我现在一直在b my我的头脑,我想现在是时候大声呼救。这里有一点声明: 我不是典型的networking人物,我必须根据困难在现场学习。 我一直在使用openswan设置VPN,我一直在使用基于策略的VPN。 我根本不了解基于路线的政策。 我在aws上运行openswan,因为我的一些合作伙伴会将两端的公有IP作为encryption域。 pipe理VPN的东西aws不能提供。 自从星期一以来,我一直在挣扎着一种我从未见过的VPN。 合作伙伴有2个VPN网关,所以有2个不同的右对等IP(aa.aa.aa.aa和bb.bb.bb.bb)。 它有一种负载均衡器,对等VPN设备可以从aa.aa.aa.aa切换到bb.bb.bb.bb 我的configuration如下所示 conn xp_conn1 authby=secret forceencaps=yes auto=start left=%defaultroute leftnexthop=%defaultroute leftid=xx.xx.xx.xx leftsubnets={172.40.0./24,172.40.1.0/24} leftsourceip=xx.xx.xx.xx right=aa.aa.aa.aa rightid=aa.aa.aa.aa rightsubnets={192.168.0.0/24,192.168.1.0/24} pfs=yes aggrmode=no ike=aes256-sha1;modp1024 phase2=esp phase2alg=aes256-sha1;modp1024 ikelifetime=86400s salifetime=28800s dpddelay=6 dpdtimeout=10 dpdaction=clear conn xp_conn2 authby=secret forceencaps=yes auto=start left=%defaultroute leftnexthop=%defaultroute leftid=xx.xx.xx.xx leftsubnets={172.40.0./24,172.40.1.0/24} leftsourceip=xx.xx.xx.xx right=bb.bb.bb.bb rightid=bb.bb.bb.bb rightsubnets={192.168.0.0/24,192.168.1.0/24} pfs=yes aggrmode=no ike=aes256-sha1;modp1024 phase2=esp phase2alg=aes256-sha1;modp1024 ikelifetime=86400s salifetime=28800s dpddelay=6 […]
我们有必要在严格限制访问的情况下在云中设置文件系统实例。 由于客户需求,这必须在Azure上。 通过IP地址限制将无法实现我们单独需要的,因为我们还需要控制正在使用什么设备来访问文档。 Azure不允许通过设备/ MAC进行白名单,只能通过IP地址进行白名单。 我首先想到的是首先build立一个VPN,并将其IP地址添加到Azure白名单,然后将VPNlocking到某些设备。 出于不同的原因,几年前我问过这个问题,发现OpenVPN不支持这个(我们目前运行一个使用OpenVPN的VPN)。 精细。 有人向我build议,使用IPsec的VPN可以让我做到这一点,但我无法在任何地方find有关这方面的信息 – 而我的意思是什么都没有。 任何人都可以确认IPsec支持设备/ MCA地址白名单吗? 有没有人知道我可以find更多的信息呢? 最后,有没有人知道一个更好的解决scheme,将实现我所需要达到的?
