我使用以下脚本使用L2TP和IPSEC(使用LibreSwan)build立VPN: https : //github.com/hwdsl2/setup-ipsec–vpn 我必须做的唯一改变就是把'eth0'的实例改成Ubuntu设备命名的新格式。 我的设备是enp0s31f6(主)和enp3s0(次要,未使用)。 最初,我有防火墙问题,根本无法连接到VPN,实际上SMB共享不可见。 我基本上closures防火墙临时debugging。 我已经尝试扩展和更改SMB.conf中的主机和接口,并且我不得不将一些规则添加到iptables中,以使用enp0s31f6而不是eth0。 我可以从我家或其他任何地方连接到VPN,但我永远无法连接到VPN服务器上的共享。 如果我在VPN上时从Windows 7计算机导航到\ 192.168.42.10,则显示我的共享。 去任何其他知识产权没有做任何事情,或立即说它是无法访问。 具有VPN和SMB共享的服务器正在运行Ubuntu Server 15.10。 客户端是Windows 7,8和10,以及OSX El Capitan。 服务器的LAN IP地址是:192.168.1.93我的LAN IP(连接到VPN时)是:192.168.42.10 从我的桑巴日志,我没有看到我的电脑试图连接,这让我觉得SAMBA不能从VPN连接访问? 这是iptables.rules的输出: # Added by hwdsl2 VPN script *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m conntrack –ctstate INVALID -j DROP -A INPUT -m conntrack –ctstate […]
这是设置: 我在一个有FortiGate VPN的商业networking上安装了FortiGate设备。 可以运行FortiClient(Windows和Mac机器)的远程networking上的机器连接到这个VPN没有问题。 我一直负责让Linux机器连接到FortiGate不支持的VPN。 为了弄清楚如何,我在远程networking上安装了Ubuntu 16.04机器,OpenSwan正在运行,试图连接到我在FortiGate上设置的特定通道。 但是,我可以把它连接到目前为止,这是: 002 "icms" #1: initiating Aggressive Mode #1, connection "icms" 113 "icms" #1: STATE_AGGR_I1: initiate 003 "icms" #1: received Vendor ID payload [RFC 3947] method set to=115 003 "icms" #1: received Vendor ID payload [Dead Peer Detection] 003 "icms" #1: received Vendor ID payload [XAUTH] 003 "icms" #1: […]
我们正在尝试使用Azurebuild立VPN Hillstone FW(设备)。 VPN详细信息是: VPN type: Policy based Gateway Subnet: 192.168.50.10/29 default subnet: 192.168.50.0/29 VM inet Address: 192.168.50.4 and Other side Device : Hillstone FW server 1:10.215.369.5/32 server 2:10.215.369.10/32 server 3:10.215.369.11/32 server 4:202.89.35.48/32 我们已经将所有这些添加到本地networking网关中。 在设备端,他们只允许/路由虚拟机(debian Ubuntu的)地址(192.168.50.4/32)所有configuration看起来不错。 为了testing,我们已经打开了两端的所有端口。 由于Hillstone FW不是Azure设备兼容列表。 但是现在VPNbuild立了,在azure门户上它显示数据input/输出。 但连接状态是从连接扑向连接… 他们不允许反向ping。 当我们从Vm ping / telent只发生50%,有时它会给予回复,而不是更多次。 而且大多数ping数据包丢失了60%。 我们是否应该让他们允许整个子网192.168.50.0/29? 我们如何解决这个问题?
Auth使用证书制作 Ubuntu 16.04 + strongswan。 从win7连接的客户端,像在strongswan Wiki中说的那样添加了证书。 configuration也像在strongswan维基,但我得到错误:'plutostart不赞成,所以我删除它。 所以我的ipsec.conf : config setup #plutostart=no conn win7 left=%defaultroute leftcert=vpnHostCert.der leftsubnet=0.0.0.0/0 right=%any rightsendcert=never rightsourceip=10.42.42.0/24,2002:25f7:7489:3::/112 keyexchange=ikev2 auto=add 日志: Jun 28 03:20:26 myserver charon: 12[IKE] IKE_SA (unnamed)[2] state change: CONNECTING => DESTROYING Jun 28 03:20:30 myserver charon: 13[NET] received packet: from MYIP[500] to SERVERIP[500] (528 bytes) Jun 28 03:20:30 myserver […]
我正在尝试在两台MikroTik设备之间build立GRE over IPSec隧道。 当我嗅探广域网接口时,似乎一切正常,我可以清楚地看到理论上我不应该看到的GRE数据包。 我已经花了几天的时间在这方面,而且我对缺less的东西感到茫然。 1.1.1.1是数据中心WAN,而2.2.2.2是家庭WAN。 路由器1: /interface gre add allow-fast-path=no !keepalive local-address=1.1.1.1 name=\ gre-tunnel-home remote-address=2.2.2.2 /ip ipsec peer add address=2.2.2.2/32 dh-group=modp8192 enc-algorithm=blowfish \ hash-algorithm=sha512 lifetime=30m local-address=1.1.1.1 \ nat-traversal=no proposal-check=strict secret=secretcode /ip ipsec policy add dst-address=2.2.2.2/32 proposal=proposal1 sa-dst-address=2.2.2.2 \ sa-src-address=1.1.1.1 src-address=1.1.1.1/32 tunnel=yes 路由器2: /interface gre add allow-fast-path=no !keepalive local-address=2.2.2.2 name=\ gre-tunnel-datacenter remote-address=1.1.1.1 /ip ipsec peer […]
