我已经成功地在Ubuntu上安装了openswan,pppd和xl2tpd的VPN服务器。 一切正常,但我很难find如何只允许/ etc / ppp / chap-secrets文件中列出的每个用户的一个VPN连接? 现在用户可以有无限的连接,这对我来说是令人担忧的,因为我已经与一些朋友共享了VPN的访问权限,但是担心他们可能会继续传播用户名/密码。
我相信我已经遵循了所有的指示,而我的胜利7确实被连接了,但是没有互联网。 背景: 服务器操作系统 :在linode xen VPS上的Ubuntu 12.04 strongSwan版本 :4.6.4 /etc/ipsec.conf中的configuration: config setup charonstart=yes plutostart=yes nat_traversal=yes uniqueids=yes conn ios keyexchange=ikev1 authby=xauthpsk xauth=server left=%defaultroute leftsubnet=0.0.0.0/0 leftfirewall=yes right=%any rightsubnet=10.11.0.0/24 rightsourceip=10.11.0.0/24 pfs=no auto=add conn win7 keyexchange=ikev2 ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=clear dpddelay=300s rekey=no left=%defaultroute leftsubnet=0.0.0.0/0 leftauth=pubkey leftcert=serverCert.pem leftid="C=CH, O=strongSwan, CN=VPS ip" right=%any rightsourceip=10.11.1.0/24 rightauth=eap-mschapv2 rightsendcert=never eap_identity=%any auto=add 在/etc/strongswan.conf中添加了dns: charon { dns1 […]
我有两个办公室设置在两个遥远的地方,通过IPSec VPN连接(使用pfSense)。 在一个办公室,我有一个Asterisk PBX,所有的分机都连接在一起,Asterisk PBXconfiguration了一个Flowroute中继。 这是一些ascii图: ————– ————— ————- | office 1 | IPSec | office 2 | lan | Asterisk | | pfsense | ——– | pfsense |————-| | ————– ————— ————- | | | | internet link 1 internet link 2 当我从办公室2通过Flowroute拨打电话时,他们工作得很好。 但是,当我从办公室1拨打电话时,有一些回音。 我使用IP电话,所以回声不是由模拟terminal造成的。 我的猜测是办公室1的SIPstream量正在通过VPN,然后路由到Flowroute(通过互联网链路2)。 我怎样才能使交通路由通过互联网链接1呢? 我只想使用IPSec上的SIP通信进行内部呼叫(办公室2的办公室1呼叫分机上的分机,其中一些回声可接受)。
我正在组织中启用IPSec和Windows高级防火墙。 我们也在使用MDT 2010进行操作系统部署。 这是我第一次尝试一个新的sysprep和捕获过程,我得到超时。 更具体地说,“不能与分配份额build立联系”。 当我尝试ping DEPLOYSERV时,需要很长时间才能开始响应。 我的猜测是,由于IP地址没有改变,服务器期望WinPE环境使用IPSec进行响应,而不能使用IPSec。 服务器处于请求入站和出站模式。 我可以做什么来纠正这种行为,而不需要对服务器端IPSecconfiguration进行任何修改(对于其他客户端,这需要保持不变)?
