我已经使用在CentOS上运行的OpenSwan 2.6.38成功安装了基于IPsec VPN(PSK)的L2TP。 连接可以从Windows 8完美工作。 但从iPhone 4(ios 5.1)或Android 4.1的全部不起作用 – 失败,错误“VPN服务器不响应/超时”。 ipsec.conf文件: config setup protostack=klips nat_traversal=yes virtual_private=%v4:0.0.0.0/0,%v4:!1.0.0.0/24 oe=off interfaces=%defaultroute uniqueids=yes conn %default keyingtries=1 compress=no disablearrivalcheck=no authby=secret conn L2TP-WIN_N leftprotoport=17/1701 rightprotoport=17/1701 also=L2TP-PSK conn L2TP leftprotoport=17/0 rightprotoport=17/1701 also=L2TP-PSK conn L2TP-MAC leftprotoport=17/1701 rightprotoport=17/%any also=L2TP-PSK conn L2TP-PSK auto=add pfs=no rekey=no ikev2=never dpddelay=10 dpdtimeout=90 dpdaction=clear ikelifetime=8h keylife=1h type=transport left=EXTERNAL_SERV_IP right=%any […]
我试图configuration思科RV016路由器连接到Azure虚拟networking来创build一个站点到站点的VPN,但它不工作。 我知道思科RV016不在官方支持的设备列表中 ,但它看起来似乎满足在同一页上列出的要求。 我在思科日志中获得的信息是: (g2gips0) #87: initiating Main Mode (g2gips0) #87: [Tunnel Negotiation Info] >>> Initiator Send Main Mode 1st packet packet from 137.xxx.xxx.xxx:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN 我在Azure上遇到的唯一错误是: Unable to establish the cross-premise tunnel for MyNetwork. Previous state: Initializing. Current state: Not Connected. 5/8/2013 10:27:47 AM 我的思科RV016上的configuration是这样的: Local Security Gateway Type: IP Only […]
我需要从Debian Squeeze服务器build立一个L2TP VPN连接。 我拥有的是: 服务器IP地址 共享密钥 我的用户名和密码 只要使用这3个参数,我就可以从我的Mac OSX电脑的“ 系统偏好设置”的“ networking”面板中build立VPN连接。 在Google上search后从Debian连接; 我结束了一个“Openswan(IpSec)+ XL2TP”解决scheme(如果你有更好的select,我也可以尝试)。 然而,从Debian(通过使用openswan + xl2tp)连接涉及configuration数十个参数,不幸的是,VPN的系统pipe理员对我所要求的参数没有任何的想法。 他拼命地声称,“它在iphone / android / osx上工作,所以它应该在Linux上工作。” 不幸的是他是对的。 我想问的是: openswan + xl2tp是用于此目的的最简单有效的解决scheme吗? 由于从OSX计算机连接成功,有没有人可以突出未显示但使用的OSX VPN连接参数? 或者有什么方法可以展示他们?
我有一个面向互联网的应用程序服务器,我想使用AD身份validation。 这是我第一次做这个没有MS应用程序或没有某种代理。 我脑中已经有了一个想法来说明如何去做。 我想确保我不会错过一个明显的安全漏洞。 我目前的想法是互联网stream量去DMZnetworking应用程序服务器只允许HTTPS / 443stream量和拒绝所有其他,包括传出stream量(不包括LDAPS)。 DMZ内部有一个只读域控制器,除了RODC所需的LDAPS和端口(基于MS RODC DMZ最佳实践)所需的stream量之外,它将拒绝所有input输出。 RODC将不会有任何直接的互联网stream量。 内部networking我将有一个常规的域控制器。 WebApp和RODC之间的所有通信都将是LDAPS。 3台服务器之间的所有IP通信都将使用IPSEC对IPstream量进行身份validation和encryption。 RODC将被过滤为只包含用户名数据,无密码或其他数据。 它将每个需求每次查询内部DC。 WebApp和RODC都将是一个服务器核心安装,没有GUI。 WebApp —- | IPSEC / LDAPS | —> RODC —– | IPSEC / LDAPS | —>内部DC 显然所有的服务器将被locking,只允许直接IPstream量与所需的端口,没有别的。 我错过了什么吗?
