我有点难住,希望能在这里find一些指导。 我已经从Juniper SRX240(12.1X44-D45.2)configuration了一个到Microsoft Azure的IPSec隧道。 隧道工作正常,但当没有stream量穿越隧道时,阶段2会下降(从哪个方向的stream量发起并不重要)。 我尝试过使用DPD,但Azure不支持它。 我还configuration了VPN监视器到隧道另一端的目的地,但是这也不起作用。 在我的“显示日志kmd”我看到P2没有build议select的消息后发生的下降。 我应该补充,第一阶段永远不会下降。 这将是好的,但不幸的是我必须通过隧道静态路由远程范围,由于隧道没有(也不能)有一个IP地址,我的下一跳是st0.2。 当阶段2下降时,静态路由和路由遵循下一个更具体的路由。 所以目前没有办法让隧道自动恢复。 对于此事的任何build议或协助,我将不胜感激。 即使没有交通stream量,我也需要隧道熬夜。 请参阅下面的configuration。 set groups GENERIC_GROUP security ike proposal IKE_PROPOSAL authentication-method pre-shared-keys set groups GENERIC_GROUP security ike proposal IKE_PROPOSAL dh-group group2 set groups GENERIC_GROUP security ike proposal IKE_PROPOSAL authentication-algorithm sha1 set groups GENERIC_GROUP security ike proposal IKE_PROPOSAL encryption-algorithm aes-256-cbc set groups GENERIC_GROUP security […]
我正在研究脚本,可以检测系统上现有的IPsec隧道是否已经closures。 从我的观察,我已经看到,它可以采取任何地方之间1秒至8分钟,这是使用命令可以检测到: netsh ipsecdynamic显示mmsas 如果主动IPsec策略是未分配或完全删除的,则会立即反映更改,netsh将返回: IPsec MainMode安全关联不可用。 但是,在其他情况下,例如隧道端点不可达或networking连接失败,可能需要8分钟才能通过netsh检测到。 我已经尝试过在IPsec策略本身中闲置超时值和其他configuration参数,但似乎没有什么改变这种行为。 是否有任何configuration参数可以在IPsec策略中修改或在Windows本身修改此行为? 我的目标是让脚本尽快检测到这一点。 更新:我一直在尝试探索一种替代方法,在这里我启动一些有趣的stream量,然后检查正在build立的快速模式安全关联。 但是,只有在正常情况下很less产生有趣的stream量的情况下,这种方法才有用。 PS:我最初把这个问题发布到StackOverflow,我认为事后看来不是一个好主意。
我正在尝试查看Windows高级防火墙中的连接或尝试连接。 我曾尝试使用Windows防火墙服务提供程序,但是跟踪不会返回任何内容。 有任何想法吗?
假设我有两个networking,A和B,位于全球任一地点。 两者都具有本地IPv6,并正在使用(假设)只是IPv6。 IPv4不再存在。 他们既可以作为IPv6本地访问互联网,也可以使用IPv6主机。 他们的IPv6地址全部可路由。 因此,尽pipe有防火墙规则,networkingA中的每个主机都可以到达networkingB中的每个主机,反之亦然。 如何设置IPSec来保护这两个networking之间的通信? 在IPv4世界中,我将在每个站点的两个防火墙之间build立IPSec隧道,或者使用GRE隧道或类似方法。 但是,我将如何在全IPv6世界中做到这一点? IPv6中是否有内在的东西让这更容易? 理想情况下,我想在每个站点的防火墙/路由器上进行configuration。 我不想在每个networking中的每台主机上设置传输模式IPSec。 FWIW,我使用OpenBSD来处理路由/防火墙/ ipsec的需要,所以有关这方面的任何细节都会有所帮助,但是IPv6 / IPSec如何处理这种情况也是一个很好的答案。
我想将我的Ubuntu 14.04服务器与Strongswan连接到Microsoft Azure网关。 我只想在Azure和Ubuntu服务器之间build立连接。 在Azure中,我configuration了一个dynamic网关。 Azure的: 虚拟networking: 10.0.1.0/24(整个虚拟networking) 10.0.1.0/27(VM的子网) 10.0.1.32/29(网关的子网) 1.1.1.1(网关IP) 本地networking: 10.0.2.15/32(networking) 2.2.2.2(网关地址) 带有Strongswan的Ubuntu Server 14.04: StrongSwan:Linux strongSwan U5.1.2 / K3.16.0-49-generic networking: 10.0.2.15(与strongswan Ubuntu的服务器) 2.2.2.2(带NAT的网关) CONFIGS: /etc/ipsec.conf: conn azure type=tunnel closeaction=restart dpdaction=restart ike=aes256-sha1-modp1024 esp=aes256-sha1 reauth=no keyexchange=ikev2 mobike=no ikelifetime=28800s keylife=3600s keyingtries=%forever leftauth=psk left=10.0.2.15 # local instance ip (strongswan) leftsubnet=0.0.0.0/0 leftid=10.0.2.15 # local instance ip (strongswan) […]