我有一个非NAT的Openswan + xl2tpd服务器(Ubuntu 12.04),我连接到NAT后面的Windows 8。 经过一段时间的无所事事之后,客户失去了联系(30到60分钟之间,但我没有时间)。 客户端没有启用它应该杀死不活动的连接。 它也没有进入睡眠模式。 我也尝试将杀死时间设置为24小时,但这并没有帮助。 客户端所在的NAT路由器是Debian Linux, 它的路由器是一个Cisco,它将我们直接连接到服务器所在的数据中心。 我们的其他连接(如SSH)没有任何连接因没有任何活动而中断(因为廉价的路由器)。 不过我尝试打开/etc/ipsec.conf的keepalive: config setup (…snip…) nat_traversal=yes force_keepalive=yes keep_alive=10 但是这并没有帮助。 正如你在后面的configuration中看到的,死对等检测的行为是清楚的。 这将是第一个需要解决的问题,但我需要清楚,因为人们将会从厨房的水槽连接到任何地方。 此外,正如我所说的,在现在的testing环境中,我看不到任何设备会中断连接。 (编辑:'重启'也有同样的效果) 这是它发生的一次: Jul 18 16:18:06 host xl2tpd[1918]: Maximum retries exceeded for tunnel 49070. Closing. Jul 18 16:18:06 host xl2tpd[1918]: Terminating pppd: sending TERM signal to pid 18359 Jul 18 16:18:06 host […]
我正在阅读这个教程 , 您的网关证书必须具有:“扩展密钥用法”标志,明确允许将证书用于身份validation目的。 具有OID 1.3.6.1.5.5.7.3.1(通常称为TLS Web服务器身份validation)的serverAuth EKU将执行此操作。 如果您使用OpenSSL生成证书,请包含该选项 但是,我很困惑,什么gateway certificate意思? 它们是指CA,服务器的私钥还是发送给客户端的公钥? 他们想要的参数–flag serverAuth在两者中都是有效的 ipsec pki –self ipsec pki –issue 我不明白 – –self和 – –issue之间的区别
我们有一个网站到现场IPSEC VPN,两个端点都是Cisco PIX 515e的。 两端的链接都是100MB,但VPN上的速度(使用jperflogging)最多为4MB。 显然这代表了我们应该得到的速度的巨大鸿沟。 我很欣赏将有VPN的开销,但肯定不是那么多。 看着它,两个PIX的所有接口都将其MTU设置为1500.运行一些testing来检查pathMTU显示如下: 通过VPN隧道 SITEA – > SITEB = Path MTU 1300 SITEB – > SITEA =pathMTU 1434 不使用VPN隧道 SITEA – > SITEB = Path MTU 1500 SITEB – > SITEA = Path MTU 1500 所以; 在创build隧道之前,pathMTUbuild议1500的接口MTU是可以的。 然而,在VPN上运行相同的testing返回较低的build议MTU,并在那个不同的testing。 我们应该把我们的PIX上的MTU放到build议的1300/1434值中的一个还是一个红鲱鱼? 和; 如果我们将MTU降到这些值,我们是否也需要相应地更改MSS(两个设备上的当前默认值)。 任何指导,将不胜感激,因为这不是一个链接,我们可以尝试101件事情没有正当理由,由于业务性质和链接。 提前谢谢了。
具有完整debugging级别(4)的charon.log如下所示: Jan 21 16:09:47 00[DMN] Starting IKE charon daemon (strongSwan 5.0.4, FreeBSD 10.0-RELEASE, amd64) Jan 21 16:09:47 00[LIB] plugin 'aes': loaded successfully Jan 21 16:09:47 00[LIB] plugin 'des': loaded successfully Jan 21 16:09:47 00[LIB] plugin 'blowfish': loaded successfully Jan 21 16:09:47 00[LIB] plugin 'sha1': loaded successfully Jan 21 16:09:47 00[LIB] plugin 'sha2': loaded successfully Jan […]
我们configuration了FortiGate 50B,将stream量从本地networking192.168.10。*(这是我们的办公室)路由到远程networking172.29.112。*使用ipsec隧道。 一切工作正常,只要我的电脑有从192.168.10。*的IP。 我们也可以使用ssl vpn连接从家里连接到办公室networking。 一旦连接,我们从10.41.41 *收到一个IP。 现在我想允许从10.41.41。*到172.29.112。*的stream量stream量,就像办公室networking一样。 有人能指出我需要做什么吗? 谢谢,Sascha
使用公共DNS与我们或我们的合作伙伴控制的DNS相比,是否存在已知的风险? 我们的解决scheme涉及一些embedded式设备,所以使用Google DNS会给我们一定程度的可移植性,当我们在各种地方部署时,即只要我们有一个有效的互联网连接,那么我们通常可以打谷歌的DNS(并不总是如此但通常)。 鉴于我不是DNS如何工作的专家,我能想象的情况就是这样的 a)我们的路由器(或其他充当DHCP服务器的设备)通过专用networking分配地址,并向DNS发送新的logging。 b)其他人的“劫持”logging并将其指向我们私人西北部以外的其他地方。 c)下一次,我们的专用networking上的某些东西试图parsing专用networking上的一台机器的名称,它将被redirect到一个恶意服务器。 这种攻击甚至可能吗? DNS服务器如何确定来自我们域的更新确实来自我们的域名? 我知道有自己运行DNS服务器的最佳实践,但是有什么等效的最佳实践,您应该遵循客户端? 注意:我并不担心Google能够学到什么(他们不会学到太多东西,因为我们只能访问我们自己的服务,像Windows Update,Azure等)。 我更担心的是,通过使用公共服务,我们会使第三方恶意的东西。