我怎么知道我的思科路由器是否安装了IPSec? 我进入configuration模式查看有关设置encryption策略的信息,但'crypto'关键字不可用。 这是一个迹象表明,它没有安装或我做错了什么? 编辑 :在运行show version | include IOS show version | include IOS命令,我看到我的2个路由器是: C2600-IPBASE-M Version 12.3(7) T3 和我的其他2路由器是: C2800NM-IPBASE-M Version 12.4(3g)
我的几个Windows服务器正在运行IPsec。 有一小部分在重启IPsec服务时出现问题。 因此,我想设置一个监视检查,以validationIPsec是否正常工作。 我希望这些testing尽可能完整。 哪个选项会提供最可靠的结果? 我想以下任何选项都可以工作,但我不确定哪个是最可靠的检测方法。 发起一个IPsec握手(不知道现在怎么样,也许安装strongswan vpn客户端?) validationIP协议50/51的可用性 validationUDP端口500可用性,例如sudo nmap secure-casadev -sU -p 500 -Pn
我正在看configurationIPSec,如下所示: 隔离 请求authentication入站和出站连接 计算机和用户(Kerberos V5) 我正在寻找跨所有服务器和域控制器一揽子部署。 工作站我会离开,因为没有设置。 双向森林信任的域控制器对我看来会有什么影响? 我应该排除受信任域控制器的IP地址吗? 我不想停止当前和受信任的林之间的通信,但是我希望在所有服务器上的当前林中使用IPsec。 受信任的林正在运行2008 R2,当前的林是2012 R2。
我们在100Mbps / 100Mbps广域网链路的边缘有一个Cisco 2901,为Juniper SSG 550M提供IPSec VPN端点。 问题是我们在IPSec VPN上看到的只有40Mbps的最大值,当VPN达到容量时,思科的CPU负载在80-90%左右,而且一直停留在那里,根本就没有下降。 show proc cpu sorted命令给我以下内容: CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 101 188804 47594649 3 0.23% 0.22% 0.21% 0 Ethernet Msec Ti 14 482964 385534 1252 0.23% 0.04% 0.05% 0 Environmental mo […]
我们在德国和中国的两个办事处之间成功build立了站点到站点IPSec VPN连接。 以下是两个网站,VPN和当前速度的特点: 德国 VPN路由器Zyxel Zywall USG 100 网站的网速:50/50 Mbps VPN隧道 types:IPSec 身份validation:SHA-1 encryption:AES-128 MSS自动 中国 VPN路由器Cisco RV180多functionVPN防火墙 网站的互联网速度:20/20 Mbps 当前速度 从德国到中国的Ping:250 – 350 ms 从中国到德国的平均时间:250 – 300毫秒 站点之间的文件传输速度:平均 10KB / S 从德国到中国的Traceroute 追踪路线到[10.67.8.189]最多30跳: 1 <1ms 1ms 1ms 10.67.5.1 2 * * *请求超时。 3 * * *请求超时。 4 370毫秒366毫秒336毫秒[10.67.8.189] 跟踪完成。 正如你所看到的,我们有重大的速度问题,甚至使远程桌面有时无法使用。 以前,我在这些站点之间使用了L2TP,性能要好得多,RDP可用。 任何意见赞赏。 如果您需要更多信息,请与我们联系。 最好, […]
我试图build立一个从我们企业networking边缘的Draytek路由器到数字海洋上的VPS的IPsec VPN。 我已经在Ubuntu 14.04机器上使用这个脚本在VPS上设置了VPN。 我相信脚本下载并安装libreswan并提示一些基本的configuration问题等。我已经对脚本创build的ipsec.conf进行了一些更改。 我的问题是,我可以从路由器ping到VPS,我可以看到VPS上显示的数据包来自路由器的私有IP地址,但是我没有试过让我将数据包路由回隧道到路由器。 因此,从路由器的pov看来,ping是超时的。 路由器在其一个接口上直接连接到互联网,并configuration了本地IP地址10.111.1.1。 VPS有一个直接连接到互联网的接口。 当build立VPN时,这是VPS上的路由表: Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface default 178.62.64.1 0.0.0.0 UG 0 0 0 eth0 10.111.1.1 * 255.255.255.255 UH 0 0 0 eth0 178.62.64.0 * 255.255.192.0 U 0 0 0 eth0 注意,第二个条目是在build立VPN时创build的。 如果我试着ping 10.111.1.1,我得到: PING 10.111.1.1 (10.111.1.1) 56(84) bytes of […]
我们最近设置了一个LibreSwan VPN,并且大部分它工作得很好。 我们遇到的一件事情是尝试查看当前login的用户。我在https://lists.openswan.org/pipermail/users/2011-January/020042find了一个用于查看活动解决scheme数量的解决scheme。但不是真正看到谁login会话(删除grep给出了很多细节,包括连接的IP,但不是实际的用户名)。 我目前的想法是grep / var / log / messages的连接和报告任何没有伴随的断开连接消息。 PPPD是足够好的标记所有的PID,这使得它有点直接,但我希望有一个更好的办法。
我目前正在探索在Azure中运行客户端VPN服务器的选项。 我已经检查了点对点VPNfunction,它似乎更像是一种pipe理员拨入的方法,而不是完全成熟的客户端VPN解决scheme。 其余选项之一是在Azure VM中运行客户端VPN服务器。 许多客户端VPN选项都以某种方式使用IPsec,它使用TCP / UDP以外的IP协议进行操作(ESP / AH)。 据我所知,Azure不允许TCP / UDP以外的stream量进入虚拟机。 基于端点的ACL只允许您selectTCP或UDP。 我刚刚对networking安全组(NSG)进行了调查,希望他们能提供一个解决scheme,但他们也只是在ACL中提供“TCP”,“UDP”或“*”作为协议选项。 这使我相信在Azure中运行IPsec服务器是不可能的。 这是正确的,还是有没有可用的选项,我还没有遇到? 显然有些选项只需要TCP / UDP(想到微软的SSTP),但是特别是在IPsec的问题上呢? 作为一个侧面的问题,在为Azure托pipe的资源提供客户端VPN时,还有哪些其他解决scheme可供人们解决?
我有2个使用OpenSWAN IPSec隧道连接的AWS区域。 这在我们的生产环境中工作良好,但在我们的testing环境中,其中一个区域长时间处于非活动状态,隧道将closures,我必须通过SSH连接到服务器并运行sudo service network restart才能使其sudo service network restart运行。 我在其他地方隐约可以看到IPSec会这样做,但是在任何指定任何types隧道超时的.conf文件中我看不到任何硬性规则和快速规则。 这只是IPSec的一个function,任何人都可以指向我的任何OpenSWAN / IPSec文档深入解释这一点,因为我找不到任何决定性的? 另外,在此基础上,最好的做法是让一个cron工作不断地通过隧道来持续保持永久性。 非常感谢,
在Cisco ASA中使用ESP-NULL转换集的优点是什么? 根据我的理解,变换集参数仅用于阶段1协商。 数据包仍按照phase2 SAencryption(crypto isakmp policy XXX),因此在实际传输数据时仍然会产生很多开销。 我唯一能看到ESP-NULL加速的是phase1协商。 我是正确的还是我误解转换集与isakmp策略