在尝试通过组策略configurationIPSec规则时,我在Windows 8.1客户端上看到了非常奇怪的行为。 我通过几个策略来configuration几个规则,以便能够针对各个规则。 一个特定的策略不会导致在Windows 8.1客户端上生成任何防火墙规则,尽pipeRSoP告诉我实际上正在应用该策略。 在Windows 2012 R2服务器上,按预期方式创build防火墙规则。 我找不到有关Windows防火墙是否受限于Windows 8.1上的连接安全规则的任何文档,以及导致此行为的原因。 任何build议,以寻找什么将不胜感激。
我在AWS中创build了VPC场景3。 在aws和cyberoam之间configuration了ipsec vpn站点。 隧道已经到了 我已将安全组添加到私有子网中的ec2实例,以便完全访问VPC中的任何人。 不过,我无法从连接到cyberoam的本地/专用networking的笔记本电脑ping到私人ec2实例。 在aws中我们写了到私有子网的静态路由。 指示将数据包从私有子网路由到虚拟专用网关(即0.0.0.0/0到虚拟专用网关)。 根据tracepath,数据包不通过虚拟专用网关。 此外,我从VPN连接下载的通用configuration文件包含“内部IP地址”这是要添加到安全组或cyberoam防火墙?
到Amazon云的IPSec隧道不起作用。 我的本地子网是192.168.42.0/24。 我试图访问亚马逊云私人子网172.0.3.0/24。 我的防火墙型号是Juniper SRX550。 我可以看到IPSEC和IKE安全关联,并且可以ping通隧道的亚马逊端的隧道接口的远程IP地址,但是来自我的内部子网的数据包没有正确的进入隧道,当我从主机ping 192.168 .42.131地址172.0.3.12我可以看到这个session: Session ID: 278828, Policy name: trust-to-trust/17, State: Active, Timeout: 6, Valid In: 192.168.42.131/2135 –> 172.0.3.12/1;icmp, If: reth1.480, Pkts: 63, Bytes: 3780 Out: 172.0.3.12/1 –> 192.168.42.131/2135;icmp, If: st0.9, Pkts: 0, Bytes: 0 内部接口的数据包大小不为零,但进入隧道时为零。 当我启用debugging这是我看到: Oct 27 01:03:40 01:03:40.108989:CID-1:RT:<192.168.42.131/1580->172.0.3.12/1;1> matched filter filter1: Oct 27 01:03:40 01:03:40.108989:CID-1:RT:packet [60] ipid = […]
我试图用ipsec隧道连接我的pfsense盒子和AWS VPC。 我读了几个教程,都看起来不错。 但是…是的,总是有一些,但是。 当只有一个人在工作,那么一切都很好。 即使当我有更多的1届会议,但从同一台PC。 当别人连接的时候,两个会话都卡住了。 VPN隧道仍然连接,甚至重新连接不起作用。 我希望使用Netgate AWS向导,但是我使用从网上下载的pfsense,而不是从他们的商店购买。 你知道为什么吗? 谢谢你的帮助和回答。
我有以下设置:Linux客户端@ 172.16.10.68 linux网关@ 172.16.10.69,ipsec隧道到aws box#1,gre隧道10.254.0.0/30 aws box#1,从linux gw的ipsec隧道,ipsec隧道到aws box#2,gre隧道1 10.254.0.0/30和第二个gre隧道10.254.0.4/30 aws box#2,aws box#1的ipsec隧道,aws box#3的ipsec隧道,gre隧道1 10.254.0.4/30和第二个gre隧道10.254.0.8/30 我有一个在linux网关上运行OSPF的鸟,aws 1,aws 2和aws 3.来自aws box#2的ipsec隧道,gre tunnel1 10.254.0.8/30。 例如:bird conf:protocol ospf MyOSPF {tick 2; 面积0.0.0.0 {stub no; networking{172.16.29.244/32; 10.254.0.4/30; 10.254.0.8/30; 10.254.0.0/30; 172.16.10.0/24; }; 违约成本100; stubnet 172.16.29.244/32 {cost 100; }; 界面“tun1”; }; } 我试图完成的是提供互联网访问从aws box#3的Linux客户端多跳。 使用当前的configuration,我可以ping通GRE隧道IP就好了,但没有AWS盒上的以太网接口。 我接受build议和build议。