我正在使用strongSwan在Amazon EC2实例上的Linux实例和通过其思科集中器的远程networking之间build立一个VPN。 我需要将来自Linux实例本身的数据包路由到远程子网中的一台机器。 连接build立成功,但没有数据包被路由。 我想我需要设置一些特定的路由规则,我该怎么做呢? 软件 Linux内核3.5.0-41, Ubuntu 12.10, strongSwan 5.1.1(从源码build立) iptables – 没有规则。 networking 本地 亚马逊弹性IP:56.xxx 面向公众的IP:172.xxx 本地虚拟子网:10.254.0.0/16 本地虚拟IP:10.254.5.174 远程 思科集中器的公网IP:62.xxx 远程子网:10.192.0.0/12 组态 ipsec.conf文件 config setup conn %default keyexchange = ikev1 type = tunnel ikelifetime = 86400 keylife = 28800 keyingtries = %forever esp = 3des-sha ike = 3des-md5-modp1024 forceencaps = yes leftauth = […]
当谈到思科的东西时,我有点白痴。 我通常可以找出大多数防火墙,并了解networking掩码,IP地址,DMZ,NAT等等。但由于某些原因,我只是没有获得思科ASA。 CLI和ASDM。 长话短说,我正在寻找一个好的网站或某人,可以提供给我一个基本的configuration文件与评论,所以我可以理解它。 是的,我已经尝试过RTFM。 非常感谢大家。
我正在对作为故障转移群集一部分的备用Cisco ASA 5508-X防火墙执行维护。 重新加载后,我注意到集群状态在单元恢复之后很长时间没有成功。 我有数据中心工作人员连接串行控制台,并在重新启动循环中收到以下内容: Attempt autoboot: "boot disk0:" media drive disk0: not present boot: cannot determine first file name on device "disk0:" autoboot: All boot attempts have failed. 这对我来说绝对是新的,因为我已经习惯了旧的ASA 5505和5510防火墙的低故障率。 本机是故障转移设备,没有当前的SmartNet。 但是,从这种types的故障中恢复的最好方法是什么? 服务目前没有受到影响,但我找不到任何简单的程序。
我们的networking有一个专用的VPN设备,位于办公室networking内部。 我们有一个Cisco ASA,具有将VPN子网路由到VPN设备的静态路由。 因此,从客户端到远程站点( 192.168.161.28 -> 192.168.101.28 )的典型请求是: 客户端ASA本地VPN远程VPN远程服务器 192.168.161.28→192.168.161.17→192.168.161.10→192.168.101.1→192.168.101.28 通过此路由,192.168.101.1的远程VPN端点上的防火墙拒绝3路TCP握手: Status: A TCP packet was rejected because it has an invalid sequence number or an invalid acknowledgement number 但是,如果我绕过ASA(直接在客户机上使用静态路由): 客户端本地VPN远程VPN远程服务器 192.168.161.28 – > 192.168.161.10 – > 192.168.101.1 – > 192.168.101.28 TCPstream是正确的握手,一切都是顺利的航行。 它会是什么? ASA上有没有一些检查规则可以打破这个规定? 我怀疑这是因为stream量返回路由不同于发送路由(即数据包将直接从VPN端点到客户端,而不是通过ASA,因为它们在同一个LAN上)。
我有三个地点,多伦多(1.1.1.1),密西沙加(2.2.2.2)和旧金山(3.3.3.3)。 所有这三个站点都具有ASA 5520.所有站点通过两个站点到站点之间的每个其他站点的VPN链接连接在一起。 我的问题是多伦多和旧金山之间的隧道非常不稳定,每40分钟降低到60分钟。 多伦多和密西沙加之间的隧道(configuration相同)是没有问题的。 我也注意到,我的ping但是ASA认为隧道还在运行。 这里是隧道的configuration。 多伦多(1.1.1.1) crypto map Outside_map 1 match address Outside_cryptomap crypto map Outside_map 1 set peer 3.3.3.3 crypto map Outside_map 1 set ikev1 transform-set ESP-AES-256-MD5 ESP-AES-256-SHA crypto map Outside_map 1 set ikev2 ipsec-proposal AES256 group-policy GroupPolicy_3.3.3.3 internal group-policy GroupPolicy_3.3.3.3 attributes vpn-idle-timeout none vpn-tunnel-protocol ikev1 ikev2 tunnel-group 3.3.3.3 type ipsec-l2l tunnel-group […]
我们正在尝试configuration我们的思科5505,并已通过ASDM完成。 有一个大问题是我们无法解决的,那就是当你从内到外再回来的时候。 例如,我们有一个“内部”的服务器,如果我们在内部或者在外部,我们希望能够使用相同的地址访问这个服务器。 问题是增加一个规则,将允许从内部到外部的stream量,然后再回来。