当使用IPSec(隧道模式)或GTP等隧道协议时,会将多个IPstream合并成一个stream。 由于只有一个stream量,我们如何扩大吞吐量? 分配更多的处理器内核将无济于事,因为来自一个stream的数据包只能传送到一个内核。 有没有办法解决这个问题? 就我而言,问题在于GTP。 eNodeB将来自UE的所有IPstream都放入一个GTP隧道,其五元组将全部相同。 由于我们只有5到10个eNodeB,因此会产生相同数量的IPstream量。 因此,核心利用率变得非常不均衡,核心利用率> 80%,有些利用率<10%。 每个stream程都由一个核心处理,这样就不会有数据包重新sorting。 由于成千上万的IP数据stream只能传输到5到10个IP数据stream,因此RSS哈希函数的随机性在某种程度上是不均衡的,导致一些内核变得超载,而less数内核仍处于空闲状态。 将它称为任何隧道协议的固有问题是否正确? 任何方法来解决这个问题? 另外,单stream量可达到的最大吞吐量是多less? 我只是在这里寻找任何硬件的基准数字。 您甚至可以在隧道模式下共享IPSec的结果。 单个IPSec隧道可以达到多less吞吐量?pipe理员通常做什么来扩大吞吐量?
我必须将我的服务器连接到一个VPN通道,认为Internet可以查看IP 192.168.20.100的本地服务器 这里是从服务器的IPSec和IKE设置(不是我的,我不拥有VPN服务器) 设置 这里是隧道数据: 公用IP:213.0.XXX.YYY 本地服务器我想看到:192.168.20.100 networking:192.168.20.0/24 预共享密钥:XXXXXXXXXX 我已经在我的CentOS 7服务器上安装了openswan(这里是客户端) 这里是我的客户端的IPSecconfiguration # /etc/ipsec.conf version 2.0 # conforms to second version of ipsec.conf specification config setup nat_traversal=yes virtual_private=%v4:192.168.20.0/24 protostack=netkey interfaces=ens160 oe=off klipsdebug=all plutodebug="all" conn l2tp-psk authby=secret pfs=no auto=add rekey=yes ikev2=insist ike=aes256-sha2_256 #esp=aes256-sha2_256 phase2alg=aes256-sha2_256 compress=no type=tunnel left=149.56.XXX.YYY leftnexthop=%defaultroute leftprotoport=17/1701 right=213.0.XXX.YYY rightsourceip=192.168.20.100 rightsubnet=192.168.20.0/24 rightnexthop=%defaultroute rightprotoport=17/1701 我的ipsec.secret: # […]
我试图在ubuntu服务器上使用StrongSwan创build一个ikev2 VPN。 现在,在Windows 10客户端, use default gateway on remote networkclosuresuse default gateway on remote network选项; 所以当我连接到服务器时,stream量将完全绕过VPN,除非手动启用该选项。 但是,Windows 10 Mobile没有这个选项。 在StrongSwan网站上 ,有一段关于这个问题以及如何解决这个问题: Microsoft为新的VPN连接更改了Windows 10桌面和移动VPN路由行为。 VPN连接的高级TCP / IP设置中的选项“在远程networking选项上使用默认网关”现在默认处于禁用状态。 您可以在桌面上启用此选项,但无法在移动设备上执行此操作。 幸运的是,Windows在连接时发送DHCP请求,并添加DHCP答复选项249中提供的路由。 (然后是一个示例dnsmasqconfiguration文件) 但目前还不清楚如何configurationStrongSwan,我找不到任何明确的资源。 所以问题是,我怎么能configurationStrongSwan告诉Windows 10通过VPN移动整个互联网stream量(ipv4)? 这是我的ipsec.conf : # ipsec.conf – strongSwan IPsec configuration file config setup uniqueids=never charondebug="cfg 2, dmn 2, ike 2, net 2" conn %default keyexchange=ikev2 […]
与五年前的这个问题类似 可以使用本地MacOS IKEv2 VPN客户端代替Cisco AnyConnect客户端吗? 示例anyconnectconfiguration文件: <AnyConnectProfile> <ServerList> <HostEntry> <HostName>VPN01_HostName</HostName> <HostAddress>VPN01.cisco.com</HostAddress> <PrimaryProtocol>IPsec <StandardAuthenticationOnly>false</StandardAuthenticationOnly> </PrimaryProtocol> </HostEntry> </ServerList> </AnyConnectProfile> 和MacOSconfiguration不工作(对我来说):
我不得不重新解决一个多年前(2009年)的问题,而这一次它正在踢我的屁股。 我们的办公室通过RDP通过IPSec隧道连接到托pipe服务器场(托pipe服务提供商有一个思科terminal;我们有pfSense)。办公室的用户连接到远程服务器没有问题。 对于road-warrior访问,我设置了OpenVPN并将其与LAN子网桥接。 这在pfSense v.1.2.3中运行良好,而且由于我不想破坏所有东西,所以我已经阻止了升级。 由于情况,我现在已经升级到2.3(并打算保持最新状态),但是我不能让远程服务器再次访问远程服务器。 LAN subnet: 192.168.1.0/24 Hosting provider's subnet: 172.23.4.0/24 在1.2.3下,我设置了下列自定义选项: dev tap0; server-bridge 192.168.1.1 255.255.255.0 192.168.1.44 192.168.1.50; push "route 172.23.4.0 255.255.255.0"; 大多数这些自定义选项现在在GUI中可以select2.3,当然,这实际上使事情复杂化。 我已经尝试了几十种不同的安排。 以下是我现在所拥有的: General Information Disabled – no Server mode – Remote Access (SSL/TLS) Protocol – UDP Device mode – tap Interface – WAN Local port – 1194 Tunnel Settings […]
