我正尝试在CentOS for iOS上用VPN API设置StrongSwan。 这个API使用IKEv2协议。 这是我的日志+configuration文件。 当我按下iOS设备中的连接时,它会在一会儿时间内closures。 它看起来像iOS不喜欢一些服务器信息,但我不明白哪一个。 PS我已经检查官方strongswan我的configuration看起来一样 2015-09-16T14:20:13.881974+00:00 charon: 02[NET] received packet: from 178.159.28.49[4500] to 94.242.232.178[4500] 2015-09-16T14:20:13.881977+00:00 charon: 02[NET] waiting for data on sockets 2015-09-16T14:20:13.881980+00:00 charon: 06[NET] received packet: from 178.159.28.49[4500] to 94.242.232.178[4500] (316 bytes) 2015-09-16T14:20:13.882095+00:00 charon: 06[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6) […]
我在服务器2012 R2上设置了Windows防火墙,以便始终要求对所有连接安全规则进行IPSecencryption。 然后,我为特定端口和服务指定了入站规则,并将其configuration为“要求encryption连接”。 所有这些设置都是通过组策略完成的。 这适用于IPv4连接,但不适用于IPv6连接。 我已经尝试了ICMP6和TCP / UDP端口相同的结果。 有时我可以在防火墙日志中看到块(专门用于TCP端口,但不总是用于ICMP6)。 我开始怀疑Windows连接安全性实现中的IPSecencryption是否不支持IPv6? 我已经试过研究这个,但没有发现任何东西来支持这个,除了Windows Server 2003的旧文档。 我可以补充一点,在这种情况下的用例是Windows Clustering,它使用IPv6进行内部集群通信。 这可能被禁用,但这不是由MS支持,所以我宁愿不去那样的方式。 我并不需要encryption内部服务器通信,但是如果我不需要encryption所有连接安全规则(在全局防火墙设置中),那么需要encryption的单个规则似乎不起作用。 或者是否有可能不要求对所有规则进行encryption,而只是针对一些规则进行encryption,例如端口445上的所有通信? 我已经添加了一些图片来阐明我正在使用的设置。 全球防火墙设置: 样本入站规则中的操作设置:
我正在使用AWS / VPC / EC2 / Centos7 / Libreswan与电信公司build立隧道,并且一直停留数周。 感谢任何帮助! 我有192.168.16.73(VPN GW,EIP 52.76.xx)和192.168.16.116(encryption域服务器)。 隧道似乎已经起来,但无法得到任何ping响应。 我认为ping的stream量根本就没有通过隧道。 我已经做了这些。 1.在VPN GW上禁用源/目的地检查 2.在我的VPC路由表上,我添加了Target = VPN GW GW 192.100.86.0/24 tcpdump -n icmp (同时从192.168.16.116 ping到192.100.86.69) tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 17:32:04.926003 IP 192.168.16.116 > […]
我正在尝试设置一个Strongswan VPN,但无法使其正常工作。 它找不到匹配的对等configuration,我不知道为什么: 日志: [ENC] <1> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ] [NET] <1> sending packet: from 111.111.111.111[500] to 222.222.222.222[34460] (312 bytes) [NET] <1> received packet: from 222.222.222.222[34495] to 111.111.111.111[4500] (428 bytes) [ENC] <1> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 […]
对于一个给定的互联网服务器列表(例子): S001 – 45.67.89.12 S002 – 67.78.90.34 S… S999 – 98.76.65.54 我想从每个服务器到任何其他服务器,使用服务器的公共IP来传送到任何TCP服务,但连接必须使用IPSec(PSK或自己的PKI,非IPSec请求应该被阻止)进行encryption和validation。 我不想为每个主机手动维护主机列表和单个IPSecconfiguration,而是想自动执行此过程。 如果这需要使用IPSec的IP地址的明确列表,我的首选解决scheme将是反向DNS查找。 例如,如果连接尝试到67.78.90.34完成,它应该首先parsing反向名称。 如果它匹配* .srvhosts.example.com,则必须使用IPSec。 存在任何基于Linux的软件解决scheme来实现这一点? 另一个解决scheme – 如果可能的话 – 可以在全球范围内为每个连接启用IPsec,并且黑名单告诉系统哪些主机不应该使用IPSec(debian update mirror,dns,ntp,…)。
