我想本机使用IPSec将Mac OS X(Lion)与Windows Server 2008(R2)连接起来。 最简单的设置:没有证书,没有工具,没有特别的。 只是一个Windows Server与IPSec“预共享密钥”身份validation。 看起来像一个容易的工作,但经过数周的研究,我仍然没有成功。 附上了Windows设置的屏幕截图。 它与Windows客户端完美配合,哪个版本无关紧要。 整个规则基于1to1连接,这意味着客户端连接(在NAT后面)到服务器(面向互联网)。 没有服务器硬件/networking防火墙,只是很简单: 客户端 – > NAT – 路由器 – >“互联网” – > Windows服务器 但无论我尝试在OSX(豹,雪豹,狮子) – 没有成功。 尝试像IPSecuritas的工具 – 没有成功。 我可以提供有关IPSec错误日志(握手问题)的详细信息,但首先我想我只是问 – 我无法想象我是世界上唯一连接OSX-> Windows与简单的IPSec … 谢谢,Ceka
我正在研究IPSec VPN解决scheme,允许iPhone / iPad连接到运行Gentoo的Linux服务器。 我已经能够使用PSK身份validation(PSK +login+密码)来获得VPN的预期function,但是我无法使用证书身份validation(证书+login+密码)来访问VPN。 我只运行Racoon(IPSEC),没有l2tp。 当我尝试从iPhone连接时,它有时会成功(很less,我什么时候也找不到模式)。 大多数情况下,iPhone无法连接“与VPN服务器协商失败”。 通过easy-rsa(使用openvpn安装)生成authentication。 如下: build-key-server ipsec-server build-key –pkcs11 mgorbach_mobile_iPhone 我是否错过了我的设置? path certificate "/etc/racoon/ssl"; remote anonymous { exchange_mode main,aggressive; ca_type x509 "ca.crt"; certificate_type x509 "ipsec_server.crt" "ipsec_server.key"; proposal_check claim; generate_policy on; verify_cert off; nat_traversal on; dpd_delay 20; mode_cfg on; ike_frag on; passive on; my_identifier asn1dn; script "/etc/racoon/phase1-up.sh" phase1_up; script "/etc/racoon/phase1-down.sh" […]
我试图configurationDebian挤作为用于Android设备的L2TP / IPSec VPN,但没有取得很大的成功。 到目前为止,我做了以下工作: 通过openswan实现IPSec成功configuration了Debian。 由于Android 4中的错误,我可以使用Android 2.3连接设备,但不能使用Android 4设备连接(请参阅http://code.google.com/p/android/issues/detail?id=23124 ) 在用浣熊replaceopenswan后,我来谈谈,其中: 我可以从安卓4与IPSec Xauth PSK连接(但只能从我的笔记本电脑Android ICS,而不是从ICS真正的平板电脑。当从平板电脑连接,我的服务器说,用户通过身份validation,似乎一切正常,但平板电脑说“连接不成功“ – 但这是中国设备与香肠,所以也许这是好的) 我可以使用Cisco VPN客户端进行连接 但是我无法使用任何使用L2TP / IPSec PSK的Android连接(我更喜欢这种协议,因为这可能只是所有Android客户端支持的select,不pipe版本如何) 我的configuration如下: racoon.conf会: path pre_shared_key "/etc/racoon/psk.txt"; log info; listen { isakmp 172.31.251.122[500]; isakmp_natt 172.31.251.122[4500]; } timer { natt_keepalive 10sec; } remote anonymous { exchange_mode aggressive; my_identifier fqdn "mydomain.com.pl"; doi ipsec_doi; generate_policy on; […]
我一直在与StrongSwan苦苦挣扎几天,试图让它做一些机会主义encryption。 我已经阅读了一些应该可以做到的地方,但是一直没能find任何configuration示例。 我想configuration它,使StrongSwan服务器不authentication客户端,但只是让他们创build一个encryption的连接无关他们是谁。 从而匿名客户端身份validation。 客户端应该通过服务器的公钥来validation它们是否连接到正确的服务器。 也就是说,如果服务器作为可用的Web服务器,每个人都应该能够连接 – 如果他们想要保护连接,则可以先创build一个IPSec关联。 (公钥是通过DNS获取的) 或者你知道任何其他能够支持“匿名”客户端连接的IPSec软件吗?
我想(种)创buildVPN客户端,我使用OpenSwan(L2tp / IPsec PSK)在Ubuntu上设置我的服务器。 我现在正在做的是发送数据包到我的服务器,并试图交换我的密钥与服务器。 这是我困惑的事情: Security Association我试图做Key Exchange但我不知道是否在密钥交换中,我应该发送我的编码PSK,或我使用Diffie-Hellmanalgorithm生成的数字? 另外DH如何与PSK一起工作? 如果我理解正确的话,服务器和客户端应该有不同的数字,双方从一开始就知道它们生成SecretPassword,那么它对PSK是如何工作的呢? 密钥交换后的Identification如何工作? 是发送我的PSK编码的SecretPassword之前生成或什么? 因为据我所知用户名和密码后来检查,或者我错了吗?