我在Debian Jessie上使用strongSwan 5.2.1,并且无法configuration它来执行我想要的操作。 前提 在testing环境中,我试图在Linux虚拟机和configuration为活动模式下的FTP服务器的Windows虚拟机之间使用传输模式IPsec。 IPsec将仅适用于FTPstream量; 也就是在Windows VM上的TCP端口20和21的stream量。 两个主机之间的所有其他stream量(例如ping)应该是未encryption的。 在现实世界的情况下,我这样做,FTP服务器的IP地址会有所不同,因此我希望我的strongSwanconfiguration不必引用特定的远程IP。 Linux上的ipsec.conf文件 内容如下: # ipsec.conf – strongSwan IPsec configuration file # basic configuration config setup # strictcrlpolicy=yes # uniqueid = no # Add connections here. include /var/lib/strongswan/ipsec.conf.inc conn main type=transport left=%any right=10.1.1.2 leftauth=psk rightauth=psk ike=3des-sha1-modp1024 esp=3des-sha1 keyexchange=ikev1 conn data also=main rightsubnet=%dynamic[6/20] auto=route conn command also=main rightsubnet=%dynamic[6/21] […]
我们有两个办事处: 主人:192.168.1.0/24 卫星:192.168.128.0/24 主人包含Shoretel电话系统。 两个办事处都使用Draytek Vigor 2860ac路由器,它们使用IPSec LAN-2-LAN VPN连接进行连接。 这保持完美,不会下降。 问题 :办公室内的电话不发送audio。 通过卫星从外部向手机/手机拨打电话可以提供audio(到外部设备)。 主办公室的电话仍然完美。 卫星办公室里的两部电话可以完美地通信(双向audio),所以这似乎表明路由问题。 什么可能导致这个问题? 其他说明: 我们使用交换机上的端口镜像在卫星办公室的电话上运行wireshark,可以看到RTP数据包是双向发送的。 正常工作的audio捕获和没有audio捕获之间的唯一区别是一开始就有一些失败的ping请求。 这些最终解决无论如何(我认为这是因为它有3跳[localgateway-remotegateway-remotedevice]而不是1 [localdevice]) 办公室可以对备用子网中的设备(其跟踪路由命中本地网关,远程网关和正确的设备) 两个设备上的sip_alg被禁用 我玩过MTU,但这似乎没有什么区别 – 目前在两台路由器上设置为1472,但是是1492
我在ServerA和ServerB上configuration了strongswan,并通过本教程成功地将它们隧道化了: http ://linoxide.com/how-tos/ipsec-vpn-gateway-gateway-using-strongswan/但是我想运行这个senario: 客户端[IKEV2 VPN连接] ———–>服务器A — [Strongswan隧道] ——->服务器B ——->客户端的Internet访问服务器B的IP地址 服务器具有公共IP,客户端应连接到服务器A,然后他的stream量将从服务器Aredirect到服务器B,客户端将使用服务器B IP地址访问互联网。 有人能帮我吗我该怎么办? 谢谢
我希望我的服务器为每个尝试连接的客户端设置一个vpn连接,其中客户端通常具有dynamic地址。 最重要的是,是否有可能在不使用证书的情况下为每个客户提供独特的psk?
我正尝试使用OpenSWAN和Amazon VGW将多个Amazon VPC(跨地区)连接在一起。 路由器实例可以ping通两个VPC中的主机,并且stream量正试图穿越路由器,但正在被丢弃。 编辑:我看到计数器XfrmInNoPols递增,当ping不被转发。 在这种情况下,有两个VPC正在连接,而恰好在第三个VPC中的实例正在执行路由并充当集线器。 我试图从根本上重新实现Transit VPCfunction( https://aws.amazon.com/blogs/aws/aws-solution-transit-vpc/ ),没有Cisco CSR和自动化的lambdaconfiguration。 我的问题是,枢纽能够达到东方和西方,但从任何一端的数据包到达枢纽,但不能进一步。 拓扑结构: West (172.19.0.0/16) – (hub) – East (172.18.0.0/16) 。 Hub通过VGW连接到两端,因此东/西的明文包不会离开Hub。 按照正常的VGW行为,两端与HUB之间存在两条隧道。 此configuration的基础是https://github.com/patrickbcullen/Openswan-VPC ,修改为支持第二组隧道。 这个脚本的一个奇怪之处是它build立了一个“networking命名空间”( http://man7.org/linux/man-pages/man8/ip-netns.8.html )来处理所有的ipsec和路由。 集线器可以通过IPSEC隧道ping东西方的节点。 VGW同意ipsec和BGP启动,东/西子网看到传播的路由。 枢纽有通往东西方的路线。 iptables是完全开放的。 在sysctl中,rp_filter设置为0,forwarding / ip_forward设置为1。 我在西方设置了一个ping发生器,试图ping东。 数据包到达hub中的openswannetworking名称空间: 16:38:49.311665 IP 35.163.220.45 > 169.254.255.3: ESP(spi=0x0a790d98,seq=0x4f5), length 132 16:38:49.311665 IP 172.19.58.64 > 172.18.57.207: ICMP echo request, id 411, […]