+———-+ +——-+ Client 1 | +————–+ +—————+ +———-+ +————+ | +———-+ | Web Server +————-+ Cisco ASA5585 +———+ Internet +———–+ StrongSwan +——–+ IP: 10.2.0.1 +————–+ +—————+ +———-+ +————+ | | +———-+ +——-+ Client 2 | Internal Web server External IP: 1.1.1.1 External IP: 2.2.2.2 +———-+ https://some.webservice.net Internal IP: 10.1.0.1 IP: 10.3.0.1 192.168.0.1:443 客户端1和客户端2位于不同的/ 20个子网中,需要通过主机访问远端的内网服务器,以承载StrongSwan服务器和远端Cisco ASA设备之间的IPSEC […]
我正在使用strongswan作为vpn服务器的公路战士。 我有两台机器运行这个软件,一个是raspbian,另一个是CentOS 7.这个raspbian机器工作正常,但不是CentOS。 CentOS的问题似乎是数据包没有隧道。 这是来自tshark的输出。 88 6.655929830 67.22.27.75 → 10.202.121.120 ESP 146 ESP (SPI=0xc542d5c5) 89 6.655929830 192.168.3.1 → 8.8.4.4 DNS 71 Standard query 0x26a6 A dealsea.com 67.22.27.75是roadwar的ip,192.168.3.1是strongswan分配的虚拟ip。 在raspbian的工作实例中,tshark输出如下所示: 45 3.318470851 104.38.166.37 → 10.111.58.102 ESP 146 ESP (SPI=0xc7ca8886) 46 3.318470851 10.202.122.1 → 8.8.4.4 DNS 67 Standard query 0x10af A psu.edu 47 3.318656688 10.111.58.102 → 8.8.4.4 DNS […]
我想在iOS设备上连接Strongswan IKEv2 VPN。 它使用FreeRADIUS服务器为用户的AAA。 它已经在Android和Windows设备上完美运行。 但是当我尝试使用iOS设备进行连接时,会显示下面的日志。 我手动制作VPNconfiguration文件并手动安装.p12证书以进行服务器身份validation server hostname: nas.example.com server ip: 89.89.89.89 client ip: 99.99.99.99 ipsec.conf文件 config setup charondebug="all" uniqueids=no conn ikev2-vpn auto=add compress=yes type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024,3des-sha1-modp1024! esp=aes256-sha1,3des-sha1! dpdaction=clear dpddelay=3600s dpdtimeout=5s rekey=no left=%any leftid=89.89.89.89 leftcert=vpn-server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-radius #rightauth=eap-mschapv2 rightdns=8.8.8.8,8.8.4.4 rightsourceip=10.10.10.0/24 rightsendcert=never eap_identity=%identity 服务器端日志 Oct 06 02:14:43 nas.example.com charon[3607]: 13[NET] […]
我一直试图find解决这个问题的好几天,直到我决定向社区寻求帮助。 这里是问题的细节: Windows 2012 R2服务器位于NAT路由之后,它是一个域控制器,它承载了RRAS,NPS和AD CS的angular色 路由器configuration了端口UDP 500和4500,允许L2TP和IPSec传递 客户端是Windows 10 Pro与最新的Windows更新 使用预共享密钥的L2TP / IPSec和使用EAP-MSCHAP-v2的SSTP可以很好地工作 带证书的L2TP / IPSec不起作用(错误代码810) 带EAP-MSCHAP-v2的IKEV2返回错误13806。 VPN服务器的计算机存储在Personal中具有一个证书,该证书包含服务器身份validation和客户端身份validation以及IP安全IKE中介和主题名称CN =路由器的外部IP地址,以及受信任根CA中的CA证书 VPN客户端是一台域计算机,它在受信任的根CA中具有CA证书,在Personal中也具有相同的VPN服务器证书和计算机证书(自动注册),但是,我使用外部WiFi连接到Internet。 VPN连接使用上面相同的IP地址 任何build议将不胜感激!!
我有一个运行在Ubuntu 14.04 VPS上的LibreSwan VPN服务供个人使用。 它使用https://github.com/hwdsl2/setup-ipsec–vpn方便地设置。 VPN服务在连接时正确处理所有的互联网stream量。 但是,我想排除某些stream量被VPN处理(例如像youtube.com这样的高数据使用率站点)。 有没有办法configurationVPN服务器绕过这样的stream量,并允许客户端直接访问某些主机/子网? 我阅读https://libreswan.org/man/ipsec.conf.5.html这似乎表明,可以使用leftsubnets指定服务器应处理的多个目标networking,但我想指定服务器的目标networking不处理。 可能吗?
任何人都可以请帮我在IPSec阶段2中的消息ID和使用它的目的是什么? 它是由发起者计算的一个随机生成的数字,但我不明白在阶段2中使用消息ID的目的。
我有VPN服务器,我有大约500个客户,他们都使用相同的用户名/密码凭证来连接我的VPN服务器,但连接问题开始后,将250个用户连接到VPN服务器。 我怎样才能增加并发连接的限制? (服务器上没有负载)
堆栈溢出链接我正在关注。 (anwser第1步的最后一步 我试图更改我的服务器的入站/出站安全组,但ESP不在协议列表中。 我试图创build一个自定义协议,但是当我尝试通过我的客户端连接时,我得到相同的错误消息: 由于尝试的VPN隧道失败,未build立远程连接。 VPN服务器可能无法访问。 如果此连接尝试使用L2TP / IPsec隧道,则IPsec协商所需的安全参数可能未正确configuration。 我已经完成了Stackfault的所有步骤,所以我应该能够连接到我的服务器,这是我“跳过了”的唯一步骤。
我需要一个VPN服务器,我可以通过我的用户名,密码和vpn域从任何Windows机器与默认客户端进行连接。 即: 域名:mydomain.com 用户名:myusername 密码:mypassword 我有来自LetsEncrypt的我的域的证书。 所以,我不想使用自签名证书,因为它们必须传输到每个客户端的机器上(这在我的情况下是不可能的)。 我希望他们使用来自LetsEncrypt的公共SSL证书。 我没有find这种情况下的任何解决scheme。 看来最stream行的解决scheme是使用OpenVPN。 但在这种情况下,我需要问客户端安装OpenVPN客户端(这是一个问题,但可能的解决scheme),然后以某种方式将证书传输到他们的机器(这是不可能在我的情况下)。 是否可以在CentOS上为Windows上的默认客户端configurationVPN服务器?
我只需要将stream量从客户端转发到VPN服务器,仅用于特定的子网,即10.10.10.0/24 例如,如果客户端发送请求到123.123.123.123那么他们将使用他们自己的互联网。 如果客户端向10.10.10.123发送请求,则他们将使用VPN连接。 是否可以configurationstrongswan? 目前来自客户端的所有stream量均通过VPN服务器进行代理。 这是我的strongswanconfiguration: config setup uniqueids=no charondebug = ike 3, cfg 3 conn %default dpdaction=clear dpddelay=35s dpdtimeout=2000s keyexchange=ikev2 auto=add rekey=no reauth=no fragmentation=yes compress=yes ### left – local (server) side # filename of certificate chain located in /etc/strongswan/ipsec.d/certs/ leftcert=fullchain.pem leftsendcert=always leftsubnet=0.0.0.0/0,::/0 ### right – remote (client) side eap_identity=%identity rightsourceip=10.10.11.0/24,2a00:1450:400c:c05::/112 rightdns=8.8.8.8,2001:4860:4860::8888 conn ikev2-mschapv2 rightauth=eap-mschapv2 […]