我使用Debian和Racoon连接到思科VPN网关。 我们有两个相同的端点之间的隧道。 不知何故,有时候,数据包会进入错误的隧道。 这是来自远程思科系统的日志消息: 8月13日17:55:01 XXXXX%ASA-4-402116:IPSEC:从MY_PUBLIC_IP_ADDRESS(user = MY_PUBLIC_IP_ADDRESS)到REMOTE_PUBLIC_IP_ADDRESS收到一个ESP数据包(SPI = 0x5CAAB58E,序号= 0x6)。 解封装后的内层报文与SA协商的策略不匹配。 数据包将其目标指定为REMOTE_INNER_HOST_PRIVATE_IP_2 ,其源为MY_INNER_HOST_PRIVATE_IP,其协议为icmp。 SA将其本地代理指定为REMOTE_INNER_HOST_PRIVATE_IP_1 /255.255.255.255/ip/0,将其remote_proxy指定为MY_INNER_HOST_NETWORK / 255.255.255.0 / ip / 0。 当我试图从MY_INNER_HOST_PRIVATE_IP“ping”REMOTE_INNER_HOST_PRIVATE_IP_2时出现这条消息。 (我replace了IP地址。) 这是setkey -D -P |的输出 grep REMOTE_INNER_HOST_PRIVATE_IP_1 | 2: REMOTE_INNER_HOST_PRIVATE_IP_2 [任何] MY_INNER_HOST_NETWORK [任何] 255 REMOTE_INNER_HOST_PRIVATE_IP_2 [任何] MY_INNER_HOST_NETWORK [任何] 255 MY_INNER_HOST_NETWORK [任何] REMOTE_INNER_HOST_PRIVATE_IP_2 [任何] 255 REMOTE_INNER_HOST_PRIVATE_IP_1 [任何] MY_INNER_HOST_NETWORK [任何] 255 REMOTE_INNER_HOST_PRIVATE_IP_1 [任何] MY_INNER_HOST_NETWORK […]
我有一个ipsec隧道工作,可以访问192.168.4.0/24局域网。 它工作正常,我可以访问没有问题的另一边的主机: # from fw and lan hosts: # ping 192.168.4.44 PING 192.168.4.44 (192.168.4.44) 56(84) bytes of data. 64 bytes from 192.168.4.44: icmp_req=1 ttl=127 time=4.41 ms 但是当我尝试将公共IP地址上的一个端口转发到另一端的主机时,它不会路由stream量: # from wan side: # telnet xxxx 33901 telnet: Unable to connect to remote host: No route to host 在防火墙上执行telnet(wan)的tcpdump捕获: # tcpdump -n -i eth0.20 host 37.15.173.52 10:09:48.312840 […]
问题: 我有一种情况,IPSEC服务器和目标服务器(称为http服务器)碰巧是同一台机器,我只需要允许来自IPSEC服务器的stream量访问我的应用程序正在运行的端口,并阻止其他人在那个港口 更多细节: 安装程序如下所示:(主机A)<—- IPSEC VPN TUNNEL – >(主机B(Linux),其中应用程序在端口XXXX上运行)。 没有涉及到额外的IPSEC网关或防火墙。 主机B具有公共IP地址(静态)。 主机A发起连接并build立VPN隧道。 当我在ipsec解密之后logging到端口XXXX的stream量时,它看起来像任何正常的数据包,并且src被设置为“主机A的ip地址”并且dst被设置为“主机B的ip地址”,并且由于数据包被定位到主机B,在ipsec处理之后,POSTROUTING规则不适用于它。 现在,我已经在iptables中添加了规则来接受端口XXXX上的所有stream量: -A INPUT -p tcp –dport XXXX -s 0.0.0.0/0 -j ACCEPT 当这件事情发生时,XXXX港口向世界开放,这是危险的。 任何想法如何通过ipsecconfiguration或iptables规则或以任何其他方式来实现目标,只有来自ipsec端点的stream量才能访问XXXX? 在我心中几乎没有想法: 是否有可能确定离开IPSEC终点的TCP数据包,并在iptables中有一个规则,只允许这些数据包到达XXXX端口? ipsec处理后可能有一些iptable / ipsecconfiguration跳过INPUT规则? 这样我可以有iptable规则丢弃所有数据包到XXXX端口和ipsec出来的数据包不会受到影响。 可以在主机B上创build一个虚拟接口,并通过该接口路由IPSECstream量,只允许从该虚拟接口访问端口XXXX? 最糟糕的情况是,我将最终让ipsec服务器(主机B)和应用程序服务器(主机C)运行在不同的机器上,并允许通信从主机B到主机C上的端口XXXX。 我已经尝试了解决scheme@ 与iptables,匹配数据包通过IPSEC隧道到达,但它不工作,因为我想上述政策适用于数据包到达IPSEC,而不是离开IPSEC的数据包? 让我知道如果我错过了任何细节或任何额外的信息,你需要任何帮助/build议将不胜感激。
