Поиск и устранение неисправностей strongSwan

Если вы столкнулись с проблемами, то понять, что именно пошло не так, поможет повышение уровня логирования. Различные параметры логирования описаны в отдельном документе и на странице руководства strongswan.conf. Рекомендованные настройки журналирования для отладки доступны здесь.

Если вы видите диагностическое сообщение журнала вида received … error notify, где вместо «…» указано, например, NO_PROPOSAL_CHOSEN или TS_UNACCEPTABLE, следует проверить журналы удалённого однорангового узла, чтобы выяснить, почему было отправлено это сообщение об ошибке.

Команды swanctl --list-.. позволят получить информацию об установленных и сконфигурированных подключениях.

В операционной системе Linux в пакете iproute2 имеются команды ip xfrm state и ip xfrm policy для получения детальной информации об установленных в ядре IPsec-SA и политиках. Добавление опции -s поможет увидеть расширенную статистику, например количество переданных или недействительных пакетов. На других платформах аналогичные данные предоставляет команда setkey из пакета ipsec-tools.

Инструменты tcpdump и wireshark также часто помогают при диагностике и устранении проблем.

При проверке подключения с помощью ping необходимо убедиться, что исходный IP-адрес, который Вы задаете (опция -I), входит в локальный селектор трафика (см. также раздел «Конфигурации Site-to-Site»).