我将在位置A有两台思科路由器为相同的内部networking提供服务,并在位置B提供一台路由器。 目前,我在每个位置都有一台路由器,使用IPSec站点间隧道连接它们。 它看起来像这样: 地点A: crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location B set peer 12.12.12.12 set transform-set ESP-3DES-SHA match address internal-ips 地点B: crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location A set peer 11.11.11.11 set transform-set ESP-3DES-SHA match address internal-ips 我可以通过在位置B简单添加另一个同位体来实现故障转移吗? 位置A(新的第二个路由器,在以前的路由器configuration保持不变): crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location B […]
我正在使用雪豹,不能ping或SSH到主机,但我能挖: 挖some.value.host.com 当IP地址回到答案部分时,我可以通过IP地址(ssh [email protected])ssh。 以前(> 1个星期前),这工作得很好,我可以在ssh中。 所有这些都是通过VPN进行的。 由于在VPN上,我对如何弄清楚发生了什么感到有点不知所措。 关于下一步要弄清楚发生了什么的任何想法? 答案/进一步Clafication: 你使用拆分DNS? (我的猜测是否定) – 不 另一方面的DNS服务器是否设置为parsing任何域的DNS查询或者只有它自己的? – 任何查询 你能够到达VPN另一端的DNS服务器吗? – 是的 你是隧道所有的IPstream量还是只有特定的stream量? – 看起来像所有的IPstream量 所以,我正在使用Cisco AnyConnect VPN。 我假设这是当你说接口的DNS工具工作,这是为什么我能挖掘west.domain.com主机,但不是SSH到它。 我猜我只是不明白这个级别的隧道是如何工作来解决这个问题的。 我同意你说的大部分内容。 我不知道如何控制“隧道stream量”问题。 它看起来像所有的IPstream量正在通过那里连接。 关于/ etc / hosts文件,这个主机不在那里。
生成Cisco VPN .pcf文件以便分发给最终用户的最有效方法是什么? 这适用于ASA 5500系列防火墙。 来自Mac工作站,我不再有权访问工作的Cisco VPN客户端。 这可以在客户端软件之外完成吗?
我有一个使用证书authentication提供IPsec VPN服务的ASA(没有xauth,只是证书)。 它与思科IPsec VPN客户端完美配合。 现在我试图让iPhone连接。 我已经使用iPCU在configuration文件中安装了CA证书和客户端证书以及VPNconfiguration。 然后连接出现错误“无法validation服务器证书”。 此外,ASAlogging错误“接收到带有无效负载的encryptionOakley信息包”。 FWIW,在尝试使用Snow Leopard IPsec客户端连接时收到相同的无效负载错误。 有没有人成功获得iPhone IPsec客户端使用证书身份validation?
我们有一个Cisco ASA 5510路由器,并试图让几个用户设置VPN访问。 他们在家中运行Windows 7 x64,无法安装我们的路由器的VPN客户端(它只能在32位Windows上运行)。 我知道有Cisco AnyConnect,但是我很好奇Windows 7中的内置VPN是否可以与Cisco ASA 5510配合使用。如果是这样,任何人都可以指出我需要在Windows 7 VPN中设置什么设置为了它的工作。 谢谢。
我在同一地点使用Cisco ASA 5505 50用户防火墙。 在这个位置的系统正在监测附加的远程站点(也运行Pix或ASA设备),我已经build立了站点到站点的隧道,但是在当前的许可scheme下已经达到了硬件限制。 ASA 5505型号仅限于10个IPsec隧道。 我很好奇我的select。 理想情况下,我想能够处理15-20个连接。 从研究来看,我似乎可以添加一个额外的Security Plus许可证,以扩展到25个VPN隧道。 另一种select似乎正在转向思科ASA 5510。 鉴于我在科罗拉多有less量的系统,正在转移到ASA 5510只是为了获得额外的VPNfunction矫枉过正? 将ASA 5505升级到25-VPN选项有什么缺点(硬件/性能等)? 还有其他的select我错过了吗?
我们使用Cisco ASA 5505作为我们networking上的防火墙和IPSec VPN端点。 我们使用拆分隧道来减less我们的互联网链接上的负载。 换句话说,当某人连接到VPN时,他们的DNS查询将通过我们的内部DNS服务器,并且通过隧道发送parsing为10.0.0.0/8的主机的所有stream量。 其他stream量通过其本地互联网网关发送。 这对IPv4stream量很有效。 我现在已经推出了IPv6连接(一个SixXS 6in4隧道)到局域网上的所有服务器和桌面。 我们的用户数量(有希望增长)在家里有自己的IPv6连接。 当我将内部服务器的IPv6地址添加到我们的内部Bind9 DNS时,一些外部用户无法正常连接到内部服务器。 我假设他们从我们的DNS及其应用程序获得AAAAlogging,并且具有对AAAA地址的偏好,试图通过IPv6直接连接到服务器,而不是使用IPSec隧道。 他们遇到我们的防火墙,最终超时并通过IPv4连接。 作为回应,我从DNS中删除了AAAAlogging。 根据这个论坛post ,Cisco IPSec客户端不支持IPv6,所以我不得不花费昂贵的升级到AnyConnect。 我想到的解决方法: 为LAN主机提供AAAAlogging的裂脑DNS,只有Alogging到VPN客户端。 VPN客户端在特定的IPv4范围内,但不知道如何设置裂脑DNS。 简单地不在内部DNS提供AAAAlogging。 这将限制我们的IPv6使用从内部客户端连接到发布AAAAlogging的互联网服务器。 内部stream量将保持IPv4。 请问您的想法? 有没有一种解决scheme可以让我继续使用IPSec VPN,还可以在服务器上通告IPv6?
