我需要一些帮助,让我知道IPsec隧道的一些指示灯。 在这里我将解释我目前的设置。 站点A <——- IPSEC ——>站点B(HUB)<—— IPSEC ——>站点C 10.1.1.1/24 10.2.2.1/24 10.3.3.1/24 从站点A到站点B和站点B到站点C的隧道工作正常。 但是,站点A无法直接到达站点C,反之亦然。 在站点A阶段2条目:本地:LAN子网NAT / BINAT:无远程:networking(10.2.2.1/24) 在站点C阶段2条目:本地:LAN子网Nat / Binat:无远程:networking(10.2.2.1/24) 在站点B有2个IPSec隧道: 站点A阶段2条目:本地:LAN子网Nat:无远程:networking(10.1.1.1/24) 站点C阶段2条目:本地:LAN子网Nat:无远程:Networ(10.3.3.1/24) 注意:仅供参考,我们无法访问站点C.因此,只能在站点A和站点B进行任何调整。 请让我知道,如果你可能需要任何其他信息。 先谢谢你。
首先,这是一个纯粹假设的学术问题。 这不是为了一个真正的实现。 应该清楚的是,出于实际的原因,这只是矫枉过正。 假设我不信任自己的LAN对等体,因为有一个networking集线器(不是交换机),任何人都可以听我的以太网帧,或者有一个stream氓networkingpipe理员可能试图镜像我的以太网端口,或者因为我害怕WPA KRACK。 是否有可能以主机和路由器之间的stream量被encryption的方式来设置IPSec? 也就是说,主机会在将stream量发送给路由器之前对其进行encryption,然后路由器将对其进行解密,并定期将其转发给任何应该路由到的互联网主机。 我知道stream量可以在两台路由器之间进行encryption,形成一个站点到站点的VPN,或者在两台主机之间,或者在一台主机和一个远程站点之间。 但在所有这些情况下,都有一个特定的目标IP地址或IPSecconfiguration可以作为目标的路由器。 在通过默认网关路由stream量时,路由器的IP不起任何作用:远程主机的地址与网关的MAC地址一起使用。 所以我不明白是否有可能以这种方式设置IPSec。 但是,我知道有可能以另一种方式进行:对每个客户端使用一个/ 30,并将您的连接视为路由器路由表中虚拟LAN地址空间的典型“道路战士”,并将IPSec设置为为IPSec端点使用/ 30 IP。 或者可能使用PPTP,L2TP甚至PPPoE进行二层encryption。 我想知道,如果有可能有一个典型的/ 24主机可以使用Opportunistic Encryption互相交谈,但也有默认的网关stream量encryption。
是否可以在Cisco ASA(5510)和Windows 2003 Server之间build立一个ipsec站点到站点的VPN? (在Windows服务器上使用RRAS或类似软件) 后续的问题 – 如果这是可能的,任何人都可以指定我需要的资源与设置的详细信息?
我问在stackoverflow这个问题,并build议在这里尝试,所以在这里去… 我正计划在服务器场环境中configurationWeb服务器和数据库服务器。 他们将在同一个networking,但不在同一个域,两个Windows Server 2008和数据库服务器是SQL Server 2008.我的问题是什么是最好的方式来保护服务器之间的传输数据? 我已经看过IPSEC和SSL,但不知道如何去执行。
我正在build立从Westermo MRD310到我们公司Cisco ASA5510的IPSec连接。 我们已经使用这种方法进行了许多成功的设置,在远程位置和我们的内部networking之间创build了一个隧道networking。 这一次我试图通过GPRS速度networking来完成这个设置(这就是你在瑞典北部的路线)。 但它不会经过。 有没有人有关于在以下日志中失败的信息,或者有关于build立IPSec隧道的最低传输速率的信息。 此外,任何有关可以降低传输速率要求的信息将不胜感激。 我使用公共静态IP地址进行订阅,以避免NAT和地址更改。 然而,由于GPRS是发起人,静态IP不应该成为这个要求,对吗? <83>Jun 21 23:00:57 ipsec__plutorun: Starting Pluto subsystem… <27>Jun 21 23:00:57 ipsec_setup: …Openswan IPsec started <84>Jun 21 23:00:57 pluto[5860]: Starting Pluto (Openswan Version 2.4.12 PLUTO_SENDS_VENDORID PLUTO_USES_KEYRR; Vendor ID OEKBzdY{wM]@) <84>Jun 21 23:00:57 pluto[5860]: Setting NAT-Traversal port-4500 floating to on <84>Jun 21 23:00:57 pluto[5860]: port floating activation […]
我目前正在开发一个电子商务网站,我需要在专用Web服务器和控制股票,产品列表等的远程服务器之间build立一个VPN,这个服务器位于我的客户端基础设施中。 他们的技术限制是VPN必须是使用共享秘密(而不是基于证书的authentication)的IPSec,networking到networking。 他们给了我他们的公共网关IP和股票/产品服务器的本地私有IP。 就像任何开发者一样,我对这类主题有所了解,然后环顾四周,寻找教程,但是我觉得不知所措。 我发现大多数教程指出,我需要configurationWeb服务器的网关,或者生成证书。 但是,由于Web服务器是专用的,我不知道如何访问网关。 真的,我有点失落,就像networking/服务器pipe理海洋中的一个小小的开发者。 所以,请帮助! 那么,有人可以解释我如何设置这种VPN,以及我需要给我的客户的networkingpipe理员,从而挽救我的生命。 谢谢 !
