我在云虚拟机上configuration了一个小型networking。 这个虚拟机有一个分配给eth0接口的静态IP地址,我将叫$ EXTIP。 mydomain.com指向$ EXTIP。 里面,我有一些Linux容器,通过在子网10.0.0.0/24(我称为虚拟接口nat )通过DHCP获得他们的IP。 他们运行一些可以通过DNAT达到的服务。 然后我想通过IPSec隧道连接到这些容器,所以我configuration了StrongSwan。 ipsec.conf文件: conn %default dpdaction=none rekey=no conn remote keyexchange=ikev2 ike=######## left=[$EXTIP] leftsubnet=10.0.1.0/24,10.0.0.0/24 leftauth=pubkey lefthostaccess=yes leftcert=########.pem leftfirewall=yes leftid="#########" right=%any rightsourceip=10.0.1.0/24 rightauth=######## rightid=%any rightsendcert=never eap_identity=%any auto=add type=tunnel 一切工作正常,IPSec客户端获得10.0.1.0/24子网的IP,并可以到达容器子网。 我的问题是,我无法通过隧道获得SSH连接。 它根本不工作,SSH客户端不会产生任何输出。 用tcpdump嗅探给出: tcpdump的: 09:50:29.648206 ARP, Request who-has 10.0.0.1 tell mydomain.com, length 28 09:50:29.648246 ARP, Reply 10.0.0.1 is-at 00:ff:aa:00:00:01 (oui Unknown), […]
我在两个ADSL连接(8Mb下行,512Kb上行)和一个10Mb EFM连接(10Mb上行和下行)的主办公室之间build立了VPN连接。 VPN是一个IPSec连接,使用ADSL的DrayTek 2930路由器和EFM的DrayTek 3200路由器。 然而,我无法从这个连接(通过iperftesting)中获得超过600Kb左右的速度(总stream量几乎总是从主办公室到远程办公室) 虽然我意识到有一个开销,我永远不会得到通过这个VPN的“全”带宽,我想认为有一些我应该看看,可能有助于改善它。 我已经尝试过使用DrayTek内置的“VPN Trunking”function,这些function应该负载平衡连接,但这似乎并没有改善太多。 我想我的问题是 – 这是我应该从这种设置期望的性能,我只能忍受它,或者我应该能够通过一些VPN的魔术挤出更多的东西呢?
我在CentOS(Amazon AMI)上使用racoon,ipsec-tools和xl2tpbuild立了一个L2TP / IPSec VPN。 我正在使用这个回购协议中的一个版本,因为它允许使用IPSec ID通配符(或者没有规定), 遵循本教程 。 我能够从Android(ICS)和iPad(iOS 5)连接到我的VPN,但是,由于691错误,我无法从Windows机器连接(尝试了几次)。 那么,我能做什么?
我正在尝试在我们的环境中的Web和应用程序服务器之间configurationIPSec。 我希望这两台服务器之间的所有stream量都使用IPsec并encryption。 这些服务器是在相同的域名,所以我目前使用Kerebos的安全性,我也尝试了预定义的键,没有任何改变。 当我在服务器之间尝试ping时,每次都得到“谈判IP安全性”。 我也证实,当我将“要求安全性”更改为“允许”时,IPSec正在运行,所以我相信它与我的安全设置有关。 在安全选项卡下,两台服务器都有默认的3DES密钥,然后是DES密钥。 我还指定了隧道端点(备用服务器的IP)。 我错过了什么? 谢谢你的帮助..