我有一个Cisco 877路由器,它使用ADSL线路,单个公共IP地址和NAT将我的networking连接到Internet; IOS版本是15。 一切正常,但我想configuration此路由器是一个VPN服务器,能够从外部连接到networking。 我试过寻找文档,但是我能find的所有东西都与877充当VPN 客户端 ,或者站点到站点的VPN有关; 我找不到任何有关让单个远程计算机访问内部networking的事情,这是我可以使用Windows的RRAS或ISA Server轻松完成的。 Cisco 877可以作为远程客户端计算机的VPN服务器吗? (看起来应该,但只是为了…) 它支持哪种types的VPN? 他们是否需要在客户端计算机上安装一些特殊的软件,或者是否可以使用标准的开箱即用的Windows计算机? 最后,如何设置这个? 编辑: 我知道877是SOHO路由器,并不是VPN服务器的最佳select, 但是这是我的家庭networking,我只有一台电脑(现在),我是唯一的用户。 我绝对不会购买企业级路由器,只是为了能够在工作时接触到我的电脑:-p 编辑2: 我真的坚持这一点,经过很多testing,我从来没有得到它的工作。 我为这个问题增加了一个奖励,这个奖励将被授予一个完全可行的解决scheme (而不是一些指向隐藏的思科文档或无关情景的指针)。 为了让人们帮助,这里是我目前的路由器configuration(剥夺了不相关的和私人的细节)。 让我们希望有人终于可以帮助我做到这一点。 要点: 四个以太网接口全部分配给VLAN 1。 内部networking是192.168.42.0/24,路由器的IP地址是192.168.42.1。 外部IP地址由ISP提供; 它是一个公共和静态的,完全可路由的。 NAT(当然)启用。 ADSL连接工作正常。 路由器是内部networking的DNS服务器,将查询转发给ISP的DNS。 networking中没有DHCP服务器。 有一个特权级别为15的单个用户帐户。 我想要的是: 路由器充当VPN服务器,使外部客户端能够访问内部networking。 L2TP将是首选,但即使是PPTP也可以。 如果可能的话,我希望这可以与Windows内置的VPN客户端(支持PPTP和L2TP)协同工作。 我不想在外部计算机上安装Cisco VPN客户端或类似的东西,以便他们能够连接。 这是configuration: version 15.0 service password-encryption hostname Cisco877 aaa new-model aaa authentication login default […]
我是一名开发人员,没有太多networking专业知识,所以请耐心等待。 我正在使用Cisco VPN Client 5.0.02.0090连接到我工作的VPN,这样我可以将RDP连接到我的工作计算机上。 一旦连接,一旦连接到VPN,我就无法在本地networking上ping任何东西,因此我无法访问我工作的networking。 这个习惯在两个星期前工作,但今天突然停止工作。 但是,我在我的笔记本电脑上安装了Cisco VPN客户端,并且可以从那里将PDP和RDP安装到我的工作计算机中。 我的台式机和笔记本电脑都连接到家里的同一台路由器。 到目前为止,我尝试了以下方法: 重新启动我的电脑 重新安装VPN客户端 更新的NIC驱动程序 禁用防火墙 打开了端口500,4500和10000 任何帮助将不胜感激。 谢谢!
在我们的办公室,我们正在运行一些运行Active Directory域的Windows服务器。 我们已经制定了一系列的安全策略,包括180天的密码过期策略。 该公司的每个人都有一台笔记本电脑join到域名,Win7和Macbook Pro(山狮或狮子)的组合。 每个用户的域名login用于login到他们的笔记本电脑以及一些企业资源,包括离开办公室时的Cisco VPN连接。 当到期date到来时,对于大多数用户来说这不是问题。 他们进入办公室,获取到期通知,并在login时或通过Win7或OS X的通常更改密码选项更改密码。 问题来自less数永远偏远的办公室用户。 特别是Mac用户。 我发现有几种方法可以让用户知道到期的密码(脚本+电子邮件,adpassmon等)。 问题是实际的密码更改。 Windows用户可以在VPN中,按Ctrl-Alt-Del,更改密码,一切都更新和罚款。 如果Mac VPN进入并尝试更改密码,他们只会得到“密码未被更改”的消息(“您的系统pipe理员可能不允许您更改密码或者您的密码有其他问题…”) 。 任何人都知道为什么,或者有这个解决scheme? 我知道我可以让用户VPN和远程桌面到另一台机器来更改他们的密码,但是这将对本地机器钥匙串以及sudo权限造成破坏,而这些权限在下次访问办公室时可能会变得更糟。 编辑:我应该澄清,其中一个问题似乎是,即使有一个活动的VPN连接,OS X似乎没有尝试与AD服务器进行通信/authentication(只是继续使用caching的凭据),即使密码更改已经尝试过了。 所以,即使通过外部方法(OWA,远程桌面,我手动重置)来更改密码,OS X机器也不会有更改的密码。 这将需要用户知道2个密码一段时间,以及一些可能与钥匙扣和sudo拧的权限。