我想build立一个roadwarrior IPSec网关,通过我的服务器安全地路由stream量。 为此,我打算使用racooon和debian linux。 我有一个单核内核(无内核模块!)的VPS,因为我需要一个内部NATnetworking的VPn工作,我需要一些方法来添加一个虚拟接口的内核。 问题是,我怎么能看到dummy.ko是否在内核内,如果是,我该如何激活它? modprobe虚拟不会。 VPS似乎在OpenVZ下运行,内核来自Redhat EL5。 这是不可能的吗? 如果还有其他好的解决scheme来完成这个roadwarrior设置,他们将不胜感激。
我有以下configuration, R1: crypto keyring KR pre-shared-key address 1.1.1.2 key cisco ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp profile PROFILE keyring KR match identity address 1.1.1.2 255.255.255.255 ! ! crypto ipsec transform-set TRANSFORM_SET esp-3des esp-sha-hmac ! crypto map MAP 10 ipsec-isakmp set peer 1.1.1.2 set transform-set TRANSFORM_SET set isakmp-profile PROFILE […]
我对安装和configurationVPN连接并不熟悉,但我需要将我们的Web服务器(CentOS 6)连接到Cisco 3945.以下是我从Cisco设备获得的信息: VPN Device Tunnel Endpoint IP Address: 91.151.ab Host(s): IP address(es) to be accessed (Public IP address required): 91.151.cd Phase 1 & 2 Encryption Type: 3DES/SHA1 VPN scheme: IKE Phase 1 encryptin algorithm: 3DES Phase 1 hash algorithm: Secure Hash Standard Phase 1 authentication method: Pre-Shared Key Phase 1 algorithm: Diffie-Hellman Group 2 […]
拿走'authentication'部分,只是谈论encryption部分! (authentication是一个不同的问题。) 例如:与http://ipv6.google.com的连接可以通过HTTPS进行encryption,如下所示: https : //ipv6.google.com/ (如果您没有IPv6,则可以尝试IPv4: https:// www .google.com ) 是否有可能编程Web服务器以及浏览器,以支持例如 http-over-ipsec://ipv6.google.com 作为更好和更安全的更换https?
在组策略中使用“Active Directory上的IP安全策略”设置是一种最佳实践? 我最近创build了一个新的GPO,并分配了“服务器(请求安全)”策略。 几乎立即我看到SA开始出现在我的文件服务器上。 这似乎太容易了,不要使用它。 这有什么缺点吗? 每个人都已经这样做了,我从来没有得到这个备忘录吗?
我刚刚在家里用IKEv2设置了VPN服务器。 一切工作正常,但是当我从Windows 10客户端连接到VPN的问题,我有我连接到VPN的networking的外部IP。 例如我的家庭服务器有内部IP – 193.30.30.30我已经连接到networking – 46.42.24.33从Windows客户端我检查我的IP连接到VPN时,例如使用在线服务https://www.whatismyip.com /和它显示46.42.24.33,而不是我的家庭服务器。 但VPN工作正常,我可以访问本地networking资源。 最有趣的是从MacOS和Android的家庭服务器IP显示。 这是我的/etc/ipsec.conf # Uncomment to allow few simultaneous connections with one user account. # By default only one active connection per user allowed. # uniqueids=no # Increase debug level # charondebug = ike 3, cfg 3 conn %default # More advanced ciphers. Uncomment if you […]
我正尝试在客户端站点的Ubuntu StrongSwan(在Azure中)和Cisco ASA之间创buildS2S VPN。 目前使用ikev1(思科将不会支持v2几个月),而且它似乎陷入了产生一个思科从不回应的交易。 思科configuration crypto map outside_map 56 match address xodia_56_cryptomap crypto map outside_map 56 set pfs crypto map outside_map 56 set peer 23.99.58.75 crypto map outside_map 56 set transform-set ESP-AES-256-SHA crypto map outside_map 56 set nat-t-disable tunnel-group 23.99.58.75 type ipsec-l2l tunnel-group 23.99.58.75 ipsec-attributes pre-shared-key ***** network-object host 10.110.120.10 network-object host 10.110.121.10 access-list […]
我们的开发人员正在开发应用程序,我们需要频繁地将less量数据分发到可能dynamic变化的多个位置(服务器可能会频繁地join和离开)。 某些服务器位于AWS,DO等云提供商,其中一些是IDC中的HW。 我一直负责find一个合理的解决scheme。 我在考虑是否可以在IPSec VPN之上创build一个子网(使用openswan / libreswan)。 我知道我可以在通过VPN连接的不同子网之间build立路由,但是这是一个手动工作。 鉴于这些服务器经常来来往往是很难做到。 所以我想知道是否有可能利用VPN设置(最好是IPSec,或者可能是OpenVPN)将这些服务器组织成具有自己的子网范围的单个“虚拟LAN”,并且能够连接在该子网内的IP(并且还可能使用广播地址?)。
我相信这其实很简单,但是找不到解决的办法: 我有两个站点到站点的IPSEC VPN隧道:站点A和B之间以及站点B和C之间 在站点A: – 专用networking是192.168.10.0/24 – VPN服务器/客户端是思科的cabelmodel 在站点B: – 专用networking是192.168.25.0/24 – VPN服务器/客户端是Ubuntu顶部的Racoon 在站点C: – 专用networking是192.168.40.0/24 – VPN服务器/客户端是思科的cabelmodel 我能够从站点A和站点C到达站点B.如果我在站点B的networking上login到“路由器机器”,我可以到达站点A和站点C. 在192.168.25.0networking(站点A)的“vpn服务器”机器上,我的IP地址是192.168.25.100,我在路由表中定义为“网关”,从那台机器到192.168.10.0/24和192.168.40.0/24networking。 192.168.25.100地址可从192.168.10.0(站点A)以及从192.168.40.0(站点C)networking到达。 现在的问题是:即使我能够从站点A和C的networking达到192.168.25.100,我也无法从networkingC到达networkingA.我知道,我可以简单地创build新的VPN通道,直接在思科调制解调器之间网站A和C,但我想学习使用路由。 我试过在C站点的networking上添加新的路由规则,将192.168.25.100路由192.168.10.0到192.168.40.0,但是这样的路由命令不起作用。 那么我做错了什么,如何使它工作? 我感谢你的时间和帮助!
我使用eap-mschapv2作为身份validation方法。 它需要在ipsec.secrets存储纯文本密码。 即我有这样的密码: user : EAP "mypassword" 我想用这样的东西: user : EAP "34819d7beeabb9260a5c854bc85b3e44" 是否有可能改变身份validation方法,以便我只在服务器上存储散列,客户端将能够通过纯文本密码进行身份validation?