События группы sa_minor, sa_major

Сообщения этой группы позволяют контролировать процессы создания, уничтожения и замены IPsec-контекстов. Сообщения о загрузке контекстов содержат детальную информацию о параметрах контекста, включая IP-параметры (адреса, порты), SPI, режимы и др.

Если сообщение содержит IP-параметры (selector), то они выводятся в следующем порядке:

·       локальный адрес/диапазон адресов

·       локальный порт

·       удаленный адрес/диапазон адресов

·       удаленный порт

·       IP- протокол.

Под локальным адресом понимается адрес источника (source) для исходящих пакетов.

 

Примеры сообщений группы sa_major

Превышено ограничение SA по трафику:

SA 55 expired 

Пора начинать rekeying SA (пройден барьер по трафику):

requesting rekeying for SA 33

Сообщения о загрузке новых SA:

loaded SA 12: flags 0x1, IPsec flags 0x18, selector 5.4.3.2->2.3.4.5, tunnel 5.4.3.2->8.9.1.2, type 51, SPI 0xabababba

Следующее сообщение говорит о замене IPsec SA без прерывания обработки трафика:

loaded replacement for SA 55: SA 69: flags 0x0, IPsec flags, 0x38, selector 3.4.5.1->2.3.4.0-2.3.4.255 proto 17, tunnel 3.4.5.1->1.3.4.1, type 50, SPI 0x3b7f44e0

Расшифровка type:

51 – AH

50 - ESP

Расшифровка некоторых[12] битов flags:

0x1 – входящий

0x100 - включен path MTU discovery

0x200 - включена повторная маршрутизация (reroute)

0x400 - необходима сборка IP-пакетов из фрагментов перед инкапсуляцией

Расшифровка битов ipsec flags:

0x1 – туннельный режим

0x2 – сбрасывать DF-bit

0x4 - устанавливать DF-bit

0x8 – включена защита от replay-атак

0x10 – включена проверка целостности

0x20 – включено шифрование

0x40 – испольуется UDP-encapsulation (NAT traversal)

Загрузка связки SA (SA bundle):

loaded bundle: chain 12, filter 98, flags 0x0, selector 3.4.5.1:98->3.4.5.2:99 proto 17, SA list 4 5

Расшифровка битов flags:

0x1 - пакеты, которые ожидают обработки данным SA bundle, должны быть уничтожены

0x2 - источником запроса на создание SA bundle был драйвер

Cообщение о загрузке SA bundle, не содержащее списка SA, означает ошибку создания SA bundle приложением (демоном).

Запрос SA bundle (обычно для его обработки требуется IKE-обмен):

SA request: filter chain 59, filter 12, selector 5.4.3.2:1->1.2.3.4:5 proto 17, expected SA selector 5.4.3.2->1.2.3.4 proto 17

Пакет ожидает SA bundle.

waiting for SA: 10.0.59.1:1680->12.1.1.1:23, proto 17, len 90, if eth0

SA заблокирован (превышено ограничение по времени/трафику), ожидается завершение процесса rekeying:

disabled SA 33

Удаление SA:

removed SA 33

 

Пришло подтверждение загрузки SA у партнера, SA активируется:

application request to enable SA 33 processed

Автоматическое обновление SA приостановлено из-за отсутствия трафика, но при первом пакете начнется смена ключей (обновление SA).

first packet will trigger rekeying of SA 33

Сообщения, возникающие при ошибочном/странном[13] поведении Продукта:

can't add bundle: filter id 299 is not found in chain 11 

can't add bundle: SA id 33 not found

can't load SA: unable to unpack

can't load replacement for SA 33: SA not found

can't load replacement for SA 33: can't unpack

can't remove SA 33: sa not found

can't disable SA 33: sa not found

can't enable SA 33: sa not found

rekey trigger: can't find SA 33

can't add bundle: non-empty "drop" response

can't add bundle: illegal request size 11

can't add bundle: filter id 2 in chain 2 is not an IPsec filter

can't add bundle: filter chain id 22 is empty

can't add bundle: filter chain id 22 not found

can't add bundle: filter id 23, chain 18: request 1.2.3.4->4.3.2.1 not found

can't add bundle: filter 80 is dead

can't add bundle: SA 24 is already in a bundle

 

Примеры сообщений группы sa_minor[14]

destroyed SA 12

replacing SA 12 with SA 13

can't enable sa 13: it's already enabled

enabled sa 14, but didn't activate it

enabled sa 15