Linux Ubuntu 16.03 我只是下载最新的strongswan版本[strongswan-5.6.0] 我用默认值来编译和制作strongswan ./configure 这是我的ipsec.conf conn xxxx_NFederal authby=secret auto=start type=tunnel left=10.0.0.97 leftsubnet=10.0.0.0/8 rightid=%any right=xxxx rightsubnet=192.168.1.0/24 ike=aes256-sha-modp1024,aes128-sha-modp1024,3des-sha1-modp1024 ipsec状态表示: root@ubuntu:/usr/local/etc# ipsec status Security Associations (0 up, 0 connecting): none 以下是日志中的行 Aug 20 19:16:04 ubuntu charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.5.1, Linux 4.4.0-92-generic, x86_64) Aug 20 19:16:05 ubuntu charon: 00[NET] could not open socket: […]
有一个帕洛阿尔托firwall(我必须configuration)和一个工业控制器(他们称之为CP),我不能控制。 说帕洛阿尔托有外部IP 1.1.1.1和CP有2.2.2.2。 这些是他们用来相互通信的IP,这些IP可以在连接到PA外部接口的嗅探器上看到。 IPSec隧道build立,如果CP有第二个接口,一切都按预期工作。 但是其中一些CP只有一个接口,只有一个IP,这个IP应该可以通过隧道到达,但事实并非如此。 从PA上Ping 2.2.2.2并观察嗅探器显示为什么:PA发送一个未encryption的ICMP回显请求,该请求未被回答。 当CPpipe理员ping 1.1.1.1时,sniffer显示一个从2.2.2.2到1.1.1.1的ESP数据包,然后PA回答一个未encryption的ICMP回应应答。 我怎样才能让我的PA发送通过隧道的所有stream量,除了IPSecstream量? 我试图通过隧道build立到2.2.2.2的路由 – 当然隧道没有出现,因为没有networking数据包通过未build立的隧道发送。 我试图“解释”PA发送IPSecstream量比其他stream量的另一种方式 – 路由表不允许指定stream量types。 我试图设置一个基于策略的转发,这需要隧道的IP。 隧道只有2个IP; 我试图附加1.1.1.1,PA不喜欢。 我发现了类似的问题,甚至在serverfailt上也是这样,是的,如何通过隧道将一些数据包直接通过互联网和其他数据包路由到同一个地方,但是Linux上是开放的VPN,而不是Palo Alto。 CPpipe理员提到的一些日志输出给了我一个想法,那就是CP使用Strong Swan,而且我已经能够在Linux机器上使用我的PA和Strong Swan复制上述行为。 现在,我可以更快地testing,但是在路由问题上,如何使PA区分encryption和未encryption的数据包仍然不知道。 任何人有更好的想法? 谢谢! TomTomTom
我想在CentOS 7上使用IKEv2 VPN。*虚拟机,我想用我们的RADIUS服务器validation用户。 目前,我使用yum install strongswan命令来安装strongswan repo,但是默认情况下它不会加载eap-radius插件。 有什么方法可以使用编译方法加载eap-radius插件。 谢谢 !
build立 所有23个分支机构都有: ADSL和VDSL互联网连接的组合。 Cyberoam CR10iNGs。 总部Cyberoam CR35iNG的站点到站点IPsec VPN。 数据中心Cyberoam CR50iNG的站点到站点IPsec VPN。 变化 3个分支机构的互联网连接从ADSL升级到FTTC,因此,他们的调制解调器从ZyXEL P-660R-D1升级到ZyXEL VMG1312-B10As(BT / OpenReach认可的VDSL调制解调器,因为BT不再提供VDSL调制解调器)和Cyberoam CR10iNG的WAN接口被重新configuration为使用PPPoE。 症状 自从: 所有IPsec VPN连接成功。 尝试通过IPsec VPN访问资源(通过HTTPS的RDWeb,通过RDP的RDSH服务器等)加载less量数据(RDWeb的蓝色背景和网页标题,RDSH服务器证书等),但最终超时。 试图通过互联网访问相同的资源(AD DS域作为Web域的子域的优点)完全加载。 所有IPsec VPN绑定stream量(IKE,ESP,HTTPS,RDP等)都被路由并允许两端正确。
我们有2个站点,我们的主要站点在东部(IAD),我们的“远程”站点在西部(SFO)。 这是我们的设置: IAD: IAD-堡垒 IAD-S2S SFO: SFO-堡垒 SFO-S2S 目前,我们使用堡垒主机连接到我们的SFO网站,它对我们来说工作正常。 我按照这里的步骤https://aws.amazon.com/articles/5472675506466066和这里https://www.zeitgeist.se/2013/11/22/strongswan-howto-create-your-own-vpn/设置build立一个S2S VPNpipe道。 我能够获得连接build立使用本地IP(通过堡垒主机)和公共IP,并能够从一个实例到另一个SSH。 然而,一旦连接完成,我们就失去了从IAD到SFO的连接。 我已经检查了安全组,并确认我仍然能够在没有VPNpipe道的情况下连接。 