我有一个安装了openswan的linux(netkey)实例,实例有两个连接到相同的IPSec对等体,需要充当冗余连接。 两个连接的属性是相同的(除了对方的IP地址和正确的ID)… ipsec版本是Linux Openswan U2.6.37 / K3.2.0-65-generic(netkey) conn con1 dpdtimeout=25 salifetime=28800s overlapip=yes ike=aes128-sha1 rightsubnets=172.28.0.0/24 dpddelay=30 leftid=<linux box id> pfs=no rightid=<peer's id> leftsubnets=172.28.2.0/24 phase2alg=aes128-sha1 dpdaction=restart_by_peer auto=ignore forceencaps=yes keyingtries=3 left=<linux ip> ikelifetime=86400s right=<peer's public IP A> conn con2 dpdtimeout=25 salifetime=28800s overlapip=yes ike=aes128-sha1 rightsubnets=172.28.0.0/24 dpddelay=30 leftid=<linux box id> pfs=no rightid=<peer's id> leftsubnets=172.28.2.0/24 phase2alg=aes128-sha1 dpdaction=restart_by_peer auto=ignore forceencaps=yes keyingtries=3 left=<linux […]
我已经build立了linux(debian)和mikrotik路由器之间的站点到站点ipsec连接。 隧道已经到了 linuxconfiguration: config setup interfaces=%defaultroute keep_alive=60 plutodebug=all plutostderrlog=/var/log/pluto.log nat_traversal=yes protostack=netkey oe=off conn sitetosite left=10.0.0.249 #local gateway leftsubnets=10.0.0.0/24 leftid=xxx.xxx.xxx.xxx #linux external IP leftsourceip=10.0.0.249 right=yyy.yyy.yyy.yyy #mikrotik external IP rightsubnets=10.111.11.0/24 rightid=yyy.yyy.yyy.yyy pfs=yes type=tunnel forceencaps=yes authby=secret auto=start Linux防火墙规则不能在这两个子网之间伪装: iptables -t nat -A -s 10.0.0.0/24 ! -d 10.111.11.0/24 -j MASQUERADE 在mikrotik我有类似的规则。 问题是我无法从Mikrotik LAN客户端ping 10.0.0.249(Linux局域网网关) 有任何想法吗 ?
所以,我设法使用racoon在两个主机之间通过ESP获得IPSec传输:“本地”主机1.1.1.1和远程2.2.2.2 。 它只适用于ICMP(其他stream量忽略了SA),但这是一个单独的问题。 为了试图让所有的stream量穿越安全的交通工具,我决定build立一个GRE隧道,改变我的setkeyconfiguration spdadd 2.2.2.2 1.1.1.1 any -P in ipsec esp / transport // require; spdadd 1.1.1.1 2.2.2.2 any -P out ipsec esp / transport // require; 至 spdadd 2.2.2.2 1.1.1.1 gre -P in ipsec esp / transport // require; spdadd 1.1.1.1 2.2.2.2 gre -P out ipsec esp / transport // require; 随着flush; spdflush […]
我正在使用libreswan在两台Centos 7服务器之间configuration一个“子网到子网VPN”。 每个服务器都有两个nic,如下图所示。 我会允许子网172.18.0.0/16和172.19.0.0/16之间使用172.17.0.0/16networkingbuild立一个VPN的安全通信,但我有问题,允许这两个子网之间的stream量。 我遵循https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Securing_Virtual_Private_Networks.html#Site-To-Site_VPN_Using_Libreswan中的redhat官方文档 其实我在两个节点上都停止了firewalld。 我检查了IPSec的先决条件: [root@node2 ~]# ipsec verify Verifying installed system and configuration files Version check and ipsec on-path [OK] Libreswan 3.8 (netkey) on 3.10.0-123.el7.x86_64 Checking for IPsec support in kernel [OK] NETKEY: Testing XFRM related proc values ICMP default/send_redirects [OK] ICMP default/accept_redirects [OK] XFRM larval drop [OK] Pluto ipsec.conf syntax [OK] […]
标题说明了一切。 我已经在Strongswan服务器和Windows 7工作站之间configuration了IPSec IKEv2连接,如果可能,我想使用压缩。 双方的configuration非常简单,使用公钥authentication(工作站上的机器证书): conn rw left=1.2.3.4 leftid=example.com leftcert=cert.der leftsubnet=0.0.0.0/0 leftfirewall=yes right=%any rightid="C=FR, O=Example Company, CN=workstation" rightsourceip=2.3.4.5 rightdns=6.7.8.9 keyexchange=ikev2 esp=aes128-sha256 ike=aes128-sha256-modp2048 compress=yes # compression is enabled auto=add 然而,我总是在Windows客户端上看到“Compression:0%”,而对于“windows ipcomp”的search并没有像官方的MSDN页面那样产生任何相关的结果,只有2010年的这个网页声称Windows(哪一个?)不支持IPComp。 从那时起有什么改变,新版本的Windows支持它(最后一个体面的原因升级到这个Windows 8废话)?
有一个典型的主机来托pipe传输模式ipsecconfiguration, conn appserver01-to-swift01 [email protected] left=10.133.176.246 leftrsasigkey=xxxxxxxxxxxxxxxxxxxxxxxx [email protected] right=10.133.176.111 authby=rsasig rightrsasigkey=xxxxxxxxxxxxxxxxxxxxxxx # load and initiate automatically auto=start 有没有办法使这个多对一/多对多的连接? 我在同一局域网上有多台主机,我用这个来获得两台主机之间的encryptionstream量,如果我添加更多的主机,我是否需要添加更多的主机到主机或是否可以这样做: conn mytunnel left=192.168.56.120 leftcert=leftcert.pem right=%any rightrsasigkey=%cert rightca="C=KE, O=Mycompany, OU=mydepartment, CN=*" auto=add 使用证书authentication? 我尝试了这样的事情,但是正确的说 We cannot identify ourselves with either end of this connection. 左边说: cannot initiate connection without knowing peer IP address 从我看到的一些文档(见右=%任何 ),我认为这是可能的,但经过尝试和失败,即时通讯认为它不可能, 红帽 ,所以有可能让单个configuration接受任何客户端呈现有效的X .509证书不pipe其IP地址如何? […]