我通过运行8.4(3)的ASA 5520s在两个站点之间build立了一个IPSec链路,当stream量通过IPSec VPN时,性能变得非常差。 设备上的CPU是〜13%,内存在408 MB,活动的VPN会话2.两个设备上的负载特别低。 两个站点之间的延迟是〜40ms。 通过防火墙的两台主机之间wireshark文件传输的屏幕截图IPSec VPN以10MBPS的速度执行。 请注意更改的窗口大小。 View post on imgur.com 通过防火墙的两台主机之间wireshark文件传输的屏幕截图不会超过55MBPS的IPSec性能。 恒定的窗口大小。 View post on imgur.com 当通过IPSec VPN传输范围为46,796到65535时,我显示的窗口大小不一致。当以55 + MBPS执行时,窗口大小始终为65,535。 这是否显示我在ASA或Layer1 / 2问题中configurationIPSec VPN时出现问题? 使用ping xxxxxx -f -l我终于得到了一个1418字节的非片段,因此IP / ICMP头= 1446的1418 + 28。我知道我在ASA和以太网上有1500组。 我确实有“强制TCP代理连接的最大段大小为”1380“字节设置在ASA上configuration>高级> TCP选项下。 使用IPERF,我每隔几秒就会得到一个“TCP窗口全部”,大约3 MBPS的性能。 View post on imgur.com 在ASA上显示运行 http://pastebin.com/uKM4Jh76 显示cry加速器统计信息 http://pastebin.com/xQahnqK3
我正在寻找一个Win2k3服务器,通过基于IPsec隧道的连接与分支机构通话。 Windows 2k3防火墙不提供出站通信的控制,所以我已经转向IPsec策略。 我testing这与几个虚拟机,并具有以下规则: 项目清单 允许RDP 允许DNS请求 与远程服务器协商(IPSEC连接) 全部否认。 (这指定一个端点为Win2k3 IP) RDP仍然有效,DNS请求正常工作。 但是当我ping另一个端点时,结果如下: Negotiating IP Security Destination host unreachable. Destination host unreachable. Destination host unreachable. 不久,我就剥夺了所有的一切规则,隧道build立得很好。 我试图为UDP 500(ike)创build一个许可规则。 但是,一旦你放入500,它说你不能build立一个基于ike协议的隧道。 所以这样了。 我试图用两个端点IP创build一个额外的规则,并允许stream量。 然而,这胜过协商安全规则,并且不会尝试创build隧道。 我很好,没有想法。
我们正在为DRtesting一个VPN服务器。 我们有一个rackspace云实例,一个运行在racoon上的纯IPSEC VPN服务器,为“战士”客户提供服务。 我们有一些NAT在服务器上进行外部路由: -A POSTROUTING -s 172.31.31.0/24 -o eth0 -j SNAT –to-source wxyz 它工作得很好,与windows,苹果IOS和Android客户端连接完美。 我们想要做的是将服务器设置为只在VPN上托pipe几个网页,即服务器在VPN上具有IP。 我们可以使用vpnc来做到这一点,连接到公共IP,但这似乎是矫枉过正。 有没有一种方法,我们可以做到这一点,使用浣熊,或回环接口也许? 我们的(testing)浣熊conf: path pre_shared_key "/etc/racoon/psk.txt"; remote anonymous { ph1id 1; exchange_mode aggressive,main; my_identifier user_fqdn "redacted"; peers_identifier keyid tag "blah"; dpd_delay 20; ike_frag on; nat_traversal on; passive on; initial_contact off; generate_policy unique; proposal_check claim; lifetime time 24 hour; mode_cfg […]
我正在努力获得两个不同的子网沿IPSec隧道路由。 隧道介于Vyatta(6.5)和Juniper防火墙之间。 隧道最初是为了在我们办公室的Vyatta(10.150.0.0/24)后面的子网与我们异地DR(10.250.0.0/24)中的子网之间build立路由。 但是,我现在也想把我们办公室的另一个子网路由到异地DR(192.168.47.0/24)。 我已经在Vyatta上添加了另一个隧道来允许这样做: tunnel 1 { allow-nat-networks disable allow-public-networks disable esp-group *** local { prefix 10.150.0.0/24 } remote { prefix 10.250.0.0/24 } } tunnel 2 { allow-nat-networks disable allow-public-networks disable esp-group *** local { prefix 192.168.47.0/24 } remote { prefix 10.250.0.0/24 } } 此外,我还修改了瞻博networking上的安全和路由以允许此stream量。 奇怪的是,这似乎工作,但一次只有一个隧道。 两个隧道都显示为已连接,但是我只能从10.150.0.0或192.168.47.0的10.250.0.0子网收到响应,而不是同时收到响应。 不太确定我在哪里错了!
