我已经在我的FreeBSD服务器上configuration了一个VPN服务器,它似乎都在运行,但是VPNstream量没有路由到本地VPN服务器,我不知道为什么。 所以我的问题是,我目前的设置有什么问题? 注意防火墙禁用testing目的。 我的服务器IP是172.10.10.240,DNS的IP地址是192.168.155.2,最后我想要的IP地址范围是“172.10.10.150 – > 172.10.10.199” 所以我试图连接到我的服务器从Android手机(IPV6地址蒙面),我连接,这是wireshark转储 13:33:16.467067 IP XXX-XXX-h-15-6.XXX.02.XXX.54600 > 172.10.10.240.l2f: l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *HOST_NAME(anonymous) *FRAMING_CAP(AS) *ASSND_TUN_ID(35359) *RECV_WIN_SIZE(1) 13:33:16.467162 IP XXX-XXX-h-15-6.XXX.02.XXX.54600 > 172.10.10.240.l2f: l2tp:[TLS](0/0)Ns=1,Nr=0 *MSGTYPE(StopCCN) *ASSND_TUN_ID(35359) *RESULT_CODE(6) 在这里,你可以看到服务器正在从设备获取连接,进入,但没有别的。 我的racoon.log 2014-12-23 12:07:22: INFO: @(#)ipsec-tools 0.8.1 (http://ipsec-tools.sourceforge.net) 2014-12-23 12:07:22: INFO: @(#)This product linked OpenSSL 1.0.1j-freebsd 15 Oct 2014 (http://www.openssl.org/) 2014-12-23 12:07:22: INFO: Reading configuration from […]
我们希望通过默认的NFS(即避免像Dropbox / Aws-s3等第三方软件)通过Win08R2 EC2实例与客户端(Windows 7机器)共享文件。 rest时encryption是不必要的,但在传输/传输过程中的encryption非常重要。 我已经看到Windows使用IPSEC的post。 我只想确认它在默认的Windows文件夹共享中使用(例如: \\wxyz-onAWS\c$\users\public\sharedFolder )。
在我的最后,我有一个StrongSwan安装,连接到一个运行库存isakmpd的OpenBSD盒子托pipe的IPSec VPN。 OpenBSD中已经包含了多个其他的关联,但是StrongSwan框是一个新的客户端。 我拥有的证书(一个x509证书)已成功地用在TheGreenBow作为客户端的Windows机器上,而且我几乎可以使用StrongSwan。 它成功地build立了联系并组织一个安全协会。 然而,没有stream量实际上stream过它 – 它似乎没有使用leftsourceip下设置的值。 ipsec statusall给出了以下内容: vpn{1}: AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying in 25 minutes vpn{1}: 192.168.1.6/32 === 172.17.1.0/24 192.168.1.6是我的本地IP。 leftsourceip设置为172.18.1.97 。 我的理解是,由状态命令显示的192.168.1.6/32实际上应该是172.18.1.97/32 – 几乎就像它忽略了值集? 还有什么可能会导致一个问题?
有什么办法可以configurationstrongswan自动开始encryption给定的子网,而不是特定的主机? 例如,如果我知道在wxyz/28主机将具有相同的PSKconfiguration。 我想一次性configuration所有这些: conn protected left=%any right=%any rightsubnet=wxyz/28 auto=route forceencaps=no type=transport mobike=no authby=psk 或类似的。 我想避免分别指定每一个。 我期望路线上的陷阱根据需要做必要的启动。 但strongswan拒绝这样的工作,并声称installing trap failed, remote address unknown 。 这种情况有可能吗?
我正在build立一个从我的办公室到amazon web servicesVPC的IPSEC隧道,使用Windows 2008 R2机器作为“客户网关”。 我在这里使用这个指南configuration我的机器。 然而,隧道从来没有起床。 我用AWS的支持深入挖掘,发现IPSEC隧道的第一阶段是IKE关联成熟,build立良好,但是阶段2或快速模式失败,出现以下错误: 快速模式协商失败 – 原因“没有configuration策略” 我查了这个官方微软VPN IPSEC解决scheme指南 ,这不适合我的情况。 PS 我已经在EC2实例中configuration了windows 2008 r2,在另一个地区连接了一个AWS VPC,效果非常好! 我使用的是与AWS所说的相同的configuration,但不能在我的办公室工作! 我的问题是:1)什么是所有的可能性阶段2连接没有build立? 2)帮助我识别这个安全事件日志“快速模式协商失败 – 没有configuration策略”
我有一个类似的问题,去年十月同样的题目 。 在Windows Server 2008计算机上,使用Windows防火墙的连接安全规则,需要使用证书进行身份validation,以build立到另一个服务器2008的IPsec传输模式连接。 我可以使用本地组策略中的安全策略设置来build立基于证书的IPsec连接,但是对于将要使用的安全环境,encryption设置是不够的。我也可以使用Windows防火墙build立基于预共享密钥的IPsec连接,但是当我切换到证书时失败。 Windows事件日志中的错误说“IKE找不到有效的机器证书”。 基于这个Technet文章 ,我的证书是有效的,我也确定他们的根CA也在机器上。 CAPI2(crypto API)日志已启用并设置为详细模式,但不显示任何错误。 从它的日志中,它似乎一遍又一遍地检查证书链,没有显示任何错误。 该证书具有用于数字签名,密钥encryption和不可否认的KeyUsage。 EKU是服务器authentication,客户端authentication和IKE中间。 我暂时closures了CRL检查,所以我可以排除这一点。 任何想法为什么我的证书是无效的,我需要做些什么来解决它?