我有一个支持站点到站点IPSec的无线网关。 我已经使用/etc/ipsec.conf在Ubuntu Server 12.04(隧道的左侧)configuration了openswan: version 2.0 config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off protostack=netkey conn net-to-net authby=secret left=192.168.0.11 leftsubnet=10.1.0.0/16 leftsourceip=10.1.0.1 right=%any rightsubnet=192.168.127.0/24 rightsourceip=192.168.127.254 auto=add 我已经类似地configuration了无线网关(隧道的右侧)。 我正在使用主模式(不是主动模式)IKE阶段1,但它看起来像它失败之前,它进入阶段2.任何想法,为什么? 这里是tcpdump的输出: # tcpdump -vv -i eth0 udp port 500 or udp port 4500 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 00:11:26.042928 IP (tos 0x0, ttl 235, id […]
我们有一个服务器,是运行在一个单一的公共IP地址的VPS的Windows 2008。 我configuration了防火墙,允许在远程站点上与我们的Draytek路由器build立IPSEC VPN连接,并且VPS将其专用IP地址作为NIC上的备用IP地址添加。 从terminal位置(192.168.160.x),我可以ping通VPS 192.168.180.10的内部IP地址,没有任何问题,但是除非设置了源标志,否则从VPS发出的任何ping都不能通过VPN正确路由。 因此,ping 192.168.160.10无法正常工作(路由表明它将通过公共IP而不是selectVPN),但“ping -S 192.168.180.10 192.168.160.10”完全按照预期工作。 试图build立一个静态路由,但是这只是因为只有一个接口可以select。 也尝试通过回送适配器添加服务器的私有IP地址,但是我无法使用ping -S 192.168.180.10 8.8.8.8(例如)获得任何stream量到互联网。 有没有人有任何build议让Win2008正确设置隧道连接的源IP?
我试图将我的networking连接到IPSec VPN,为此,我的连接需要来自给定的域。 networking如下: Internal network eth1:10.0.0.1/14 eth0:1.2.3.4 ———————————– MY GW —————–+ | | 192.168.178.4 4.5.6.7 | SERVER ——————- VPN GW —————–+ 我需要从172.30.224.0/28的VPNnetworking中看到,所以在我的网关上,我添加了以下iptables规则: iptables -t nat -A POSTROUTING -d 192.168.178.4 -j SNAT –to-source 172.30.224.1 然后,从我的内部networking,当我ping 192.168.178.4我得到eth1上的请求和eth0上的响应: # tcpdump -n -i eth1 host 192.168.178.4 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening […]
早上好,我试图在pfSense防火墙上设置一个IPSec隧道。 我有2个接口configuration: WAN(公共防火墙IP:… / 31) 局域网(内部静态IP:192.168.104.0/29) 我build立了隧道,但是我总是在VPN启动时出错。 谁能帮我? 先谢谢你! pfSense日志: 11月7日11:38:31 racoon:信息:不支持的PF_KEY消息注册 11月7日11:38:31 racoon:[Self]:INFO:95.110.168.135 [500]用作isakmp端口(fd = 15) 11月7日11:38:31 racoon:[Self]:INFO:95.110.168.135 [500]用于NAT-T 11月7日11:38:31 racoon:[Self]:INFO:95.110.168.135 [4500]用作isakmp端口(fd = 14) 11月7日11:38:31 racoon:[Self]:INFO:95.110.168.135 [4500]用于NAT-T 11月7日11:38:31 racoon:信息:从“/var/etc/racoon.conf”读取configuration 11月7日11:38:31 racoon:信息:@(#)本产品链接OpenSSL 0.9.8n 2010年3月24日( http://www.openssl.org/ ) 11月7日11:38:31 racoon:信息:@(#)ipsec-tools 0.8.0( http://ipsec-tools.sourceforge.net ) IPSec阶段1: 接口:WAN 远程网关:对等公共IP authentication方法:相互PSK 我的标识符:IP地址(我的公共IP地址) 对等标识符:IP地址(对等公共IP) 预共享密钥: ********************** 策略生成:默认 build议检查:默认 encryptionalgorithm:3DES 哈希algorithm:MD5 DH键组:2 NAT穿越:启用 […]
我在思科ASA 5505上设置了一个远程访问VPN。我可以通过我的电话或思科客户端连接到我的ASA,但是当通过VPN连接时,我无法连接到内部局域网中的设备。 设置如下: 内网:10.0.0.0/24 VPN_POOL:172.16.0.0/24外网:192.168.1.0/24 ASA不是外围路由器,在连接到我的有线电视提供商的192.168.1.0/24networking上有另一个设备。 显然UDP端口500和4500被转发到ASA的外部接口。 一切工作完美,除了VPN的东西。 configuration: interface Vlan1 nameif inside security-level 100 ip address 10.0.0.254 255.255.255.0 interface Vlan2 description Outside Interface nameif outside security-level 0 address 192.168.1.254 255.255.255.0 object network VPNPOOL subnet 172.16.0.0 255.255.255.0 object network INSIDE_LAN subnet 10.0.0.0 255.255.255.0 然后是免除NAT规则。 nat (inside,outside) source static INSIDE_LAN INSIDE_LAN destination static VPNPOOL VPNPOOL 我不认为这是VPNconfiguration的问题,因为我可以成功build立VPN连接,但只是为了防止在这里发布: […]