我无法使用vpnc或shrew soft来运行IPSec的pfsense盒子。 我已经确保正确的端口是打开的,我正在尝试login的用户具有正确的权限(用户 – VPN – IPSec的xauth拨号),我的configuration是正确的。 然而由于某种原因,我不能把隧道弄出来。 服务器的nmap # nmap -sSU <gateway ip> -p500,4500 Starting Nmap 6.40 ( http://nmap.org ) at 2014-10-01 10:57 EDT Nmap scan report for <gateway ip> Host is up (0.017s latency). PORT STATE SERVICE 500/tcp filtered isakmp 4500/tcp filtered sae-urn 500/udp open|filtered isakmp 4500/udp open|filtered nat-t-ike 正在使用vpncconfiguration文件: IPSec gateway <gateway […]
我已经在“Unix&Linux”上发布了这个相同的问题,但是没有答案,并将从那里删除,但生病也在这里尝试。 我需要尽快解决这个问题,或者至less弄清楚问题所在。 我已经configuration类似的情况,并完美的作品,但是这个我找不到方式是不应该的,因为它应该是。 有时我有40%的包丢失,有时我有5%… 我已经用Openswan和Cisco ASAconfiguration了IPSec隧道,我已经build立了一个连接,并且ping很好,但是一段时间之后,两个站点都有请求超时。 我没有ASA访问,但它的默认IPSecconfiguration,这是openswan conf参数。 #Define your IKE policy authby=secret keyingtries=0 pfs=no ike=3des-sha1;modp1024 ikelifetime="28800" dpddelay=0 dpdtimeout=0 dpdaction=clear #Define IPSec Policy phase2=esp phase2alg=3des-sha1 ikev2=no keyexchange=ike rekey=no forceencaps=no keylife="28800" 我在“/ var / log / seccure”日志中find了这个 received Delete SA(0x937bbc29) payload: deleting IPSEC State #5 received and ignored informational message received Delete SA(0x55f62168) payload: deleting IPSEC […]
我有一台2台设备,一台思科ASA,另一台设备。 思科和其他设备都具有IPsec隧道,但位于不同的位置。 我需要确保其他设备的源端口在NAT时不是UDP-500,因为这是与Cisco IPsec服务相同的端口,所以我们看到一个问题,即发送给其他设备的回复数据包击中了ASA。 根据思科的NAT常见问题( http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html ),它保留了端口在默认情况下根据“Q.在configurationPAT(过载)时,每个内部全局IP地址可以创build的最大转换数是多less? 问题:如何强制所有PAT映射使用> 1024以上的源端口? 或者,我如何强制ASA忽略来自特定IP地址的IPsec数据包,并将它们视为正常的NAT数据包,并将它们转发回内部设备? 在Linux的iptables我会用这样的:iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT – 对源xxxx:1024-30000