在Linux上,可以创build一个手动IPSec(无IKE等)隧道: spdadd 192.168.0.10/32[5066] 192.168.0.11/32[5064] udp -P in ipsec esp/transport//require; add 192.168.0.10 192.168.0.11 esp 2222 -m transport -E des-ede3-cbc "123456789012123456789012" -A hmac-md5 "1234567890123456"; 我需要在Windows上做同样的事情。 我知道netsh, 但我不认为它相当于,我需要具体的SPI(这就是2222以上),这似乎是不可能的。 任何想法或替代? 谢谢, 斯图尔特。
我一直在试图build立一个路由器和我的Windows XP盒之间的IPsec隧道。 路由器是192.168.254.30,XP机器是192.168.254.128。 但是,我似乎无法得到隧道的工作。 我已经设置隧道来应用ICMP,并且ping不在任何一方工作。 在Windows端,我可以看到它被应用,因为我得到了“谈判IP安全”。 IOSconfiguration : ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname VPN_TEST ! boot-start-marker boot-end-marker ! logging buffered 4096 debugging no logging console enable secret 5 $1$3p0B$h21M/3z9dR0n3gnJPWjBm/ enable password test1 ! aaa new-model ! ! aaa authentication ppp default group […]
有一些IP数据logging器(测量温度,湿度,光照水平)坐在一堆仓库/商店内,每个仓库/商店都不同于我的观点。 这些数据logging器通过通道清晰的HTTP(基本authentication)提供信息。 另外,我的服务器(通过HTTP再次发送命令)到数据logging器,重新启动,进行固件升级等。我今天assembly的方式是在private-192.168.XX范围内分配IP地址,每个与一个唯一的TCP端口#和ADSL路由器做端口映射,使这些可见我的服务器轮询这些数据logging器(在每个站点)每5分钟,下载base64编码的数据。 数据logging器不能进行软件升级(我无法控制它们),但是我会以某种方式确保信息从ADSL路由器到我的服务器的stream动。 今天,这样的客户数量不多,可以pipe理,但是我想扩大规模,寻找一个可以很好扩展的解决scheme,为我提供必要的安全保障,并且具有成本效益。 我对这里的'安全'的期望是: – 没有冒险/窥探 – 没有中间人 – 没有篡改 – 没有欺骗假设我的主要兴趣在于确保我的服务器和ADSL路由器是安全的。 在仓库里面,我并不担心。 在ADSL路由器上,我有了防火墙,并且在数据logging器和创build的映射对应的特定端口上插入了明显的漏洞。 VPN可以成为答案吗? 什么是一些替代品,陷阱,陷坑等 欣赏解释,指针,build议等 TIA,〜i ++
我正在安装NSClient ++,因此我们的Nagios系统可以使用NRPE监视一些Windows服务器。 我需要在我们的IPSec策略中打一个漏洞,以允许从Nagios服务器端口5666的入站连接。 我发现Windows IPSec IPfilter有点直观有时(IP表是我的包),所以我想知道是否社区的某个人可以确认下面的add filter命令实际上configuration了以下规则: 规则: 允许从远程主机172.16.3.200到端口5666的入站连接 这些是我使用的netsh命令: netsh ipsec static add filter filterlist =“NAGIOS NSClient” srcaddr = 172.16.3.200 srcport = 0 dstaddr = ME dstport = 5666 镜像=是 描述=“入站” 协议= TCP 然后我使用以下命令将其添加到现有的IPSec策略规则中: netsh ipsec静态添加规则名称= NAGIOS filterlist =“NAGIOS NSClient” filteraction =许可证 政策= CorePolicy 我做了testing,试图从两台不同的机器连接到这个Windows服务器,规则似乎工作,但为了我自己的理智,这将是很好的人有一个专家的眼睛,以防万一。
我试图通过DSL互联网连接到我公司的思科IPSEC VPN。 我设法成功连接使用思科VPN客户端,现在我试图切换到OSX 10.6本地客户端,由于许可问题。 问题是连接失败,并显示一个包含消息的对话框: The negotiation with the VPN server failed. Verify the server address and try reconnecting. 我检查了日志: Jun 29 13:10:39 racoon[4551]: Connecting. Jun 29 13:10:39 racoon[4551]: IKE Packet: transmit success. (Initiator, Aggressive-Mode message 1). Jun 29 13:10:39 racoon[4551]: IKEv1 Phase1 AUTH: success. (Initiator, Aggressive-Mode Message 2). Jun 29 13:10:39 racoon[4551]: IKE Packet: […]
我有一台运行Ubuntu和Openswan的服务器,但是我无法连接到远程防火墙。 我希望有人能帮助我。 我的ipsec.conf文件如下: config setup protostack=netkey nat_traversal=yes nhelpers=0 plutodebug=all conn zyxel type=tunnel authby=secret left=*.*.*.* #min ip leftsubnet=*.*.*.*/* #mitt subnet leftid=@*** #brukernavn right=*.*.*.* #brannmurens ip rightsubnet=*.*.*.*/* #brannmurens subnet auth=esp ike=des-md5 esp=des-sha1 pfs=yes aggrmode=yes 我通过运行这些命令来启动openswan: /etc/init.d/ipsec start ipsec auto –add zyxel ipsec whack –name zyxel –initiate 没有什么显示在我的terminal,但是当我尾巴/var/log/auth.log我得到以下错误: Aug 11 11:43:49 ole-VirtualBox pluto[28572]: | returning new proposal from […]