我们有一个运行Ipsec(Openswan)+ xl2tpd + pppd的新公司VPN服务器。 当用户连接时,pppd运行/ etc / ppp / auth-up脚本,logging连接到/ var / log / pppstats的时间和用户名。 但是,在我们较早的OpenVPN系统上,我们可以指示OpenVPN守护进程查询当前连接的用户数量,这是我们的pipe理需要通过Zabbix监控服务器报告的指标。 看起来依靠日志文件来分析连接用户的数量是非常不可靠的,因为如果用户在不终止连接的情况下closures他们的机器,那么我们有一个永久连接的用户。 关于如何尽可能可靠地提取这个度量的任何想法?
我有这个奇怪的问题,浣熊抱怨以下错误: WARNING: NAT-T is enabled in at least one remote{} section, but no 'isakmp_natt' address was specified! 我已经指定isakmp_natt。 这是我的racoon.conf: path pre_shared_key "/var/etc/psk.txt"; path certificate "/var/etc"; listen { isakmp 172.17.69.69 [500]; isakmp_natt 172.17.69.69 [4500]; } mode_cfg { auth_source system; group_source system; pool_size 125; network4 172.19.3.1; netmask4 255.255.255.128; } remote 172.17.43.43 { ph1id 1; exchange_mode aggressive; my_identifier […]
真的很简单 我可以在两个公共可用的服务器(它们实际上在同一个networking上)之间创build一个IPSEC规则/filter,同时仍允许外部stream量到相同的资源。 我会尽量提供尽可能多的信息: Web服务器< – >数据库服务器,其中都有公共IP。 我想要保护来自Web服务器的数据库通信/连接,但是仍然允许从我的办公室到数据库服务器的外部直接连接(如果需要的话)。 问题是,我问这一切的原因是,这两台服务器都是位于某个数据中心的Virtuzzo服务器,甚至可能是在这两个硬件节点上。 我希望“至”之间的服务器stream量安全。 我发现了许多关于如何设置filter的一步一步的指南,我只是想确认我的请求。
我有一台Linux服务器(CentOS 5.5),可以通过固定的IP地址直接访问互联网。 也就是说,IP地址是200.29.XY网关是由数据中心(200.29.XZ)给出的,并且连接完美。 我需要连接到位于远程局域网上的另一台机器。 我们同意通过VPN来完成,所以他们configuration了一个隧道(使用预共享密钥的IPsec),并给了我们所有的信息(对等体,encryption域,阶段1属性和阶段2属性)。 问题是我的机器不在防火墙后面,而且我也没有访问数据中心的防火墙…所以防火墙必须在同一台机器上创build(使用任何VPN命令行软件)。 问题是,如果我的机器有防火墙(并configuration了VPN),那么这个对等体将是同一个encryption域(即对于对等体和encryption域来说是相同的IP地址)。 另一部分告诉我,这是错误的,使用这种configuration,他们的防火墙不知道在哪里发送响应(因为encryption域是相同的对等)。 试图解决这个问题,我创build了一个名为eth0.4的虚拟以太网接口,它具有本地IP地址192.160.0.4; 我告诉另一部分configuration这是我的encryption域,但仍然无法正常工作。 做一些本地testing,从内部虚拟IP地址,192.160.0.4,我不能ping我的真实IP地址,200.29.XY( ping -I eth0.4 200.29.XY )…我在iptables中添加了一些转发规则,但仍然我的内部IP地址不能与我的真实IP地址通信…所以我认为这个“虚拟本地IP地址”不会解决我的问题(除非我添加了一些不正确的转发规则)。 我正在使用openswan来configurationVPN,并按照上面的部分,他们收到了第一阶段的细节,他们是正确的,但是有一个答案的问题…所以隧道从来没有(事实上,第一阶段从来没有完成)。 010“net-to-net”#1:STATE_MAIN_I1:重发; 将等待20秒的回应 010“net-to-net”#1:STATE_MAIN_I1:重发; 将等待40秒的回应 010“net-to-net”#1:STATE_MAIN_I1:重发; 将等待40秒的回应 010“net-to-net”#1:STATE_MAIN_I1:重发; 将等待40秒的回应 031“net-to-net”#1:最大重传次数(20)达到STATE_MAIN_I1。 对我们的第一个IKE消息没有响应(或没有可接受的响应) 000“net-to-net”#1:开始无限数字的键控尝试2,但永远释放重击… openswan日志不给我更多的信息(它发送正确的东西,但没有回应),和tcpdump所有告诉我,我发送数据包,但没有答案… 有什么build议么?