我有一个第三方VPN服务器configuration只有4凭据给我:服务器IP,预共享密钥,用户名和用户密码。 在Windows 7下,我可以通过标准的“新的VPN连接”向导轻松地连接到这个VPN。 但是在Linux(Ubuntu等),如果我使用vpnc客户端它要求“IPSec ID”(组ID),我需要input。 如果我input空值,我得到了“从目标没有回应”。 如果我input任何值,我有“哈希比较失败 – 检查组passsword”错误。 Windows如何在没有这个“IPSec ID”的情况下build立连接? 也许这是一些可用的默认值可用? PS另外,在OSX上,“组名”也被标记为“可选”,VPN连接完全没有它。
我有一个networking设备盒作为多个站点到站点IPsec VPN隧道的端点。 raccon的文档指定可以使用-l选项写入日志文件。 我将日志信息分离到隧道特定文件中的方法很简单,就是在引导时产生多个raccon进程,并为每个指定特定的隧道configuration和日志输出设置-f和-l选项。 在我尝试生产之前,有没有人对每个IPsec隧道都有一个干净利落的日志结构? 我可以parsing主要的日志文件的文本标识string,但我认为这是一个次优的解决scheme。
这可能会或可能不会与我通过ipsec verify问题有关。 我在Ubuntu 的社区文档中configuration了Ubuntu 13.04上的L2TP / IPsec VPN,而IPsec连接似乎是正确build立的,连接到xl2tpd失败。 这是来自客户端的日志 Aug 25 14:07:10.058 004 "connection-name" #2: STATE_QUICK_I2: sent QI2, IPsec SA established transport mode {ESP=>0x542d1443 <0x2e94cf9a xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none} Aug 25 14:07:11.060 xl2tpd[31068]: Connecting to host my.server's.ip, port 1701 Aug 25 14:07:16.065 xl2tpd[31068]: Maximum retries exceeded for tunnel 6146. Closing. 服务器上的Syslog完全不显示。 即使 debug network debug […]
我有一个Windows 7 IPSec VPN设置。 在Wireshark中检查由Windows生成的IPSec数据包时,相应的有效负载按预期encryption。 有没有办法检查未encryption的有效载荷进行debugging?
我们的监控系统在Vyatta Core路由器处于高负载状态时指示IPsec VTI上的传输错误。 它们只是偶尔出现,并不会严重影响性能(在100 Mbps的链路上,我们已经接近100 Mbps),但是似乎没有什么信息可以构成一个传输错误VTI。 我确定这些信息存在于内核源代码中,但是没有内核开发经验,可能需要几天或者几周的时间来理解它才能回答这个问题。 我在哪里可以find更多关于此的信息?
我试图用iPhone连接到我的局域网,使用思科IPsec VPN连接。 我可以连接到VPN,但我无法访问任何LAN设备。 硬件软件: Strongswan 5.0.4,在路由器上运行 – 华硕RT-AC66U固件:3.0.0.4.374.34_2(Merlin build),asuswrt软件 iPhone(客户端) networking信息: 路由器(=服务器)公网IP:86.xxx,私网ip:192.168.2.1 iPhone公共IP:46.xxx networkingscheme,请参阅图像: https : //dl.dropboxusercontent.com/u/2261256/forums/ipsec/IPsec_diagram.png(我已经将虚拟IP更改为10.11.0.0/24) ipsec.conf文件: conn %default keyexchange=ikev1 authby=xauthrsasig xauth=server conn ios left=%defaultroute leftsubnet=0.0.0.0/0 leftcert=serverLupoCert.pem leftfirewall=yes right=%any rightsubnet=10.11.0.0/24 rightsourceip=10.11.0.0/24 auto=add rightcert=clientLupoCert.pem ip -4为: 1: lo: <LOOPBACK,MULTICAST,UP,10000> mtu 16436 qdisc noqueue inet 127.0.0.1/8 brd 127.255.255.255 scope host lo 2: eth0: <BROADCAST,MULTICAST,UP,10000> mtu 1500 […]