嗨,大家好,我已经在centos 7(内核3.10.0-514.16.1.el7.x86_64)上的l2tp / ipsec(Libreswan 3.15)服务器,问题是我不能从Android设备连接,但三星(三星vpn客户端是不同的) 。 正如我在日志中所看到的IPSEC进程成功完成,但l2tp进程无法启动。 我的理论是服务器无法解密ipsec包。 我将提供configuration文件。 /etc/ipsec.conf中 config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off protostack=netkey conn L2TP-PSK-NAT rightsubnet=vhost:%priv also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret pfs=no auto=add keyingtries=3 rekey=no ikelifetime=8h keylife=1h type=transport left=(my publicip) leftprotoport=17/1701 right=%any rightprotoport=17/%any dpddelay=10 dpdtimeout=90 dpdaction=clear /etc/xl2tpd/xl2tpd.conf [global] listen-addr = (my publicip) auth file = /etc/ppp/chap-secrets [lns default] ip range = 10.30.30.100-10.30.30.200 local […]
我有一个新的IPsec安装问题,在两个节点之间进行testing。 Eveery节点使用静态IP连接到互联网,日志显示了ipsec.secrets有什么问题,但我看不到在哪里。 节点A:具有公共IP的服务器 节点B服务器私有IP与外部NAT configuration/etc/ipsec.conf/usr/share/applications/thunderbird.desktop config setup charondebug="all" uniqueids=yes strictcrlpolicy=no conn %default conn ipsec-test left=MyPublicIPA leftid=MyPublicIPA leftsourceip=MyPublicIPA right=MyPublicIPB rightid=MyPublicIPB rightsubnet=10.0.1.0/24 ike=aes256-sha2_256-modp1024! esp=aes256-sha2_256! keyingtries=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=clear authby=secret auto=start keyexchange=ikev2 type=tunnel /etc/ipsec.secrets MyPublicIPA MyPublicIPB : PSK "test1234" 日志: Jul 13 15:30:06 vpnserver2 charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.2.1, Linux 3.16.0-4-amd64, x86_64) Jul […]
我们有一个网站到现场vpn连接到分支机构。 偶尔连接会因为某种原因而下降,然后我们会在Fortigate 310b上收到这样的错误 ike Negotiate ISAKMP SA Error: ike 3:20b27f143b809b23/0000000000000000:0: no SA proposal chosen 重新build立连接是一个艰难的过程,我只能通过尝试和错误来进行pipe理。 我现在的问题是,我怎样才能进一步debugging呢? 我知道cli命令 diag debug application ike -1 diag debug enable 这给了我上面提到的错误。 但是,这个错误似乎是由于多种原因而引发的,我无法弄清楚究竟是哪一个。 我们已经在这些问题上浪费了很多时间,我需要学习如何debugging和解决这些问题,否则我会迷路。 任何帮助不胜感激。
我安装了一个VPN网关连接使用IPsec与其他虚拟机使用互联网。 在我的情况下,我在另一边使用Debian,似乎如何连接使用strongswan。 我惊讶的是检查stream量的日志,因为在azure色的一面没有stream量数据。 检查对方的日志只出现这个: Jul 19 16:47:16 vpnserver2 charon: 01[ENC] generating INFORMATIONAL response 1000 [ ] Jul 19 16:47:16 vpnserver2 charon: 01[NET] sending packet: from MypublicIPA[4500] to MypublicIPB[4500] (80 bytes) Jul 19 16:47:18 vpnserver2 charon: 14[NET] received packet: from MypublicIPB[4500] to MypublicIPA[4500] (80 bytes) Jul 19 16:47:18 vpnserver2 charon: 14[ENC] parsed INFORMATIONAL request 1001 [ […]
我正在使用带有预共享密钥的l2tp–ipsec vpn来连接我的工作环境。 我使用的ipsec实现来自libreswan。 我遵循IPsec_VPN_client_setup来设置连接。 sudo ipsec auto –add work 002 "work": deleting non-instance connection 002 added connection description "work" sudo ipsec auto –up work 002 "work" #1: initiating Main Mode 104 "work" #1: STATE_MAIN_I1: initiate 002 "work" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2 106 "work" #1: STATE_MAIN_I2: sent MI2, expecting MR2 010 "work" […]
