先週末、サイトをクラウド環境に接続する VPN ゲートウェイの 1 つで、自動セキュリティ アップグレードが行われました。トラブルシューティング (Wireshark などの基本的なネットワーク トラブルシューティング) を実行した結果、最新のセキュリティ更新の 1 つが原因であることが特定されました。システムを既知の正常な状態に復元し、影響を受けるパッケージ (と思われる) を保留に設定しました。
これは、linux-image-aws がインストールされた AWS 上の Ubuntu 20.04 LTS インスタンスです。IPsec を使用して、複数の EdgeRouter をプライベート クラウド環境に接続しています。
アップグレード後、すべてのサイトは通常どおり接続および通信します。たとえば、ICMP は機能しますが、プライベート クラウド環境内の特定のサービス (RDP や SMB など) にアクセスすることはできません。
関連パッケージの変更ログには明らかな関連変更が示されていないため、何か根本的なことを見逃しているのではないかと考えています。この構成/セットアップは、1 年以上問題なく機能しています。
正常であることが確認されているバージョン: linux-image-aws 5.8.0.1041.43~20.04.13
問題のあるバージョン: linux-image-aws 5.8.0.1042.44~20.04.14 以降 (影響を受けると思われる最新の 5.11 もテストしました)
IPsec 構成の抜粋
# MAIN IPSEC VPN CONFIG
config setup
conn %default
keyexchange=ikev1
# <REMOVED>
conn peer-rt1.<REMOVED>.net.au-tunnel-1
left=%any
right=rt1.<REMOVED>.net.au
rightid="%any"
leftsubnet=172.31.0.0/16
rightsubnet=10.35.0.0/16
ike=aes128-sha1-modp2048!
keyexchange=ikev1
ikelifetime=28800s
esp=aes128-sha1-modp2048!
keylife=3600s
rekeymargin=540s
type=tunnel
compress=no
authby=secret
auto=route
keyingtries=%forever
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
よろしくお願いします。
編集 1: 別のテスト アップグレード後に失敗した RDP 接続から別の tcpdump をキャプチャできました。次のようになります。
21:43:01.813502 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [S], seq 2706968963, win 64954, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
21:43:01.813596 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [S], seq 2706968963, win 64954, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
21:43:01.814238 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [S.], seq 152885333, ack 2706968964, win 64000, options [mss 1460,nop,wscale 0,nop,nop,sackOK], length 0
21:43:01.839105 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1, win 1025, length 0
21:43:01.839168 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1, win 1025, length 0
21:43:01.840486 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 1:48, ack 1, win 1025, length 47
21:43:01.840541 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 1:48, ack 1, win 1025, length 47
21:43:01.843746 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 1:20, ack 48, win 63953, length 19
21:43:01.922120 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 20, win 1025, length 0
21:43:01.922212 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 20, win 1025, length 0
21:43:01.932646 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 48:226, ack 20, win 1025, length 178
21:43:01.932729 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 48:226, ack 20, win 1025, length 178
21:43:01.940677 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 20:1217, ack 226, win 63775, length 1197
21:43:01.967343 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 226:408, ack 1217, win 1020, length 182
21:43:01.967417 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 226:408, ack 1217, win 1020, length 182
21:43:01.969452 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 1217:1324, ack 408, win 63593, length 107
21:43:02.044376 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1324, win 1020, length 0
21:43:02.044471 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1324, win 1020, length 0
21:43:02.135594 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 408:637, ack 1324, win 1020, length 229
21:43:02.135653 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 408:637, ack 1324, win 1020, length 229
21:43:02.136796 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 1324:2609, ack 637, win 63364, length 1285
21:43:02.212871 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 2609, win 1025, length 0
21:43:02.212940 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 2609, win 1025, length 0
答え1
詳しく調べなくても、sha1 や aes128 などの古くて弱い暗号が削除されたということでしょうか? 動作中のカーネル バージョンで aes256-sha256-modp2048 に変更してからアップグレードして、まだ壊れるかどうかを確認してください。また、ikev1 ではなく ikev2 はどうでしょうか? ただし、これはユーザー空間の問題であり、カーネル設定の問題ではありません。
試してみてください…