Articles of ipsec

Linux ip xfrm policy命令创build一个IPsec策略，将特定stream量与SA相关联。 它使用了一种叫做“模板”（ tmpl ）的东西，据我所知，它只是识别SA的手段。 为什么叫它模板？ 它与SA有何不同？ 而且，为什么需要重复src，dest等等; 是不是足以识别SA？ 最后：reqid是否具有除SA的本地名称以外的任何意义？ reqid似乎不是IPsec标准的一部分，似乎也没有去往任何地方。 如果这是识​​别SA的好方法，为什么xfrm policy命令使用tmpl和其他ID（src，dest，proto等）

从RV325到RV320的网关隧道（任一方向）的网关将不会连接。 我找不到任何types的错误日志。 两者都是WAN1（只有一个连接）和IKE PSK。 本地和远程组都只有IP。 RV325本地= RV320远程IP和子网。 RV325远程== RV320本地也是如此。 IPSec设置是相同的。 我已经尝试了一些变化，保持相同。 我读过另一篇文章，有人说他从来没有把它与Perfect Forward Security合作过，所以没有了。 我错过了什么吗？

我有一个IKEV2 VPN设置（包括证书），在Windows 7上运行良好。在Windows 10上，相同的configuration失败，'IKE身份validation凭据是不可接受的'。 服务器是StrongSwan。 日志中连接尝试的最后一行是： 2016-02-11T12:34:57.457606+00:00 e01pfw01 charon: [info] 05[IKE] assigning virtual IP 10.7.220.6 to peer '**<removed>**' 2016-02-11T12:34:57.461904+00:00 e01pfw01 charon: [info] 05[IKE] CHILD_SA rw-ops{5592} established with SPIs c221e19b_i 29212c9e_o and TS 10.6.75.0/24 10.7.240.0/20 === 10.7.220.6/32 2016-02-11T12:34:57.518381+00:00 e01pfw01 vpn: [notice] + **<removed>** 10.7.220.6/32 == 212.159.106.131 — 62.23.139.70 == 10.6.75.0/24 2016-02-11T12:34:57.580529+00:00 e01pfw01 vpn: [notice] + **<removed>** […]

我有一个IPsec网关给客户，VPN隧道已经启动，问题是他们不允许我使用我的私人地址，因为它使用了另一个VPN。 我们的网关是使用公共弹性IP在Amazon云中托pipe的EC2实例： 我的gw：10.0.3.22 – > Elastic IP：1.1.1.1 – >他们的IPsec gw 2.2.2.2 我必须连接到他们的IPsec gw后面的一个服务器3.3.3.3，当我尝试数据包时不要回头： $ telnet 3.3.3.3 443 (the only opened port) 10.0.3.22 > 2.2.2.2 (ESP traffic, seq=0x1) 10.0.3.22 > 2.2.2.2 (ESP traffic, seq=0x2) … until timeout 客户可以确认VPN隧道已经启动，他们可以看到日志中的stream量，但是在防火墙到达3.3.3.3之前就会被丢弃。 他们只接受1.1.1.1作为来源。 所以我必须隐藏我的私有IP 10.0.3.22 NAT到1.1.1.1。 这可能使用iptables？ 我试图做SNAT和DNAT，但它不起作用： sudo iptables -t nat -A POSTROUTING -j MASQUERADE sudo iptables -t nat […]

我一直在为此而绞尽脑汁。 我有openswan跑，我已经能够得到隧道。 不幸的是，当我尝试在我的右侧子网上ping电脑时，我无法得到任何回应。 我有一台使用Elastic ips的Amazon ec2机器。 当我执行netstat -nr网关指向一个IP地址，因此通过互联网而不是隧道。 任何指针来解决这个问题？ leftsourceip=10.71.19.196 – {amazon elastic ip} leftsubnets=10.71.19.196/32 {amazon elastic ip} leftnexthop=%defaultroute right=196.201.212.240 rightsubnets={196.201.214.95/32, 196.201.214.127/32,} 当ping说192.201.214.127我得不到回应。 似乎默认为本地IP网关192.169.16.1。 任何想法我做错了什么？