一旦我发出ipsec stop ,我可以再次连接。 这种行为告诉我分裂隧道有什么问题,但是我一直在这个几个小时没有运气。 我究竟做错了什么? 下面是configuration文件和日志。 实际的端点已被编辑。 [site1] conn vpc-sfo-b leftcert=leftcert.pem leftid=site1.example.com leftsubnet=10.10.0.0/16 right=%site2.example.com rightid=site2.example.com rightsubnet=10.20.0.0/16 auto=start authby=pubkey mobike=no type=tunnel [site2] conn vpc-iad-a leftcert=rightcert.pem [email protected] leftsubnet=10.20.0.0/16 right=%site1.example.com rightid=site1.example.com rightsubnet=10.10.0.0/16 auto=add authby=pubkey mobike=no [log] Sep 8 21:25:28 iad-a-s2s-1 charon: 00[DMN] Starting IKE […]
嗨,我正在按照说明 https://libreswan.org/wiki/VPN_server_for_remote_clients_using_IKEv1_XAUTH_with_PSK (为了安全起见在邮件中改变了ips) 我想要一些员工能够VPN到我们的服务器和服务器可以访问的机器。 我们有一个防火墙坐在我们的服务器前面,通过ipsecstream量。 这一切工作,因为我有另一个子网从这个服务器的子网隧道和另一个伟大的工程。 我在服务器上的ipsecconfiguration看起来像 # libreswan /etc/ipsec.conf configuration file config setup protostack=netkey # exclude networks used on server side by adding %v4:!abc0/24 virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:!10.231.247.0/24,%v4:!10.231.246.0/24 # PSK clients can have the same ID if they send it based on IP address. uniqueids=no conn engie_employee_xauth_psk authby=secret pfs=no auto=add rekey=no left=10.100.12.10 # firewall 70.194.177.117 leftnexthop=70.194.177.117 leftsubnet=10.100.12.10/32 […]
我正在寻找IKEv2 VPN的configuration说明,使用预共享密钥而不是证书。 我的问题是什么需要改变,所以它会使用PSK呢? 我会假设/etc/ipsec.secrets和/etc/ipsec.conf中的更改。 ipsec.conf文件 config setup uniqueids=never # allow multiple connections per user charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2" conn %default fragmentation=yes rekey=no dpdaction=clear keyexchange=ikev2 compress=yes dpddelay=35s ike=aes128gcm16-prfsha512-ecp256! esp=aes128gcm16-ecp256! left=%any leftauth=pubkey leftid=<server_ip> leftcert=<server_ip>.crt leftsendcert=always leftsubnet=0.0.0.0/0,::/0 right=%any rightauth=pubkey rightsourceip=10.19.48.0/24,fd9d:bc11:4020::/48 rightdns=8.8.8.8,8.8.4.4 conn ikev2-pubkey auto=add ipsec.secrets : ECDSA <server_ip>.key
我们正在运行一个strongSwan VPN,并遇到任何Windows客户端似乎在一小时后停止发送任何新数据的问题,但保持VPN连接打开,使其看起来像打开。 我连接后检查路由表,一小时后,它停止工作,它是相同的。 我试着在两边运行一个ping来查看是否是某种NAT /保持活动的问题,但是它仍然会默默地停止发送数据包。 我在其中一台Windows客户端上运行Wireshark,看不到任何奇怪的事情。 我在运行ipsec status时注意到了这一点: ikev2-pubkey[722]: ESTABLISHED 10 minutes ago, xxxx[xxxx]…xxxx[X – OSx client] ikev2-pubkey{1684}: INSTALLED, TUNNEL, reqid 36, ESP in UDP SPIs: XX ikev2-pubkey{1684}: xxxx/x === xxxx/x ikev2-pubkey[714]: ESTABLISHED 73 minutes ago, xxxx[xxxx]…xxxx[X – Windows client] 由于某种原因,Windows客户端不再有隧道信息?