iked - nur bestimmte Verbindungen (flows/sad) abbauen

suados_forum

Active Member
Schönen Nachmittag,

ich habe einen Server und 2 Hosts. Der Server ist der passive Part und die beiden Hosts sind der aktive Part. Die Host bauen jeweils einen Tunnel zum Server auf. Für den Aufbau benutze ich die iked.conf. Das funktioniert soweit so gut. Wenn ich mit ipsecctl -F auf dem Host die flows und sads lösche bzw. den iked beendet sind auf dem Host keine Enträge mehr vorhanden - auf dem Server sind die spezifischen Einträge aber noch da.

Wie kann ich hier die flows und sads löschen bzw. es sinnvoll hier 2 Instanzen des iked mit unterschiedlichen Konfigurationen auf dem Server zu starten und diese dann eher zu stoppen - wie spreche ich diese an?
 

double-p

BOFH
`ipsecctl -F` ist was zum manuellen aufraeumen, aber nicht normales Vorgehen.
Wenn Du auf einem der Hosts iked stoppst, sollte er auch DELETE notifications an den Server schicken.

So mit einzel-configs wie zu isakmpd Zeiten geht mit iked leider nicht.
 

suados_forum

Active Member
Leider schickt er keine DELETE notifications an den Server. Wenn ich also auf dem Host 5x eine neue Verbindung initiere habe ich auf dem Server 10 Einträge in der SAD.

Gibt es da keinen Möglichkeit vorher etwas zu senden bzw. die Einträge zu löschen?
 

double-p

BOFH
Da kenne ich iked zu wenig, aber generell ist das auch kein Problem. anhand der i/rcookies weiss der jeweilige Peer, welche SA zu verwenden ist.
Das wird auch beim re-keying so verwendet, da hast Du pro tunnel auch zwei SA paerchen in der zeit zwischen soft+hard timeout.
 
Oben