESP 192.168.16.3[500]->192.168.16.2[500] spi=40609554(0x26ba712)
また、以下のカーネルメッセージが表示されます。
key_acqdone: ACQ 3802949569 is not found.key_acqdone: ACQ 528895646 is not found.key_update: invalid state.
key_update: saidx mismatched for SPI 133341799key_add: invalid state.
FreeBSD 9の時は、 pfkey UPDATE failed: No such processのエラーは出ていま
せん。
192.168.16.3 のサーバ側のsetkey
# setkey -D
192.168.16.3 192.168.16.2
esp mode=any spi=85290753(0x05156f01) reqid=0(0x00000000)
E: 3des-cbc 1aaa44a3 0895b138 999b20f7 09ba3b7d 55f47cf8 a573bfaa
A: hmac-sha1 2932e89a ca480ba0 87cabbaf 40a67c76 b5768e8c
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Sep 12 11:39:02 2017 current: Sep 12 11:39:03 2017
diff: 1(s) hard: 28800(s) soft: 23040(s)
last: hard: 0(s) soft: 0(s)
current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 0 hard: 0 soft: 0
sadb_seq=1 pid=9023 refcnt=1
192.168.16.2 192.168.16.3
esp mode=tunnel spi=109578375(0x06880887) reqid=0(0x00000000)
seq=0x00000000 replay=0 flags=0x00000000 state=larval
created: Sep 12 11:39:02 2017 current: Sep 12 11:39:03 2017
diff: 1(s) hard: 0(s) soft: 0(s)
last: hard: 0(s) soft: 0(s)
current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 0 hard: 0 soft: 0
sadb_seq=0 pid=9023 refcnt=1
となりSPIの交換ができている様ですが、192.168.16.2 192.168.16.3側の
情報が不十分で
2017-09-12 11:39:33: ERROR: 192.168.16.2 give up to get IPsec-SA due to time up to wait.
となります。
以下にも同様の現象があるようです。
https://groups.google.com/forum/#!topic/fido7.ru.unix.bsd/YhEK6_50fCs
対応策ありましたら、ご教授ください。
---
Oniuda
freebsd-users-jp メーリングリストの案内