我创build了一个L2TP / IPSec隧道,而且我正在努力使用路由,我无法SSH连接到远程networking中的一台机器。 我的本地系统是Debian buter(当前testing)。 这是我的本地networkgconfiguration; 接口ppp0是隧道接口。 #ip a 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether fc:aa:14:27:3a:bf brd ff:ff:ff:ff:ff:ff inet 192.168.1.13/24 brd 192.168.1.255 scope global dynamic enp1s0 valid_lft 71692sec preferred_lft 71692sec inet6 fe80::feaa:14ff:fe27:3abf/64 scope link valid_lft forever preferred_lft forever 14: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1410 qdisc pfifo_fast state UNKNOWN […]
我有一个工作隧道。 软件包从右到左被正确路由(思科端可以到达我的服务器)。 这是所有的信息。 任何帮助,比欢迎。 networking图 +———————–+ | machine #1 | +—————————–+ | | | Strongswan ipsec client | +————–+ +————–+ /—| eth0 192.168.100.88 | | Ubuntu 14.04 – aws ec2 |—| aws gw |———–| CISCO ASA |—- +———————–+ | |—| AAAA |———–| BBBB |— +———————–+ | eth0 172.31.9.78 | +————–+ +————–+ \— | machine #2 […]
我试图了解一个networking问题,其中有八个源地址在公网地址后面,并且正试图通过同一个两个端口上的IPSEC VPN隧道到达四个目标IP地址。 目标IP似乎位于两个单独的子网上。 Source addresses: 192.168.1.101 – .108 Destination addresses (and ports): 172.16.1.14, ports 1105, 1106 172.16.1.15, ports 1105, 1106 172.16.2.16, ports 1105, 1106 172.16.2.17, ports 1105, 1106 我最近注意到,所有八个源可以ping所有四个目的地; 只有一个源IP( 192.168.1.103 )可以成功连接到1105和1106端口上的172.16.2.16 。 所有其他来源不能。 从源IP运行tcptraceroute也有点奇怪。 从可以成功连接的IP: #nc -v 172.16.2.16 1105 Ncat: Version 6.40 ( http://nmap.org/ncat ) Ncat: Connected to 172.16.2.16:1105. #tcptraceroute 172.16.2.16 1105 traceroute to […]
我们的主机之一负责使用以下configuration创buildIPsec隧道: conn abc authby=secret auth=esp auto=start type=tunnel forceencaps=no left=%defaultroute leftid=52.50.100.70 leftnexthop=%defaultroute leftsourceip=10.203.0.153 right=89.110.203.12 rightsubnet=89.110.203.128/26 rightnexthop=%defaultroute ike=aes128-sha1;modp1024! phase2alg=aes128-sha1;modp1024 ikelifetime=28800s pfs=yes salifetime=3600s keyexchange=ike 问题是,我们有3个应用程序通过安装在主机内部的通道进行通讯。 我们的目标是将它们取出并安装在不同的主机上。 为了达到这个目的,我想创build一个使用iptables的端口映射来把那个主机的端口映射到另一端的主机。 我做了我的研究,并尝试使用以下命令: iptables -t nat -A PREROUTING -p tcp –dport 9999 -j DNAT –to-destination 89.110.203.148:2775 iptables -t nat -A POSTROUTING -p tcp -d 89.110.203.148 –dport 2775 -j SNAT –to-source 172.31.22.88 但没有运气。 虽然他们工作,当我testing它没有ipsec隧道(只是转发端口从一个主机到另一个)。 […]
我有一个Strongswan IKEv2 VPN,我使用eap-mschapv2作为权限validation。 只要我使用ipsec.secrets文件存储用户凭据,它工作正常。 # ipsec.secrets file : RSA vpn-server-key.pem arav %any : EAP "accessit" 但是我想改变它来将这些秘密存储在MySQL数据库中。 我连接了sql.conf文件中的mysql数据库,我只是想知道如何在MySQL表中插入这些用户凭据。 在参考本指南: https : //wiki.strongswan.org/projects/strongswan/wiki/SQLite 它不以纯文本存储秘密,但它使用任何forms的encryption来做到这一点。 谁能告诉我该怎么做? 任何帮助将不胜感激