我可能需要在hub-spokedevise中添加(启动)10个IPSec隧道,而为了在中央数据库服务器中收集数据,通信是单向的(spoke => hub)。 每个事务都很小,可能是10Kb的XML数据,每个小时发起可能是10-20个事务。 另外我应该注意到,我无法控制辐条networking, 所有的辐条都有一个静态的,可公开分配的IP地址; 所有的辐条实际上只是NAT防火墙的主机,需要将数据发送到中央数据库。 中央数据库位于NAT防火墙的后面,用于讨论,位于192.168.0.0/24子网上。 我最初的想法是IPSec隧道开销过大,因为我不得不考虑每个分支的networking拓扑(我不能控制),只要路由不提到维持所有这些IPSec隧道所需的硬件(尤其是如果它扩大到数百)。 然而,我被“敦促”走上IPSec隧道,因为它们是最“安全”的,但在我看来,我觉得IPSec对于大型可信networking,甚至大部分可信任的LAN到LAN通信在分支机构之间,特别是对networking拓扑结构有完全控制权的地方,但是对于一个非常狭窄的目的来说并不是那么多,而且(我认为)可以通过SSH隧道或SFTP批处理作业(或者可能是按需/移动VPN?)。 如果我必须去IPSec,我该如何处理路由? 我的意思是,如果我的中央数据库位于192.168.0.0/24子网上,并且发生了碰巧有相同的(或者另一个隧道在其他地方),我将如何能够解决这个问题? 每个“发送”主机上的静态路由可能工作,但是如果该主机需要访问其他地方的同一个子网呢? 如果不是IPSec,你会推荐什么来保护交易从同行到中央主机?
我不确定这是否是要求路由器/防火墙build议的正确位置。 我的要求如下: 支持IPSEC隧道(至less两个连接) WAN / LAN吞吐量接近100Mbit / s,VPN模式至less50Mbit / s 不应该吵,因为是家庭办公室 价格范围高达500美元 我有一些思科2600/3600和PIX 515E可用,但这些都是嘈杂,功耗相当多。 但他们会满足我的要求;)
我正在使用Linux(Debian)作为我的服务器平台,并且想要configuration以下内容: 远程用户可以连接到安全的VPN服务器,并使用其IP访问Internet,主要用于浏览和发送电子邮件。 我读了很多关于OpenS / WAN + L2PT和OpenVPN的内容,但是我仍然对如何configuration它感到困惑。 我更喜欢IPSec + PPTP / L2PT,因为Road Warrior不需要在iPhone / Windows7上安装任何额外的软件。 有没有一个很好的IPSec的方法,或者你会build议什么?
我pipe理好几个CentOS和Fedora VM,而且我们的设置已经足够复杂了,现在可以在单个后端虚拟机上移动多个资源,并将这些资源提供给我们的Web VM,QA VM,Dev VM等。我们相信我们虚拟机提供商,但我们不相信每个随机的陌生人可以在同一个子网上以每小时几美分的价格购买虚拟机。 我们需要encryption客户端服务器和后端服务器之间的stream量。 我们有足够的CPU空间,对称encryption没有问题,但是每个请求的SSL握手会增加太多的延迟,所以应用程序级的encryption是不可能的。 我们需要某种types的VPN,但有很多不同的方法可以做到这一点,许多有据可查的VPNconfiguration对于有人参与的客户端系统来说确实没有什么意义。 哪个Linux VPN软件包最适合这种用例? 我应该记住哪些与包无关的devise原则?