我是一名Java开发人员,几个星期之后,我也将负责networking。 我们的一个客户端需要一个VPN连接到我已经挂载的networking(使用TP-link路由器来build立IPSEC隧道LAN到LAN)。 我们的networking:110.110.1.0/24我们的服务器110.110.1.100/24客户networking:192.168.100.0/24 但令我惊讶的连接目的是能够连接到一个特定的服务器,这是在客户端在不同的子网。 客户端服务器:192.168.1.68/32 所以它在不同的子网(不同的networking掩码ofc)…我如何实现连接? 我知道networking掩码并不代表LAN-LAN连接中的任何内容,但是由于目标位于具有不同networking掩码的不同子网中。 在我看来(我不是专家),我们应该只对服务器所在的子网进行VPN,或者把这个子网join到clinet端的VPNconfiguration中。
我们开发业务的客户已经提供了访问他们的IPSec VPN的权限(匿名): 网关:example.fake 组:MYGROUP 用户:MYUSER 密码:MYPASSWORD PSK:MYPSK 他们还提供了configuration的参数: 阶段1 身份validation:SHA1 encryption:AES 256 SA寿命:1小时 重点组:迪菲·赫尔曼组2 NAT Traversal&DPD已启用 保持活动时间间隔:20秒 阶段2 types:ESP 身份validation:SHA1 encryption:AES 256 强制密钥过期:1小时 连接types为IKEv1,并且只通过特定IP 1.2.3.4通过VPN隧道configuration访问权限,因为这是我们必须达到的唯一一台机器。 目标和尝试 我想弄清楚如何configurationStrongSwan连接到他们的VPN。 我需要这个与Ubuntu服务器16.04 VPS的工作。 我试图按照一堆指南,但有些是为了StrongSwan的旧版本,所以他们没有工作。 最后我编辑了/etc/ipsec.conf并进行了以下尝试的configuration: config setup conn myconn authby=xauthpsk dpdaction=restart esp=aes256-sha1 ike=aes256-sha1-dh2 ikelifetime=1h keyexchange=ikev1 leftauth=psk leftauth2=xauth leftgroups=MYGROUP leftid=@MYUSER right=example.fake rightsubnet=1.2.3.4/32 我创build了/etc/ipsec.secrets : : PSK "MYPSK" MYUSER: XAUTH "MYPASSWORD" […]
我正在尝试将我的OpenWRT路由器连接到远程VPN服务器。 我拥有的凭据是正确的,但出于某种原因,连接无法在路由器上进行身份validation。 这是我的configuration /etc/ipsec.conf conn l2tpconn keyexchange=ikev1 authby=xauthpsk xauth=client left=%defaultroute leftsourceip=%config leftfirewall=yes leftauth=psk leftauth2=xauth leftid=user right=<server_ip> rightsubnet=0.0.0.0/0 rightauth=psk rightauth2=xauth auto=add /etc/ipsec.secrets %any <server_ip> : PSK 'secret' 'user' : XAUTH 'password' 日志 initiating Main Mode IKE_SA l2tpconn[39] to <server_ip> generating ID_PROT request 0 [ SA VVVV ] sending packet: from 192.168.1.18[500] to <server_ip>[500] (224 bytes) received […]
我有一个问题类似于这个问题: Windows 7的“密码运营商” 。 我正在尝试添加一个encryption规则。 当我到达设置encryptionalgorithm的步骤时,我得到一个“访问被拒绝”消息,指出我需要成为encryption操作符组的成员。 我正在运行的命令是netsh advfirewall mainmode set rule name="TestRule" new mmkeylifetime=20mins MMSecmethods=ecdhp384:aes256-sha384 事情是我作为encryption操作员组的成员login的用户。 我也确定我是networkingconfiguration操作员组的成员。 CMD窗口以pipe理员身份运行 有什么build议?
我必须build立VPN隧道,在这个隧道中,对方已经发送了我的公有IP(yyyy)而没有子网。 我正在使用Strongswan 5.3.5。 我知道连接是可能的没有rightsubnet感谢可能IPSec VPN隧道公共IP地址? 。 阶段1被设置,但在阶段2中出现错误。 错误是越来越是: parsingCREATE_CHILD_SA响应13 [N(TS_UNACCEPT)]收到TS_UNACCEPTABLE通知,未build立CHILD_SA 以下是我的configuration conn vpn-2 left=192.168.0.5 leftsubnet=192.168.0.0/28 leftid=xxxx right=yyyy rightsubnet=%any rightid=%any keyexchange=ikev2 ike=3des-md5-modp1024 esp=aes256-sha1 type=tunnel 我还是一个新的VPN连接,但我已经build立了一个之前有的子网,但在这种情况下,没有正确的子网。 我被困在这个好几天了。