IPsec関係のトラブルシュート

connの使い分けに失敗するとき

FQDNを証明書の作成およびipsec.confで一致してるか確認します。leftidをつぎのように証明書の作成と一致させるか

leftid="C=JP, O=MyDomain, CN..."

またはleftid2で’–san’を指定します。

leftid2=router@xxxxxx.xxxxdns.jp

CAの内容を調べてチェックします。

ipsec pki --print --in /etc/ipsec.d/certs/xxxxCert.pem
openssl x509 -in /etc/ipsec.d/certs/xxxxCert.pem -text -noout
ipsec listcerts

sshフリーズの問題

sshでログインできるがフリーズする問題はmtuの問題です。値を1492に、それでもつながらない時は数値を下げて調整します。

CA証明書、サーバー鍵はVPSでは作らない

VPSはエントロピーが溜まりにくいのでランダムな暗号の作成ができません。エントロピーの確認は、

$ cat /proc/sys/kernel/random/entropy_avail

4000程度あれば大丈夫です。

 

OpenWrtはipsecのtranportモードをサポートしない

OpenWrtはtransportモードをサポートしません。L2TP/ipsecはtransportモードで作動しtunnelモードでは作動しないのでOpenWrtを使うとすれば、tunnelでIKEv2を使う選択がよいと思われます。