Tâche #17019
Scénario #16963: Assistance aux utilisateurs (36-38)
Assistance Sphynx 2.5.2 aca Dijon : les VPN plantent aléatoirement plusieurs fois par jour
Demandes liées
Historique
#1 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
- Statut changé de Nouveau à En cours
#2 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
- % réalisé changé de 0 à 30
strongSwan tente de vérifier la validité d'un certificat (OCSP ....) et indique de très nombreuses fois par seconde qu'il n'y a pas d'ac issuer pour ce certificat.
La désactivation du plugin revocation fait disparaître ce message. À voir si il n'y a pas de problème sur les certificats de Toulouse ou sur leur PKI.
Le serveur a été laissé avec le plugin désactivé pour voir si c'est ça qui faisait planter les VPN.
#3 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
Message envoyé sur la liste après quelques recherches : http://listeseole.ac-dijon.fr/listes/arc/amon-sphynx/2016-09/msg00008.html
#4 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
Un script exécuté par cron vérifie toutes les minutes si la commande "ipsec statusall" répond. Si elle ne répond pas, le script relance strongSwan.
Avec le plugin "revocation" (check CRL et OCSP) désactivé, il n'y a plus de blocage de la commande.
On voit ceci très régulièrement dans les logs :
2016-09-10T04:00:08.010176+02:00 sphynx-25.in.ac-dijon.fr charon: 60[DMN] thread 60 received 11 2016-09-10T04:00:08.010426+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] dumping 14 stack frame addresses: 2016-09-10T04:00:08.010455+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /lib/x86_64-linux-gnu/libpthread.so.0 @ 0x7f8692df8000 [0x7f8692e08330] 2016-09-10T04:00:08.014968+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.015002+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /usr/lib/ipsec/libstrongswan.so.0 @ 0x7f8693490000 [0x7f86934b1ba3] 2016-09-10T04:00:08.018784+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.018815+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /usr/lib/ipsec/libstrongswan.so.0 @ 0x7f8693490000 [0x7f86934b1cfa] 2016-09-10T04:00:08.022568+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.022599+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /usr/lib/ipsec/libstrongswan.so.0 @ 0x7f8693490000 [0x7f86934b1d3b] 2016-09-10T04:00:08.026316+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.026349+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /usr/lib/ipsec/libstrongswan.so.0 @ 0x7f8693490000 (array_invoke_offset+0x33) [0x7f86934a4433] 2016-09-10T04:00:08.030030+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.030062+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /usr/lib/ipsec/libstrongswan.so.0 @ 0x7f8693490000 (array_destroy_offset+0x9) [0x7f86934a44b9] 2016-09-10T04:00:08.033702+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.033732+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /usr/lib/ipsec/libcharon.so.0 @ 0x7f8693016000 [0x7f869303bce4] 2016-09-10T04:00:08.037407+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.037438+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /usr/lib/ipsec/libcharon.so.0 @ 0x7f8693016000 [0x7f869303dd21] 2016-09-10T04:00:08.041220+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.041251+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /usr/lib/ipsec/libcharon.so.0 @ 0x7f8693016000 [0x7f869303fd7d] 2016-09-10T04:00:08.045087+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.045119+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /usr/lib/ipsec/libcharon.so.0 @ 0x7f8693016000 [0x7f86930360b3] 2016-09-10T04:00:08.048908+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.048941+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /usr/lib/ipsec/libstrongswan.so.0 @ 0x7f8693490000 [0x7f86934b8df2] 2016-09-10T04:00:08.052686+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.052721+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /usr/lib/ipsec/libstrongswan.so.0 @ 0x7f8693490000 [0x7f86934bbc14] 2016-09-10T04:00:08.056503+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.056535+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /lib/x86_64-linux-gnu/libpthread.so.0 @ 0x7f8692df8000 [0x7f8692e00184] 2016-09-10T04:00:08.060346+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.060421+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] /lib/x86_64-linux-gnu/libc.so.6 @ 0x7f8692a33000 (clone+0x6d) [0x7f8692b2d37d] 2016-09-10T04:00:08.064165+02:00 sphynx-25.in.ac-dijon.fr charon: 60[LIB] -> 2016-09-10T04:00:08.116914+02:00 sphynx-25.in.ac-dijon.fr charon: 60[DMN] killing ourself, received critical signal
#5 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
Question sur la liste strongSwan Users : https://lists.strongswan.org/pipermail/users/2016-September/009981.html
#6 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
Compilation pour EOLE 2.5 de strongSwan avec le patch indiqué par Tobias Brunner : https://git.strongswan.org/?p=strongswan.git;a=commitdiff;h=8ca9a67f
#7 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
- Fichier fix-several-auth-crash ajouté
- Fichier fix-suites_test_settings_if_root ajouté
- % réalisé changé de 30 à 60
Recompilation strongSwan 5.1.2 pour EOLE 2.5 avec les patches en fichiers liés.
#8 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
Installation de la version strongSwan patchée sur le Sphynx de Dijon avec le plugin revocation activé.
#9 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
Pas de plantage depuis l'installation de la version patchée.
#10 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 60 à 100
- Restant à faire (heures) changé de 2.0 à 0.0
Ça semble résolu.
Clôture de la demande, il faut maintenant diffuser les paquets correctifs.
#11 Mis à jour par Fabrice Barconnière il y a plus de 7 ans
- Statut changé de Résolu à Fermé