我正在隧道模式下使用IPSEC,并且我需要确保这台计算机上的某个用户的所有stream量都被限制在VPN连接上,如果VPNclosures,数据包将被拒绝。 如此有效,除非用户是“myuser”,否则所有stream量都是允许的。 如果所有者是“myuser”,则必须拒绝所有非IPsec数据包(input和输出)。 我试图这样想,第一个规则将捕获所有的ipsecstream量,并允许它,然后阻止所有非ipsecstream量。 但是,这只会阻止myuser的所有stream量: iptables -A OUTPUT -m owner –uid-owner myuser -m policy –pol ipsec –dir out -j ACCEPT iptables -A OUTPUT -m owner –uid-owner myuser -j REJECT
我设法在两个(虚拟)主机之间以传输模式build立IPsec连接,现在我希望服务器使用OCSP来validation客户端的证书。 在第三台主机上,我运行了一个OCSP应答器( openssl ocsp -port 80 … )。 我可以看到服务器如何能够到达OCSP,发送查询并得到答复,但最后validation失败。 以下是日志在服务器(IPsec响应者)中所说的内容: charon: 01[CFG] checking certificate status of "C=ES, ST=Gipuzkoa, L=Donostia-San Sebastian, O=Tecnalia, CN=client@localhost" charon: 01[CFG] requesting ocsp status from 'http://ocsp.localhost' … charon: 01[CFG] using trusted ca certificate "C=ES, ST=Gipuzkoa, L=Donostia-San Sebastian, O=Tecnalia, CN=Tecnalia Root CA" charon: 01[CFG] reached self-signed root ca with a path length of […]
我有一个基本上作为路由器的服务器,但也提供了一些其他的服务。 服务器有三个接口,一个通向主局域网,一个通向服务器网段。 这两个接口都应用了IPSec策略,但服务器网段上的某些服务器不需要IPSec,或者仅在启用IPSec的情况下无法运行。 RRASconfiguration完成后,是应用于通过服务器路由的通信上的IPSec策略,还是仅应用于针对服务器的通信,还是取决于所使用的策略? 所以如果我想连接到RRAS服务器,IPSec应该按照预期工作,但是如果我想连接到局域网服务器网段上的服务器,那么IPSec策略应该不会干扰,并且stream量应该照常路由。 这可能吗?
我有一个路由思科2800系列与GRE + IPSec VPN隧道configuration。 我需要创build一个新的隧道,但现在这是一个IPSec隧道。 我想知道的是可以使用相同的接口(外部)configuration不同types的VPN隧道。
我完全不熟悉networking,但需要设置VPN。 我有一个Linksys路由器,并通过设置它使用IPSEC并设置了组名,用户,密码和预共享密钥。 但我似乎无法通过Windows XP连接。 我注意到的一件事是没有可以findinput组名称的位置。 有什么具体的我应该进入这个? 当我尝试连接没有它时,我得到:错误789:L2TP连接尝试失败,因为安全层在初始协商过程中遇到错误。 如果我重试我得到错误792:L2TP连接尝试失败,因为安全协商超时。 我不在工作中检查发生了什么路由器日志。 (明天必须这样做。)我做错了什么想法?
我目前正在使用IPSec连接的VPN解决scheme,但是我正在问自己不同的VPN可能性。 第一点,根据我的IPsec是更安全和打开表。 第二点,IPsec正在处理比Ssl / TLS更低的层。 那么,谁更好? 我的意思是说安全。 我正在通过Linux工作。 干杯!
对于Juniper NetScreen-NS25,我configuration了一个站点到站点的IPSec通道。 对于远程站点的外部接口,我也需要经过与IPSec网关具有相同IP的隧道。 现在,当我添加静态路由来通过隧道将外部接口IP路由到隧道时,根本没有问题,但是如果隧道由于某种原因而closures,则不能重新build立为IPSec网关的路由与外部接口IP相同的IP设置为经过当时需要重新build立的隧道。 所以,数据包不会碰到那个IP。 我尝试添加另一个路由条目,通过其他网关,但没有成功。 那么,我应该configuration什么types的路由来在隧道出现故障时到达该IP。 提前致谢。
我有openvpn,ciscos ipsec隧道和类似的经验,但是我想知道在什么情况下会使用MPLS来获得好处呢? 如果我理解正确的话,MPLS就是L2(但有时也称为第2.5层,对我来说不知道原因),如果我理解OpenVPN的tun和tap驱动之间的区别,tap是L2(以太网)。 我认为MPLS本身并没有encryption,所以如果我们不考虑openvpn隧道的encryption – 什么时候使用MPLS隧道更合适,什么时候使用OpenVPN隧道更合适? 第二个问题; 我在某个论坛上读到,提出的连接两个数据中心服务器(每个使用不同运营商的一个/ 24个networking)的解决scheme是“有你的DC传输VLAN” – 这将如何工作? 在什么协议?
我有一个路由器路由器IPSEC VPN,我正在努力获得一个特定的ip去通过VPN,而不是互联网。 我的路由器如何知道是通过Internet连接还是通过VPN发送stream量? 这边的路由器正在运行pfSense。 如果我tracepath一个vpn'dnetworking上的本地地址它的作品,我得到: 1: localghost.local (10.44.35.103) 0.109ms pmtu 1500 1: router.office1.blah.co.uk (10.44.35.1) 0.401ms 1: router.office1.blah.co.uk (10.44.35.1) 0.379ms 2: 213.123.59.222 (213.123.59.222) 58.295ms 3: 10.199.2.3 (10.199.2.3) 49.900ms reached 其中router.office1.blah.co.uk位于vpn的一侧,另一侧是213.123.59.222。 但是,当我尝试到171.28.18.50它不下去的VPN: 1: localghost.local (10.44.35.103) 0.117ms pmtu 1500 1: router.office.blah.co.uk (10.44.35.1) 0.415ms 1: router.office.blah.co.uk (10.44.35.1) 0.385ms 2: router.office.blah.co.uk (10.44.35.1) 0.414ms pmtu 1492 2: lns3.uan.the.uk.murphx.net (94.30.127.74) 38.651ms
好的…我有一个非常奇怪的IPSec问题(至less对我来说很陌生:-))。 我有一个连接到ASA 5510的Sonicwall Pro 2040.当从networking的Sonicwall端发起的stream量,它工作正常…但是如果它起源于ASA端,没有骰子。 例如,来自PC-A的在sonicwall上的icmp回声被ASA上的PC-B接收。 PC-B回应icmp回复,PC-A收到回应。 如果PC-B向PC-A发送回应请求,它甚至不会穿过IPSec通道(通过线路上没有产生ESP通信validation)。 PC-B上的wireshark显示ICMP回显请求上的EXACT SAME源IP和MAC作为icmp echo reply …有什么想法可能导致此行为? 🙁 附加说明:如果我清除ASA上的isakmp,并尝试从PC-B ping到PC-A,它不会尝试启用隧道…似乎并没有意识到这种stream量是针对sonicwallnetworking,尽pipe当我发送回复它工作正常。 另外一个注意事项:我使用与IPsec隧道相同的ACL在ASA上运行了一个数据包捕获,并且它匹配来自PC-B的icmp请求数据包…所以由于某种原因,它只是不尝试通过隧道发送它们它匹配。