我尝试设置l2tp + ipsec服务器为我的手机使用和我的家庭路由器使用。 所以我做了一些设置,并检查它从Android设备工作正常。 我在ipsec –status上看到encryption。 我的系统是基于Digital Ocean的CentOS Linux版本7.0.1406(Core)。 我的问题是,我可以从Mikrotik连接到L2TP服务器没有ipsec。 所以现在我需要一些build议: 如何在Linux端不使用IPSECencryption来拒绝L2TP连接,因为即使ipsec恶魔停止,我也可以从mikrotik连接到xl2tpd。 如何正确configurationmikrotik以ipsec传输模式连接到l2tp + ipsec服务器。 这是我的Linuxconfiguration: /etc/ppp/options.xl2tpd require-mschap-v2 ipcp-accept-local ipcp-accept-remote ms-dns 8.8.8.8 auth crtscts idle 1800 mtu 1310 mru 1310 hide-password modem name l2tpd multilink lcp-echo-interval 5 lcp-echo-failure 4 proxyarp /etc/xl2tpd/xl2tpd.conf [global] ipsec saref = yes force userspace = yes auth file = /etc/ppp/chap-secrets [lns […]
我是PfSense的新手 我已configuration站点到站点VPN,并且工作正常,“站点A”(PfSense)和“站点B”(SonicWall)都可以访问对方的LANnetworking。 现在我也在“站点A”configuration了IPSec Mobile客户端,它也适用于Shrew Soft VPN客户端。 现在的问题是,虽然通过Shrew Soft VPN客户端连接到“站点A”,但只能访问“站点A”LAN子网,但不能访问“站点B”LANnetworking,但是已启用站点到站点VPN并添加了所需的IPSec Mobileconfiguration第二阶段“Site B”的networking。 我期待着得到一个可行的解决scheme。 亲切的问候Sk。 穆斯塔克·莫哈莫德。
我对VPN很陌生,而且出现错误。 我发布了我认为最相关的以下几行: Dec 2 08:41:03 racoon: DEBUG: IV freed Dec 2 08:41:03 racoon: [EUA]: [79.121.213.141] ERROR: failed to pre-process ph2 packet [Check Phase 2 settings, networks] (side: 1, status: 1). Dec 2 08:41:03 racoon: ERROR: failed to get sainfo. Dec 2 08:41:03 racoon: ERROR: failed to get sainfo. Dec 2 08:41:03 racoon: DEBUG: cmpid source: […]
我们使用VPN将远程办公室连接到我们的主办公室,而远程办公室的机器需要将端口22暴露在外部互联网上。 并发症: 主办公室有一个固定的IP地址。 远程办公室有一个浮动的IP地址。 远程办公室位于我们无法控制的路由器后面。 来自远程办公室的所有stream量都需要通过主办公室的VPN。 主办公室和远程办公室都有DrayTek Vigor2925系列路由器,具有最新的固件。 远程办公室的Draytek上游的路由器是一个廉价的黑匣子,没有DDNS或VPNfunction,或任何看起来有用的东西。 事情的工作: 我们已经能够通过拨号VPN将远程办公室连接到我们的networking。 如果这样,我们可以从主办公室连接到目标机器。 我们可以使用路由器的端口转发设置将连接固定的IP地址转发给总公司的一台机器。 我们可以从固定IP地址转发到远程办公室的一台机器。 我的理解,从DrayTek的文档和其他地方,NAT是不兼容的IPSec隧道,特别是身份validation头,但它应该是可以build立一个VPN使用L2TP和IPSec封装,如果两个设备支持NAT-T,路由器支持 。 所以:我们设置了远程办公室,使用“带有IPsec策略的L2TP”,closures身份validation头,设置主办公室路由器将端口转发到目标机器,并使用telnet接口检查vpn -passthrough已closures,但我们仍无法连接。 另外,如果我们可以读取远程办公室的浮动IP地址,我们可以使用dynamicDNS解决scheme。 但是,我们不控制远程办公室上游的路由器,而是通过办公室的VPN转发所有stream量:远程办公室中的所有机器都认为其面向公众的IP地址是属于总部的固定地址。 我们几乎要购买Raspberry Pi来插入上游路由器,并使用它来运行wget s icanhazip.com的cron作业。 所以…我在路由器configuration中错过了一个步骤吗? 或者有没有一种从VPN内部读取IP地址的方法?