我有一个与IPsec连接两个networking的问题。 一方面是在另一个带有Debian 8.3的TP-Link路由器上的思科ASA 55xx,后面是NAT中的StrongSwan。 问题也在于我对TP-Link端的NETMAP / SNATnetworking有所了解。 但即使没有这些规则连接也不想build立。 如何debugging连接? 我的configuration(ipsec.conf): conn %default ikelifetime=1440m keylife=60m rekeymargin=3m keyingtries=1 keyexchange=ikev1 authby=secret conn intel left=3.3.3.3 #Actual IP of Debian is 192.168.1.238 leftsubnet=192.168.1.0/24 #This should be NETMAP/SNAT leftfirewall=yes leftid=3.3.3.3 #external IP of TP-Link right=4.4.4.4 #external IP of ASA rightsubnet=172.29.106.0/24 rightid=4.4.4.4 auto=start ike=3des-sha1-modp1024 esp=3des-sha1 keyexchange=ikev2 dpdaction=restart dpddelay=30s forceencaps=yes type=tunnel 然后我检查状态它显示了几分钟,但一两分钟后 – […]
在我的设置中,我通过GRE隧道连接了不同地区的一些EC2实例,通过racoon使用ISAKMP。 这个设置是遗传的,所以如果我用术语摸索,请忍受。 有时我从racoonctl -ll show-sa isakmp (请原谅我的编辑的IP地址)奇怪的输出中Phase2计数是3,但我预计它是1或2: $ sudo racoonctl -ll show-sa isakmp Source Destination Cookies ST SVE Created Phase2 AA.BB.CC.DDD.4500 EE.FF.III.PP.4500 4fcb2a5a2193f76d:29345905dad89534 9 I 10 M 2016-01-28 15:30:35 3 AA.BB.CC.DDD.4500 EE.GG.JJ.QQQ.4500 75aedcf490649ee5:a08192401adc99c4 9 I 10 M 2016-01-28 15:30:35 3 AA.BB.CC.DDD.4500 EE.HH.KKK.RRR.4500 db698ca0fa4b2ef6:95260abcfb7e3578 9 R 10 M 2016-01-28 15:30:35 2 AA.BB.CC.DDD.4500 EE.GG.LLL.SS.4500 20bccfd70bff99ee:ddc8517f524cf146 9 R […]
我目前有几个VPN的内部部署设置在外部接口上,并使用接口上的默认网关作为VPN通道的始发源。 虽然外部接口已经configuration了IP块 – 我想创build一个新的VPN来源于另一个IP。 我注意到在静态路由部分有一个“隧道”选项,允许你设置一个默认隧道 – 虽然在我的情况下,我想在外部接口上有多个VPN的起源。 我的问题是 – 是否有可能有多个来源?
任务:在连接到VPN服务器(在Ubuntu上)和连接到Cisco ASA的公司networking(10.1.2.0/24)上的远程客户端(192.168.79.0/24)之间build立通信。 架构: 192.168.79.0/24 <-Strongswan RA-> Ubuntu srv <-Strongswan s2s-> ASA(10.1.2.0/24) 问题1.客户端不接收来自VPN服务器的路由。 但是Strongswan发送它。 “在远程networking上使用默认网关”未选中。 Mar 11 17:41:20 ubuntuSrv charon: 07[IKE] CHILD_SA ASA{1} established with SPIs ccdbd590_i 7cf6b605_o and TS 192.168.79.0/24 === 10.1.2.0/24 问题2.stream量从192.168.79.10到10.1.2.85,但不是相反。 临时检查“在远程networking上使用默认网关”,客户端使用默认路由连接到VPN。 Ubuntu的SRV Strongswanconfiguration cat /etc/ipsec.conf config setup # uniqueids=never charondebug="cfg 2, dmn 2, ike 2, net 2" conn %default keyexchange=ikev2 ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp409$ esp=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes1$ […]
我们有两个站点通过两个WAN链接通过VPN连接,一个主站和一个备份。 VPN端点是每个站点上的一对主备ASA集群。 每个站点还有多个附加的VPN到次要站点,其中一些也是双path,同样只有一个主站和一个备份。 我们有这个工作,虽然它运作不好,即我无法创build新的VPN到新的远程站点,因为他们上线。 我重新devise了设置,但devise使用了回送接口,现在我知道ASA不支持回送接口。 我试图解决这个问题,在“冗余”接口上build立一个虚拟的子接口,将链路中继到WAN链路。 不用说,这一直没有成功。 有没有其他人有这个问题,并有一个解决scheme,他们可以分享? 谢谢 CC