Openswan(IPSec VPN)がiPhoneから繋がらなくなった!

By | 2014/12/31

外出先からiPhoneやWindowsで接続して、メンテナンス作業の固定IP接続ができるように、CentOSサーバーにOpenswanを入れてIPSecのVPNサーバーを構築して使っていたのですが、いつからか(2014年秋頃から?)iPhoneやMacが繋がらなくなってしまっていたようです。

Windowsでは繋がってたので発見が遅くなってしまった(T_T)

iPhoneから接続してみたところ、
cat /var/log/secure
Dec 31 08:54:03 neobit pluto[23865]: "L2TP-PSK-NAT"[3] XXX.XXX.XXX.XXX #3: sending notification INVALID_PAYLOAD_TYPE to XXX.XXX.XXX.XXX:32250
Dec 31 08:54:06 neobit pluto[23865]: "L2TP-PSK-NAT"[3] XXX.XXX.XXX.XXX #3: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_SAK) at the outermost level
というメッセージを繰りかえし出力したあと、
Dec 31 08:54:33 neobit pluto[23865]: ERROR: asynchronous network error report on eth0 (sport=500) for message to XXX.XXX.XXX.XXX port 32250, complainant XXX.XXX.XXX.XXX: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
とエラーを出して弾かれてしまう。

ネットを調べてみたところ、Openswanのバージョンアップが原因だそうで、うちのサーバーでも確かに10月にyumのアップデートが掛かってました。
cat /var/log/yum.log
Oct 17 05:25:02 Updated: openswan-2.6.32-27.4.el6_5.x86_64

yumでひとつ前のバージョンにダウングレードしたらOKだったという話も見ましたが、うちのサーバーでdowngradeしてみたけどエラーでだめ。古いバージョンのRPMも見つからないので、この方法は断念です。
http://masas.at.webry.info/201406/article_1.html

yumでもっと新しいバージョンが出てるんじゃないかと
yum list openswan
と確認したら、openswan-2.6.32-37.el6.x86_64 というもう少し新しいバージョンが最新になってたので、とりあえず
yum update openswan
と最新版に上げてみましたが、解決しませんでした。

最新の2.6.4xのソースを持ってきて入れたら解決したという話もあったので探しにいったけど、RPMを辞めてソース管理に変えるのも嫌だなあ。
http://www.xyzi.org/?p=857

openswanの公式サーバーを探してみると、yumより新しくて最新よりはちょっと古いけどRPMがありました。
https://download.openswan.org/openswan/binaries/rhel/6/
2.6.3x系の最終という事みたいです。
openswan-2.6.38dr2-9.el6.x86_64.rpm

まずyumで入っている物をeraseで削除
yum erase openswan

rootでwgetしてきて、ん?SSL証明書エラーが出てるのでオプションをつけてダウンロード。
wget --no-check-certifiacate https://~
RPMでインストール
rpm -ivh openswan-2.6.38dr2-9.el6.x86_64.rpm
yumで削除したときに、/etc/ipsec.conf → /etc/ipsec.conf.rpmsave とrenameされてしまっていたconfを戻す
mv /etc/ipsec.conf /etc/ipsec.conf.new
mv /etc/ipsec.conf.rpmsave /etc/ipsec.conf

手動で立ち上げてみて、iPhoneとWindowsからの接続をテスト
service ipsec start
よし!OK!うまくいきました。

自動起動も外れているのでchkconfigにONを設定
chkconfig ipsec on

ふぅ、出先から固定IPで作業が出来ないとなると、年末年始に何処にも出掛けられないところでしたわ。(^_^;)


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です