我需要理解和解决我的问题。 我知道openswan的作品,因为当我从家庭networking与内部IP地址10.0.0.97连接到工作的VPN,我可以ping,但是当我使用公共xFinity WiFi它表明隧道已经到了,但我不能ping我的VPN的内部主机。 当我成功连接到公共Xfinity WiFi时,我的IP是: inet addr:10.232.204.146 Bcast:10.255.255.255 Mask:255.224.0.0 这里是路线-n root@ubuntu:/etc# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10.224.0.1 0.0.0.0 UG 0 0 0 wlan0 0.0.0.0 10.224.0.1 0.0.0.0 UG 0 0 0 wlan0 10.224.0.0 0.0.0.0 255.224.0.0 U 9 0 0 wlan0 当我在这个时候,我可以ping通和浏览互联网。 当我启动ipsec / openswan。 我明白了 root@ubuntu:/etc# […]
我试图在AWS中托pipe的两个对等设备之间设置一个ipsec VPN,但是我无法使其工作,我的环境如下: 一个对等体拥有10.10.1.100作为私有IP,8.abc作为公共IP,远程客户机可以从IP 9.dec访问,我已经被告知在configuration中遵循这个参数: 阶段1设置: •IKE版本:IKEv2 IKE身份validation方法:预共享密钥 •IKEencryptionalgorithm:AES256 •IKEvalidationalgorithm:HMAC_SHA256 •IKE Diffie-Hellman组:组2 – 1024位 IKE阶段1生命周期:86400s •IKE交换模式:主要 阶段2设置: •encryptionalgorithm:AES256 •validationalgorithm:HMAC_SHA256 •Diffie-Hellman组:组2 – 1024位 •阶段2的生命周期:3600s 所以我在ipsec.conf文件中设置了一个同伴 # ipsec.conf – strongSwan IPsec configuration file # basic configuration config setup charondebug="ike 4, knl 2, cfg 2, net 4, lib 2, chd 4, mgr 4, enc 4" # strictcrlpolicy=yes # uniqueids […]
在IPv6架构中,我有一些关于VoIP的基本问题,现在我在v4架构中运行VoIP,并且正在考虑将所有内容都改为v6。 我的问题不是很实际,但是我想理解。 问题1: 如果我有互联网完整的v6或v4,并启用我的v6路由器上的IPsec,我仍然需要通过互联网VPN? 因为我的路由器无论如何都会交换他们的pub / priv密钥或他们的证书来确保通信。 问题2: 如果问题1的答案是肯定的,那么我只有两个好处把我的VoIP架构放到IPv6中,对我来说第二个好处就是我不再拥有的NAT。 我知道现在我仍然应该使用NAT-PT,Tunneling等等,但是在第六版中它们还有其他的优点吗? 谢谢
我正在尝试使用GRE over IPsec隧道来build立VPN连接。 问题在于它涉及某种我不明白的“回送”连接 – 更不用说能够configuration了,唯一的帮助就是configurationCisco路由器。 我的networking由一台运行Debian Linux的路由器和一台主机组成。 我的任务是在IPsec基础设施上创build一个GRE隧道,这个隧道特别用于在我允许configuration的networking和一个远程networking之间路由多播信息stream,对于这个远程networking,我只需要一个包含一些设置信息(IP IPsec的地址和相位信息)。 目前只需要在单个主机和远程networking之间build立一个通信就足够了,但是将来需要把stream量路由到我的networking上的其他机器上。 正如我所说的这个GRE隧道涉及一个“回环”连接,我不知道如何configuration。 从我以前的理解来看,回送连接只是一个本地的伪设备,主要用于testing目的,但在这种情况下,它可能是更具体的,我不知道的。 我已经设法使用racoon和ipsec-tools正确build立IPsec通信,我相信我熟悉创build隧道和使用ip添加地址到接口,因此重点放在GRE步骤上。 最糟糕的部分是远程对等端不响应ping请求,并且由于stream量的encryption特性,所以一般设置的debugging非常困难。 有两对IP地址:一对用于GRE隧道点对点连接,一对用于“环回”部分。 还有一个涉及的IP范围,它应该是VPN内主机的最终IP地址。 我的问题是:如何(或如果)可以完成此设置? 我需要一些特殊的软件或其他守护进程,还是Linux内核处理GRE / IPsec隧道的每个方面? 请告诉我,如果任何额外的信息可能是有用的。 任何帮助是极大的赞赏。
我试图通过IPSec将Win Server 2k8 R2系统连接到远程机器。 为此,我从对方得到以下设置: 阶段1:PSK,AES256,SHA-1组2 阶段2:AES256,SHA-1 encryption域:xxx.yyy.zzz.0 / 24 < – > aaa.bbb.ccc.ddd 要testingIPSec连接,请使用xxx.yyy.zzz.104:22(telnet到该端口)。 其中xxx.yyy.zzz是远程IP地址的前三个字节,aaa.bbb.ccc.ddd表示我们的2k8 R2服务器的IP地址。 我尝试在具有高级安全性的Windows防火墙中设置IPSec连接,但是selectPSK作为第一种身份validation方法将禁用第二种身份validation方法。 我也尝试创build一个带有IPSec(L2TP / IPSec)的Layer 2隧道协议types的VPN,这是我可以提供PSK的“常规”方式。 但是,我不知道如何设置所有其他设置,如AES,SHA,IP地址,第二authentication方法等等。 我从来没有build立过一个IPSec连接,所以我对这个领域是完全陌生的。 详细的说明或者一些提示,我是否正在朝着正确的方向寻找,对我非常有帮助。 我知道在这里可以find类似的问题: 我可以使用Win 2k8 R2作为IPSEC客户端吗? 。 但我不知道如何解决问题的基础上提供的答案。
鉴于最近的一些蠕虫,我正在寻找进一步限制我面向公众的Win2k3服务器访问terminal服务的方法。 防火墙IP地址限制是不是一个选项,因为真正的客户端都在dynamic地址。 看起来最可能的select是在服务器上设置IPSec VPNfunction。 这看起来会涉及到一些摆弄,所以我想我会检查是否有其他人有这样的经验,IPSec是否是最简单和最轻的方法?
