[08:49] <stegbth> Guten Morgen, ich habe meinen RaspberryPi auf Ubuntu 22.04 aktualisiert. Das hat problemlos funktioniert. Allerdings startet nun strongswan nur noch, mit dem kernel-libipsec, was anscheinend kein rekeying beherrscht. Zumindest bleibt der Tunnel nur 30-60 Minuten bestehen. Ich vermute, bis zum naechsten rekeying.
[08:49] <stegbth> mit Ubuntu 20.04 wurde netlink mit dem Kernelinterface stabil ueber Monate genutzt.
[08:51] <drc> Bricht der Tunnel ohne Fehlermeldung einfach zusammen?
[08:56] <stegbth> ohne kernel-libipsec startet das ganze nicht mal, weil ein netlink fehlt.
[08:56] <stegbth> Die Fehlermeldung lautet: 0[KNL] unable to create netlink socket: Protocol not supported (93)
[08:57] <stegbth> ich startet jetzt den Tunnel mit kernel-libipsec im Vordergrund, u.u. ist da was zu sehen
[08:58] <stegbth> aber interessanter waere den ipsec mit netlink wieder an's Laufen zu bekommen. https://docs.strongswan.org/docs/5.9/plugins/kernel-libipsec.html
[08:58] <le_bot> Title: kernel-libipsec Plugin :: strongSwan Documentation (at docs.strongswan.org)
[09:01] <drc> Die Fehlermeldung scheint ein Hinweis darauf zu sein, dass ein Kernelmodul fehlt
[09:04] <drc> bzw, nicht geladen ist … ich hab gerade keinen Pi hier, weiß also nicht, ob die Module vielleicht nur geladen werden müssen
[09:05] <stegbth> stimmt, https://docs.strongswan.org/docs/5.9/install/kernelModules.html mir fehlen folgende Module xfrm_user, tunnel heisst jetzt tunnel4, xfrm4_mode_tunnel und xfrm6_mode_tunnel
[09:05] <le_bot> Title: Required Kernel Modules :: strongSwan Documentation (at docs.strongswan.org)
[09:05] <drc> Was sagt `grep 'CONFIG_NETFILTER_NETLINK' /boot/config-$(uname -r)` auf dem Pi?
[09:06] <drc> Der Typ hier behauptet, dein Fehler liegt an einem fehlenden xfrm_user: https://serverfault.com/a/996950
[09:06] <le_bot> Title: ubuntu - strongswan no start embedder linux - Server Fault (at serverfault.com)
[09:07] <stegbth> https://paste.debian.net/1241940/
[09:07] <le_bot> Title: debian Pastezone (at paste.debian.net)
[09:08] <drc> Damit würde ich vermuten, dass die Module gebaut werden und du sie nur laden musst … Moment
[09:09] <drc> Mein Desktop-Ubuntu hier hat die da
[09:09] <stegbth> das komische ist, dass CONFIG_XFRM_USER=m auf dem Raspi gesetzt ist https://paste.debian.net/1241941/
[09:09] <le_bot> Title: debian Pastezone (at paste.debian.net)
[09:09] <drc> Joa, =m heißt, dass das Modul gebaut wird, aber nicht, dass es geladen wird
[09:09] <drc> `sudo modprobe xfrm_user`
[09:10] <stegbth> mein x64 Ubuntu 22.04 auch.
[09:10] <stegbth> FATAL: Module xfrm_user not found in directory /lib/modules/5.15.0-1006-raspi
[09:10] <drc> hmhm
[09:10] <drc> Sind die wirklich nicht da? `find /lib/modules/$(uname -r) -type f -name '*.ko' | grep xfrm`
[09:12] <stegbth> auf dem Raspi liegen unter /lib/modules/5.15.0-1006-raspi/kernel/net/xfrm/ nur zwei Dateien (xfrm_ipcomp.ko und xfrm_algo.ko
[09:12] <drc> das ist dann zumindest das problem …
[09:12] <stegbth> und beim alten Kernel 5.4.0 sind die Module da
[09:13] <drc> Ah, hier steht was dazu: Die haben die Pakete in linux-modules-extra verschoben, ist das Paket bei dir installiert?
[09:13] <drc> *die Module
[09:15] <stegbth> ah, nein, lade ich gerade runter. hast Du einen Link dazu, wo das steht? 
[09:16] <drc> https://www.mail-archive.com/kernel-packages@lists.launchpad.net/msg463063.html
[09:16] <le_bot> Title: [Kernel-packages] [Bug 1948044] Re: charon-systemd fails on raspberry pi systems under ubuntu 21.10 (at www.mail-archive.com)
[09:16] <drc> Da hab ich das geradeher
[09:17] <drc> Da geht es um 21.10, aber die Änderungen sind vermutlich auch in 22.04 vorhanden
[09:24] <stegbth> tada, jetzt geht's auch auf dem Raspi. Lustigerweise ist xfrm_user auf amd64 im Paket linux-modules und nicht im Paket linux-modules-extra-raspi. Das ist wirklich impish ;)
[09:28] <stegbth> @drc vielen Dank, diesen Artikel haben meine Suchanfragen noch nicht zu Tage gefoerdert
[09:46] <drc> Hab ich auch erst gefunden, nachdem wir die ganzen Infos vorher gesammelt hatten
[09:59] <stegbth> ich bin am ueberlegen, ob ich die Ubuntu Developer darauf anschreiben soll? Sinnvoll waere auf der Plattform raspi (u.u. auch andere?) bei strongswan eine Abhaengigkeit zu dem Paket zu setzen.
[10:02] <drc> Den Bug gibt es schon: https://bugs.launchpad.net/ubuntu/+source/strongswan/+bug/1948044 aber ja, ich würde auch vermuten, dass da eine dependency für gesetzt werden sollte
[10:02] <le_bot> Title: Bug #1948044 “charon-systemd fails on raspberry pi systems under...” : Bugs : strongswan package : Ubuntu (at bugs.launchpad.net)
[10:02] <drc> Ohne scheint es ja nicht zu gehen
[10:17] <stegbth> status invalid heisst, ist kein Bug?
[10:20] <drc> Naja, die Fehlermeldung zumindest stimmt nicht … wie gesagt, meiner Interpretation nach ist es ein Paketetierungsproblem und jemand mit entsprechenden Rechten sollte mal die Abhängigkeiten anpassen
[10:21] <drc> Ich vermute, der sinnvollste Weg ist ein neuer Bug mit der Bitte, die Abhängigkeiten anzupassen, und darin ein Verweis auf das bereits geschlossene Ticket
[10:21] <stegbth> ok, ich frage mal hoeflich ;) danke nochmals fuer den wertvollen Hinweis
[10:22] <drc> Gerne