早安,我的朋友,这是我的情况:我有两个通过站点到站点VPN OPENSWAN连接的静态IP的debian服务器,一切都像一个魅力,我可以从任何工作站ping整个局域网,传输性能是非常好的。 但是,发生什么事是随机的(一天两次或两周一次),VPN就会closures。 如果我启动/etc/init.d/ipsec状态,我知道隧道启动了,但是VPN不工作。 唯一的解决办法是启动/etc/init.d/ipsec restart或在某些情况下我需要重新启动路由器。 任何人有一些build议? 或者最后我只想得到一个地方的日志,但我找不到任何有用的东西! 本地ip服务器剩下的是192.168.0.100/24,右边是192.168.1.100/24 为我的私密公共ip服务器左边是111.222.333.555和右边是111.222.333.444 这是我左边的ipsec.conf config setup #dumpdir=/var/run/pluto/ #forwardcontrol=yes nat_traversal=yes protostack=netkey #virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10 # Use this to log to a file, or disable logging on embedded systems (like openwrt) #plutostderrlog=/dev/null #oe=off interfaces=%defaultroute #klipsdebug=all plutodebug=all conn tunnel left=192.168.0.100 <– left local ip [email protected] leftrsasigkey=##################################### leftsubnet=192.168.0.0/24 leftsourceip=192.168.0.100 right=111.222.333.444 <– right static ip […]
我想以桥接模式设置站点间IPsec:即每个站点中的主机不需要修改为使用IPsec网关,但IPsec网关充当伪线。 我的计划是: 在每个gw上设置主机到主机IPsec 设置每个gw的L2TP(通过IPsec) 桥接eth0和每个gw的lt2p-eth 之后,到达任何gw的eth0的任何第二层数据包应自动(L2TP)隧道(IPsec)到其他网关。 它是否正确? 这是推荐的方法吗? 另外:如何为2个网关做这个? 每个网关是否需要一个IPsec SA 和一个L2TP隧道与其他每个gw? 理想情况下,我想这样做是为了让gw不需要明确的了解其他每个gw,但是我找不到一个可靠的甚至是标准的方法来做到这一点。
我已经configuration了一个站点到站点的VPN,因为stream量正在通过隧道正常工作。 我可以在另一个networking上ping和Telnet主机,他们能够ping通我。 我遇到的问题是,当其他networking上的主机向Web服务器上的应用发送HTTP请求时(这实际上是将USSD菜单传递给移动用户的应用,其他主机是来自移动networking提供商的服务器),我可以请求和握手从其他主机的SYN启动! 我的服务器回复一个SYN,ACK,但是对于每个人来说,这些回应并没有到达另一边。 我正在使用Cisco 820作为路由器和VPN服务器。 就我所知,对路由器configuration的检查无论如何都没有显示出任何exception。 我没有启用任何防火墙,我使用访问列表进行路由和访问控制。 我怀疑是路由器丢弃了这些数据包,然后才能通过Ipsec隧道进行encryption和发送。 请有人build议可能会丢弃这些数据包。 由于三次握手失败,所以没有进一步的通信。 这个数据包跟踪: 25.690224 200.32.15.154 -> 192.168.0.2 TCP 74 45367 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1452 SACK_PERM=1 TSval=610983874 TSecr=0 WS=128 25.690267 192.168.0.2 -> 200.32.15.154 TCP 74 http > 45367 [SYN, ACK] Seq=0 Ack=1 Win=14480 Len=0 MSS=1460 SACK_PERM=1 TSval=763845089 TSecr=610983874 WS=128 26.687067 192.168.0.2 -> 200.32.15.154 TCP […]
我已经实施了一个StrongSwan VPN服务器,并希望将其configuration为dynamic分配IP到最终客户端。 如果我给它一个IP范围的VPN工作,但不是如果我把它设置为DHCP。 这是我的dhcp.conf文件: dhcp { # Always use the configured server address. force_server_address = yes # Derive user-defined MAC address from hash of IKE identity. # identity_lease = yes # Interface name the plugin uses for address allocation. # interface = # Whether to load the plugin. Can also be an integer to increase […]