我想build立一个Ubuntu VPN服务器。 我的系统正在运行Ubuntu Server 12.10。 IPSec(openswan)运行正常,但在我的WinXP客户端,我只能连接到域的VPN。 (MS-CHAP-V2) 我的目标是通过EAP-Certificate身份validation连接到VPN-Server。 (=在客户端使用用户证书,而不是用户名/密码的组合) 我已经为PPP应用了EAP-TLS-Patch,但是它并没有为我工作。 我该如何解决这个问题? 任何帮助表示赞赏。
我试图在两台机器之间创build一个IPSEC隧道( 不是在两个networking之间)。 使用ipsec-tools,TUNNEL模式。 我想我可以应付所有这些add和spdadd ,但如何创buildIPSEC隧道的虚拟networking接口? 我想要一些服务在该虚拟接口上监听(并发起连接)(就像所有其他devise的VPN一样)。 我想我应该做一些像ifconfig <something> 10.1.1.1 up类的ifconfig <something> 10.1.1.1 up …然后我的服务将监听10.1.1.1,另一台机器将使用10.1.1.2,并使用该接口进行连接。 IPSEC将采取包裹,封装等等。 理智的IPSEC文件是我无法find的东西,经过这么多的试验和错误,我即将放弃。
我们需要通过IPSec VPN连接到客户端的局域网,而我们的路由器不支持IPSec隧道。 我们find一个软件IPSec VPN客户端(ShrewSoft),它允许我们从一台计算机连接。 我的问题是如何configuration这台计算机充当客户端局域网的网关。 这甚至有可能吗? 我不是networking专家,但在我看来,在我们的局域网中的计算机上为客户端子网设置静态路由,以将上述计算机(使用VPN客户端)作为网关将导致到客户端的所有stream量转到网关电脑。 问题是如何configuration网关接受这个stream量,并通过IPSec隧道发送(它已经为本地发起的stream量)。 顺便说一句,这些都是Windows机器。 希望我的解释有意义。 有任何想法吗?
我在设置一个非常简单的VPN时遇到了很大的麻烦。 使用Centos 6。 我的服务器地址:61.34.26.32(虚构) 每当我尝试连接(从iPhone5或MacOS X)我得到连接超时。 我还没有在Windows上尝试,但至less应该在Mac上工作,以满足我的需求。 我正在拉我的头发! 已经花了4个多小时,一定在这里错过了一些非常明显的东西,但不知道是什么。 这是我的错误日志: Jan 21 16:15:25 isis pluto[9793]: packet from 178.197.232.17:229: received Vendor ID payload [RFC 3947] method set to=109 Jan 21 16:15:25 isis pluto[9793]: packet from 178.197.232.17:229: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike] method set to=110 Jan 21 16:15:25 isis pluto[9793]: packet from 178.197.232.17:229: ignoring unknown Vendor ID […]
我已经使用PSKconfiguration了带有IPSec / L2TP的MS Server 2003 RRAS。 iPhone设备连接正常,但Android设备无法连接。 MS“Oakley”跟踪文件显示苹果和Android的谈判遵循类似的path,直到隧道连接大部分完成,然后我看到: 2-06: 17:15:24:788:c98 Sending: SA = 0x0014B770 to XXX.XXX.90.176:Type 4.4500 2-06: 17:15:24:788:c98 ISAKMP Header: (V1.0), len = 76 2-06: 17:15:24:788:c98 I-COOKIE 05ba0fca40358ea5 2-06: 17:15:24:788:c98 R-COOKIE 249f8fb9b53208ed 2-06: 17:15:24:788:c98 exchange: Oakley Quick Mode 2-06: 17:15:24:788:c98 flags: 3 ( encrypted commit ) 2-06: 17:15:24:788:c98 next payload: HASH 2-06: 17:15:24:788:c98 message […]
Windows 7似乎忽略RFC 2407中描述的IPsec INITIAL-CONTACT通知。是否有一个设置来使其处理消息? 当Windows收到通知时,应该删除与发件人的安全关联,并重新协商阶段2。
我有一些像这样的线路VPN的日志: Ignoring Vendor ID payload [4a131c8107035845…] 我可以在那里使用hex代码来确定什么样的硬件试图build立一个VPN与我的硬件? 如果是这样的话,我在哪里可以find可能的供应商ID列表(我找不到一个使用谷歌…)。
我不知道这是否可以做,但我反正问。 假设我有一台装有OpenSwan和xl2ptd的Ubuntu机器来处理传入的VPN连接。 现在,我需要做的就是强制每个用户在开始导航之前接受页面上的一些条件。 因此,用户必须连接到VPN,并且还需要使用这种强制门户进行身份validation(这不会用于纯粹的身份validation,而只是为了让用户在使用服务之前阅读并接受ToS)。 作为一个额外的,页面来自一个自定义名称domani(这是未注册),以便用户将看到www.mydomain.com/tos 。 这需要在我的机器上的DNS服务器,我必须设置VPN使用127.0.0.1作为DNS。 所以问题是:有没有办法在同一台机器上拥有VPN,强制门户和DNS服务器,并让它们一起工作? 所以交通要遵循这些路线: (First connection) user –> vpn –> captive portal with custom domain from my DNS (other times) user –> vpn –> internet using the same DNS as before that forwards unknown entries to an external one 我发现了一篇关于Chillispot和OpenSwan的文章,但是我没有使用RADIUS服务器来authentication我的用户到VPN,我不知道是否有办法让Chillispot在没有RADIUS的情况下工作。
我有一台运行Debian的服务器,具有这样的networking连接: eth0 – has public IP address 1.2.3.4 eth1 – has public IP address 1.2.3.5 我正在尝试在服务器上设置一个可以从我的Android手机连接到的VPN。 我按照http://wiki.debian.org/HowTo/AndroidVPNServer的说明安装和configurationxl2tpd和racoon。 这一切都有效,但是我想做一个最后的调整:当我将手机连接到VPN时,我的公网IP地址是eth0上的,即1.2.3.4。 我希望VPNstream量能够在eth1的IP地址后面进行NAT,即1.2.3.5(理想情况下,VPN客户端可以继续连接到1.2.3.4)。 我的防火墙规则如下所示: VPN_CLIENT_RANGE=192.168.200.0/24 iptables -A INPUT -p udp –dport 500 -j ACCEPT iptables -A INPUT -p udp –dport 4500 -j ACCEPT iptables -A INPUT -p esp -j ACCEPT iptables -A INPUT -p udp -m policy –dir in […]
虽然我现在已经使用pfSense一段时间了,而且非常喜欢它,但是我一直无法动摇重复的SA。 我已经检查了所有显而易见的东西 – 确保configuration两端都匹配 – 但是它们仍然存在。 我尝试过更喜欢旧的SA,不喜欢旧的SA,打开debugging模式等 – 都是徒劳的。 而不是进一步围绕设置,我想知道是什么原因造成重复的SA,所以我可能有更好的洞察力必须解决它们。 此外,我想知道是否有人有一个傻瓜的方式来重置pfSense中的特定IPSec SA(和相应的SPD)。 只是禁用/启用隧道并不总是为我工作。 我在两端使用最新版本的pfSense(2.0.3) 编辑:即使我在pfSense的背景下提出这个问题,我也已经观察到与思科ASA的这个问题 – 即使其中一个端点是dynamic响应者。