我们的客户约有10个不同的办事处。 总公司有一个路由器,它维护到所有站点的IPSec VPN连接。 每个站点都有自己的IP范围,例如.. 192.168.50.x 192.168.60.x 192.168.70.x 我们想要做的是通过VPN将我们办公室的路由器连接到总部。 一旦我们这样做了,我们是否可以访问连接到总部的所有其他网站? 我们已经设法使VPN连接,但目前只能ping /连接到总部的路由器和计算机。 这是一个configuration的东西,还是我们使用错误types的VPN? 我知道用PPTP VPN我们可以访问整个networking,但是总公司的路由器不支持PPTP。
我有以下问题。 我有使用防火墙标记的SA。 所以只有具有该标记的数据包才能被编码和解码。 我设法设置应该被编码的数据包的标记,但是我不能让对方工作。 我有传入的数据包需要解密,我需要为这些设置正确的标记。 我实际上可以使用下面的命令设置标记: iptables -t mangle -A PREROUTING –proto esp -j MARK –set-mark 1 但是该规则匹配所有传入的esp数据包。 但是我会有多个SA,我需要设置不同的标记。 我尝试使用reqid或spiselect,但只要我尝试,规则不匹配任何东西。 有人可以帮我得到iptables命令吗? 最好的祝福, 斯特芬 root@vpn-b:~# setkey -D 10.5.0.2 10.5.0.1 esp mode=tunnel spi=3296784692(0xc480f134) reqid=1(0x00000001) E: aes-cbc c5eb72ab 906d5717 67e405f5 cfe73f7a A: hmac-sha1 6935290e e51f0965 06577876 0d6237d6 45a0083d seq=0x00000000 replay=32 flags=0x00000000 state=mature created: May 15 22:23:06 2012 current: […]
我一直沮丧地把头发扯掉太久,并决定Serverfault可能会有帮助。 任何人都可以解释这个? 我已经重新安装了openswan / ipsec多次清除,我已经重新生成了钥匙,我已经试过,只要我能想出,一切。 服务器1 [root@db1 ipsec.d]# ipsec auto –add db-to-db conn 'db-to-db': not found (tried aliases) [root@db1 ipsec.d]# cat /etc/ipsec.d/db1.conf conn db-to-db left=10.0.10.61 leftid=@db1 leftrsasigkey=0sAQO…co9sz leftnexthop=%defaultroute right=10.0.10.62 rightid=@db2 rightrsasigkey=0sAQP…7iex3cd rightnexthop=%defaultroute authby=rsasig auto=start [root]@db1 ipsec.d]# tail /var/log/secure Oct 17 06:56:51 db1 pluto[1567]: packet from 10.0.10.62:500: received Vendor ID payload [Openswan (this version) 2.6.32 ] […]
我试图在我的办公室和我们的亚马逊VPC之间创build一个ipsec隧道。 但是我从来没有使用ipsec,所以我迷路了。 网关/防火墙在FreeBSD 8.3-RELEASE-p16上运行pfsense 2.1.3-RELEASE(i386)。 办公室networking使用192.168.1.0/24和192.168.2.0/24(OpenVPN客户端)。 VPC使用10.0.0.0/24。 VPC网关使用静态路由。 我已经尝试了解如何在不同的指南上创build隧道,但大多数人对ipsec的工作方式感到困惑,或者指南是针对不同版本的pfsense / aws,而且由于我缺乏理解,所以我很难翻译它。 有些指南是关于虚拟IP的,有些则不是,等等。 所以我虚心地问,这里有没有人可以创build一个一步一步的指导,我创buildpfsense的通道,也许试图解释事情如何运作。 这是我从亚马逊configuration指南(凭证和办公室ip混淆) IPSec Tunnel #1 ================================================================================ #1: Internet Key Exchange Configuration Configure the IKE SA as follows – Authentication Method : Pre-Shared Key – Pre-Shared Key : – Authentication Algorithm : sha1 – Encryption Algorithm : aes-128-cbc – Lifetime : 28800 seconds – […]