Strongswan loglevel: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Thomas (Diskussion | Beiträge) |
Thomas (Diskussion | Beiträge) |
||
| Zeile 68: | Zeile 68: | ||
===Falsche PHASE1 oder PHASE2 Proposals === | ===Falsche PHASE1 oder PHASE2 Proposals === | ||
Nov 16 12:24:57 05[IKE] <s2s|10> received NO_PROPOSAL_CHOSEN error notify | Nov 16 12:24:57 05[IKE] <s2s|10> received NO_PROPOSAL_CHOSEN error notify | ||
| + | ===PHASE1 Proposals werden nicht beantwortet=== | ||
*tail -f /var/log/strongswan/charon.log | egrep "$CONN.*proposal.*IKE" | *tail -f /var/log/strongswan/charon.log | egrep "$CONN.*proposal.*IKE" | ||
Nov 16 21:51:19 12[CFG] <s2s|7> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 | Nov 16 21:51:19 12[CFG] <s2s|7> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 | ||
Version vom 16. November 2017, 20:54 Uhr
Allgemein
- strongswan-logs sind sehr variabel. Es lässt sich sehr genau festlegen, was strongswan wohin schreiben soll
- strongswan schreibt alle logs standardmäßig in /var/log/syslog
Loglevel festlegen
über Konsole
- ipsec stroke loglevel <Quelle> <Loglevel>
- Für "<Loglevel>" können die Werte -1, 0, 1, 2, 3 und 4 verwendet werden
- Für "<Quelle>" können die Werte app, asn, cfg, chd, dmn, enc, esp, ike, imc, imv, job, knl, lib, mgr, net, pts, tls und tnc oder alternativ auch "any" für alle gleichzeitig verwendet werden
Beispiele
enc bzw. ike loglevel 2
- ipsec stroke loglevel enc 2
- ipsec stroke loglevel ike 2
Log abschalten
- ipsec stroke loglevel any -- -1
in /etc/ipsec.conf
- Um den Log-Level festzulegen muss in die "setup"-Sektion der ipsec.conf lediglich ein Parameter "charondebug" in der folgenden Weiße hinzugefügt werden
config setup
charondebug="cfg 2, chd 2, esp 2, ike 2, knl 2, lib 2, net 2, tls 2"
ACHTUNG!!!
- Wegen eines Bugs im Parameter "app", den man deshalb hier nicht verwenden sollte, lässt sich hier die Option "any" ebenfalls nicht verwenden, daher müssen bei dieser Variante alle ins log zu schreibenden Quellen einzeln angegeben werden
in /etc/strongswan.conf
charon {
load_modular = yes
filelog {
/var/log/charon.log {
time_format = %b %e %T
ike_name = yes
append = yes
ike = 2
enc = 2
default = 0
flush_line = yes
}
stderr {
ike = 2
knl = 3
}
}
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf
restart
- ipsec restart
VPN Check
- CONN=s2s
- CHECK="(CHILD_SA|failed|error|could not)"
- PATTERN=${CONN}.*$CHECK
Initiator
Check
- tail -f /var/log/strongswan/charon.log | egrep "$PATTERN"
Verbindung erfolgreich
Nov 16 11:26:44 15[IKE] <s2s|6> CHILD_SA s2s{3} established with SPIs cbe2c3f8_i c64ca73c_o and TS 10.83.33.0/24 === 10.83.32.0/24
PSK falsch
Nov 16 12:11:47 13[ENC] <s2s|102> invalid HASH_V1 payload length, decryption failed? Nov 16 12:11:47 13[ENC] <s2s|102> could not decrypt payloads Nov 16 12:11:47 13[IKE] <s2s|102> message parsing failed Nov 16 12:11:47 13[IKE] <s2s|102> INFORMATIONAL_V1 request with message ID 1439430924 processing failed
Falsche PHASE1 oder PHASE2 Proposals
Nov 16 12:24:57 05[IKE] <s2s|10> received NO_PROPOSAL_CHOSEN error notify
PHASE1 Proposals werden nicht beantwortet
- tail -f /var/log/strongswan/charon.log | egrep "$CONN.*proposal.*IKE"
Nov 16 21:51:19 12[CFG] <s2s|7> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Verschiedene DH in Phase2
- tail -f /var/log/strongswan/charon.log | egrep "$CONN.*proposal.*ESP"
Nov 16 20:29:38 15[CFG] <s2s|4> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_1024/NO_EXT_SEQ Nov 16 20:29:38 15[CFG] <s2s|4> configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ
Falsches Netz
Nov 16 20:00:41 01[IKE] <s2s|6> received INVALID_ID_INFORMATION error notify
Falsche ID
Nov 16 20:12:55 12[IKE] <s2s|2> received AUTHENTICATION_FAILED error notify