IPSec - Destination/Peer down - sockets haengen

Florian Lohoff flo at rfc822.org
Thu Jun 18 17:10:01 CEST 2009 

On Thu, Jun 18, 2009 at 04:23:03PM +0200, Jan 'RedBully' Seiffert wrote:
> Hmmm, mal als bloede vermutung:
> 
> Das connect mit einem Fehler zureuck kommt basiert entweder auf internem Kernel
> Zustand (kein Speicher, keine Route, etc.) oder auf einer Meldung der
> Gegenseite, so auf ICMP/TCP ebene (ICMP port closed, oder RST).
> Ich denke das Problem ist mit IPSec, das die Packete durch das Routing da
> reingehen, aber NICHTS zurueck kommt (der Userspace Daemon ist noch am
> rumhaeulen, es wird nichts ge-forwarded im Kernel, usw.). Ein Black hole.
> Das einzige was jetzt connect davon abhaelt ewig zu blocken ist ein genereller
> timeout. Nur entweder:
> - verhindert IPsec den Timer, da ja alles "in bearbeitung" ist
> - der ist sooo lang eingestellt (10 Minuten oder sowas), das Bind zuerst auf die
> Idee kommt, es wuerde fatal haengen (z.B. 2 Min)
> - der ist kaputt/es gibt ihn nicht

Das ist definitiv eine IP Sec geschichte - Ein Datagram socket connecten
bedeutet nur das der Kernel sich die Destination fuer die zukuenftigen Pakete
merkt - d.h. es duerfte unter keinen umstaenden blocken (Anders als bei TCP das
einen connection versuch unternimmt).

Und bei IPSec gehen eben ueberhaupt keine Pakete raus wenn die keys nicht
verhandelt sind - D.h. die Socket policy ist block im falle von nicht aufgebauten
associations ...
> > Hat jemand da eine loesung fuer?
> > 
> 
> Ich denke man muesste ertstmal rausfinden was Bind toetet. Ich tippe er sich
> selbst durch irgend eine Art Watchdog timeout.

Nope - es haengt noch mehr - munin auch - der versucht u.a. auch von der kiste
zu pollen am anderen ende vom IPSec - die kiste stirbt einen langsamen tod
wenn das IPSec weg ist ...

Flo
-- 
Florian Lohoff                  flo at rfc822.org             +49-171-2280134
	Those who would give up a little freedom to get a little 
          security shall soon have neither - Benjamin Franklin
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20090618/e85001d7/attachment.sig>

More information about the Linux mailing list