我已经在这里问了一个相关的问题 – 无法路由回从VPS的IPsec隧道 – 但我已经回答了,并稍微移动了一下。 我试图达到的最终目标是: 我们有一堆4G路由器,就像英国的标准一样,它们坐落在几层运营商级NAT之后,因此不能公开寻址。 我们需要能够从AWS上的服务器与这些路由器进行交谈。 我的想法是build立一个具有静态IP地址的VPS,并build立从4G路由器到VPS的VPN。 然后,我们可以通过VPS上的公共IP与4G路由器进行通信,这些IP将被设置为将通信量转发回VPN隧道。 我在哪里: 我已经在Digital Ocean上build立了一个VPS,并使用这个脚本build立了一个libreSwan IPSec VPN – https://github.com/philplckthun/setup-simple-ipsec-l2tp-vpn – 并从路由器获得了成功build立的VPN到VPS。 我可以从VPS ping路由器和连接到路由器的其他设备(这是我最初的问题)。 路由器被设置为使用VPN隧道作为默认路由,当我从路由器ping VPS时,我可以看到从路由器本地地址到达的数据包(与连接到路由器的设备相同),但现在我遇到了问题,如果我从路由器ping一个networking地址(例如8.8.8.8),我可以看到数据包打到VPS,但是他们没有被转发到互联网(通过在互联网上ping另一台计算机并观察TCPdump)。 我已经在/etc/sysctl.conf(net.ipv4.ip_forward net.ipv4.ip_forward = 1 )中设置了转发,并在iptables中启用了MASQUERADE( -A POSTROUTING -o eth0 -j MASQUERADE )。 我也尝试了几个我在网上find的其他iptables规则,但没有任何帮助。 networking图: laptop (used for testing) — 4G router — Internet/VPN tunnel — DO VPS 192.168.0.159 192.168.0.1 public IP 如果我从笔记本电脑ping […]
我在mikrotik路由器和Google Cloud Platform VPN之间build立了一个VPN。 根据VPN控制台上对等IP旁边的绿色检查,VPN已启动,但所有ping都超时。 > /ip ipsec policy print Flags: T – template, X – disabled, D – dynamic, I – inactive, * – default 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes 1 src-address=192.168.88.0/24 src-port=any dst-address=10.240.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=xxx.xxx.xxx.xxx sa-dst-address=yyy.yyy.yyy.yyy proposal=default priority=0 其中xxx.xxx.xxx.xxx是我的路由器的公网ip,yyy.yyy.yyy.yyy是IP到VPN的服务器; 192.168.88.0/24是我的家乡局域网,10.240.0.0/24是远程局域网。 > ping address: 10.240.0.1 […]
我所涉及的IT部门在一个国家设有办事处,阻止访问各种众所周知的服务,如Skype。 我可以通过将所有通过IPSec的stream量路由到总部办公室来解决问题,但是带宽有限。 有什么办法可以通过IPSec连接将所有stream量路由到云提供商,并在那里打开互联网? 如果存在这样的事情,我可以使用专门的服务,或者使用通用云提供商和网关产品来构build服务。 我曾尝试使用Azure,但这似乎并不可行。
StrongSwan(作为响应者)为每个传入发起者密钥交换意向select一个configuration的连接(在ipsec.conf连接段)。 strongSwan在哪些时候select连接configuration? 是否根据迄今为止收集的知识逐一缩小可能的联系? 例如,在IKEv2交换中,第一个数据包还没有包含标识符(“rightid”),但是与keyexchange=ikev1连接已经不存在了。 第一个响应(如果没有涉及cookie的话)应该已经指出了为IKE SAselect的algorithm,所以必须select一些连接。 那么strongSwan怎么可能做到这一点呢?
我租用一套专用服务器,他们只有一个单一的互联网接口。 但是,对于很多用例,我希望我的服务器通过专用IPnetworking进行通信。 例如,这将允许我只将内部服务(ldap,puppet master,apt repository,bind)公开给局域网。 理想情况下,我想能够有一个看起来像专用networking(每台机器将有一个新的虚拟接口,本地IP)的覆盖networking,但运行在互联网上。 我已经预先使用了freelan,除此之外,我不想再使用这样一个充满异国情调的堆栈。 我想知道GRE / IPSec是否可能? 从我看到的,我将不得不为每个主机上的每个对等点configuration一个GRE接口,以获得完整的网格。 有一个更简单的解决scheme? 这似乎与同龄人的数量没有太大的关系。
Linux内核(?)可以在与思科端点一起使用的情况下,实现GRE保持活动? 我们已经与另一家公司build立了GRE IPsec隧道。 我们希望有一个主要死亡时应该激活的备份隧道。 因此,他们启用GRE保持活动状态,以检测故障并将路由切换到备用隧道。 我们依赖于他们提出的技术(另一种解决scheme不能使用)。 我们怎样才能完成这样的沟通? 我很惊讶在iproute2和内核中找不到它。 这只是popup来,但它似乎不是可靠的生产使用。 更新: 我们目前的configuration是: Ubuntu服务器14.04 LTS ,内核3.13.0-24-generic racoon和setkey守护进程来pipe理IPsec iproute2在GRE模式下启动隧道 我们必须使用GRE保持活力。 他们告诉我们,除非我们启用保活措施,否则没有办法(好吧,不是技术上,但我想这是他们的政策)build立备用隧道。 问题是,是否可以使用上面提到的服务器configuration?
我试图build立一个局域网到局域网的IPsec隧道,在一个端点,我有一个旧的CISCO 871W运行IOS 12.3(8)YI2。 命令“tunnel mode ipsec ipv4”不起作用: router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#interface tunnel 1 router(config-if)#tunnel mode ipsec ipv4 ^ % Invalid input detected at '^' marker. router(config-if)#tunnel mode ? aurp AURP TunnelTalk AppleTalk encapsulation cayman Cayman TunnelTalk AppleTalk encapsulation dvmrp DVMRP multicast tunnel eon EON compatible CLNS tunnel […]
我想知道哪个是IPSec的默认端口。 我试图连接所有的默认端口,但我没有成功。 另外,我已经向他们申请了NMap,但没有回应。
我试图与另一方合作,在我们和他们之间build立一个站点到站点的IPsec VPN。 我们在NAT后面,所以需要他们的思科(IOS 9.1.7上的ASA 5510)匹配我们的IKE ID(Cisco说法中的key-id)。 问题是对方说他们只能在全球范围内启用key-id,而不是在隧道级别,所以他们不能这样做,因为会影响到其他的VPN。 这是正确的,键ID匹配是一个全或无的事情? 如果启用,它用于所有隧道,而不仅仅是那些需要它? 我发现的唯一的文献是思科本身 ,似乎意味着一个全球性的范围,但我不是思科configuration的专家,因此这个问题。 要更改对端标识方法,请input以下命令: encryptionisakmp标识{地址| 主机名| key-id id-string | 汽车} 有没有其他的办法可以正确匹配我们NAT的IPsec隧道? 我们仅限于使用PSK的IPsec和IKEv1。 不幸的是,证书不是一个选项。
我创build了一个IPsec VPN服务器,并且我已经实现了一个IOS客户端来连接它,双方都能正常工作。 现在,我想添加一个内容过滤为了过滤掉一些URL(如广告提供商的URL …),我试图在客户端使用iOS编程实现这一点,但这需要从苹果授予一些特殊的权利。 所以我想问一下在VPN服务器中是否可以实现这个function? IPsec在configuration中提供了一些类似的function吗? 请让我知道,如果我在错误的path我是新来的VPN和我的理解是有限的。 提前致谢。