我们在Server 2008 R2上安装了微软的DirectAccess VPN,具有端到端的安全性,而且我们在pipe理输出隧道时遇到了问题。 DirectAccess客户端具有DC / DNS和Intranet连接,它可以ping / rdp / etc到内网主机。 但是,源自这些同一个Intranet主机的连接只能间歇地到达客户端。 有时它可以正常工作,而其他时间则不会。 当尝试入站(Intranet到客户端)连接时,将loggingIPSec主模式失败:事件4653,失败原因为“未configuration策略”。 我认为它可能与intranet(corp)访问隧道的状态有关,并且在这些策略的configuration的子网中有重叠。 在连接工作的情况下,我还没有弄清楚什么是不同的。
我在家庭networking和工作之间build立了一个IPSec隧道。 我们在办公室有一个Sharepoint服务器,我以前可以远程访问。 现在,对服务器的请求通过隧道进行路由,我可以在Windows资源pipe理器中浏览共享,并将文件复制到本地文件夹。 当我尝试直接从Sharepoint打开Word文档时,MS Word将挂起。 我可以在写字板中打开它,但是我得到一个安全警告(尽pipe我在IE Internet设置中将服务器添加到本地networking中)。 这是不可能的,还是有一个修复?
我试图用IPsec和StrongSwan连接两台电脑。 第一台我希望成为服务器的PC运行openSUSE,客户端PC运行Fedora。 所以在第一台PC上安装StrongSwan后,我可以做什么样的testing,看看客户端和服务器之间是否有隧道? 例如,我可以发送一个文件从客户端到服务器,除了只是互相ping通。
思科ASA 5505在远程站点,作为Easy VPN客户端连接到总部的ASA 5510。 VPN灯是绿色的, sh crypto isakmp sa显示活动的安全关联。 然而,连接到我们的一些子网是行不通的。 运行show crypto ipsec sa显示了大多数子网中存在IPSEC SA,但不是全部。 毫不奇怪,对于没有SA的子网来说,没有连接可能。 发生这种情况时,运行clear crypto isakmp sa或重新启动远程ASA将恢复IPSEC隧道,并且可能再次访问所有子网。 发生这种情况是间歇性的。 受影响的设备没有configuration更改。 这是我的问题: 什么会导致一个IPSEC SA失败到一个子网,没有closures整个VPN链接? 我可以采取什么措施防止或减轻这些原因? 有什么configuration的ASA会检测到这种情况发生,并自动恢复链接?
当我执行xl2tpd我有以下错误。 # xl2tpd -D xl2tpd[845]: parse_config: line 13: data 'ipsec sared=yes' occurs with no context xl2tpd[845]: init: Unable to load config file 当我删除“线13”我有同样的错误与“线14”,因此我不认为这个问题是关于“ipsec sared”这里是我的configuration文件xl2tpd.conf。 LINUX Ubuntu 12.0.4; Openswan IPsec 2.6.37; xl2tpd版本:xl2tpd-1.3.1 ; [global] ipsec sared=yes listen-addr=47.168.137.27 ; [lns default] ip range = 192.168.1.10-192.168.1.20 local ip = 192.168.1.1 require chap = yes refuse pap = yes […]
我们在ASA和梭子鱼NG之间build立了IPSEC隧道。 隧道是function性的,除了空闲时间非常短暂(几秒钟)之外,它只能从梭子鱼方面提升。 我感到有理由相信,ASA方面是正确configuration(但我是开放的想法,以防万一我错了),但我不知道梭子鱼。 如果有人知道这个设备 – 我们缺less什么? 保持活力在哪里设置? 而且,为什么隧道只能从侧面打开呢? 任何帮助深表感谢。