我试图在Amazon VPC实例上的Cisco ASA 5520和运行在Ubuntu 14.04上的Openswan服务器之间build立VPN隧道。 我没有ASA的访问权限，并且从这方面被给予以下连接要求 – AES-SHA，No PFS和我们的内部子网（10.0.0.0/24）必须作为不同的范围192.168.200.0/24呈现给思科方面。 这些是我已经configuration的一般configuration – ASA公众 – 1.2.3.4 ASA内部networking – 192.168.50.0/24 Openswan EIP – 5.6.7.8 Openswan内部IP – 10.0.0.10 Openswan内部networking – 10.0.0.0/24 /etc/ipsec.conf的内容 – version 2.0 # basic configuration config setup dumpdir=/var/run/pluto/ nat_traversal=yes virtual_private=%v4:192.168.50.0/24 oe=off protostack=netkey include /etc/ipsec.d/vpntunnel.conf /etc/ipsec.d/vpntunnel.conf的内容 conn vpntunnel type= tunnel authby= secret left= 10.0.0.10 leftsubnet= 10.0.0.0/24 right= […]

我正在尝试build立到网关的IPSec安全连接。 有三个主机： A: eth1 – fec0:1::1/64 B: eth1 – fec0:1::2/64 eth2 – fec0:2::2/64 which is gateway between A and C; forwarding is set to 1 in sysctl C: eth1 – fec0:2:3/64 我想在A和B之间build立IPsec连接，这将在B和C之间不安全地转发。 ipsec.conf文件： config setup charondebug="ike 2, knl 2, cfg 1" ca strongswan cacert=ca.crt auto=add conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 mobike=no keyexchange=ikev2 conn host-host […]

我试图在Centos 7上configuration一个L2TP / IPsec客户端，这些包是： libreswan-3.15-5 xl2tpd-1.3.6-8 服务器是MS Windows 我无法调出VPN。 错误如下： ● ipsec.service – Internet Key Exchange (IKE) Protocol Daemon for IPsec Loaded: loaded (/usr/lib/systemd/system/ipsec.service; disabled; vendor preset: disabled) Active: active (running) since mar 2016-04-26 10:29:13 ART; 7min ago Process: 11269 ExecStopPost=/usr/sbin/ipsec –stopnflog (code=exited, status=0/SUCCESS) Process: 11267 ExecStopPost=/sbin/ip xfrm state flush (code=exited, status=0/SUCCESS) Process: 11265 ExecStopPost=/sbin/ip […]

我不是一个非常有经验的用户，但我确实有决心，一个星期后，没有进步，它变得越来越粗糙。 我有两个网卡，一个面向互联网，一个面向内部networking。 来自内部networking的两台电脑和来自互联网的道路战士都使用ipsec连接并访问服务器资源。 客户端应该能够在与ipsec连接的情况下浏览互联网。 所有的互联网交通应该通过openvpn隧道。 —————————–| SERVER |—————————– —————————–|192.168.1.1 192.168.2.1|—————————– ————-{INTERNET}======{eth0 eth1}==<ROUTER>==<INTERNAL NETWORK> —————————–| \ / |—————————– —————————–| {openvpn—tun0} |—————————– —————————–| / |—————————– <ROADWARRIOR>==>{INTERNET}==>{eth0————– |—————————– —————————–|192.168.1.1 |—————————– IPSec的作品，我可以连接到服务器。 OpenVPN的作品也是如此。 这是主要问题的路由。 如何通过openVPN隧道将所有通往互联网的通讯打包出去？ 我有以下的iptables规则，但他们不工作。 我错过了什么？ iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i tun0 -j ACCEPT iptables -A INPUT […]

我正在使用Openswan与IPSec和IPSec不断抱怨共享密钥不存在。 我正在运行Ubuntu 14.04。 我只是试验一些内部系统，因为我是新手。 输出： root@ip-10-1-1-4:/etc# ipsec auto –up L2TP-PSK 104 "L2TP-PSK" #10: STATE_MAIN_I1: initiate 003 "L2TP-PSK" #10: received Vendor ID payload [Openswan (this version) 2.6.38 ] 003 "L2TP-PSK" #10: received Vendor ID payload [Dead Peer Detection] 003 "L2TP-PSK" #10: received Vendor ID payload [RFC 3947] method set to=115 003 "L2TP-PSK" #10: Can't authenticate: no […]