AWS在提供公开VPN服务的VPC中提供了一个简洁的function。 我configuration了这个,并确认它的function。 我们的客户正在使用Cisco 5500系列ASA设备连接到AWS VPN服务。 AWS提供的FAQ描述了阶段1和阶段2支持以下Diffie-Hellman组: 问:你支持哪些Diffie-Hellman组? 我们在阶段1和阶段2中支持以下Diffie-Hellman(DH)组。 Phase1 DH组2,14-18,22,23,24 Phase2 DH组1,2,5,14-18,22,23,24 取自http://aws.amazon.com/vpc/faqs/ AWS为Cisco 5500 ASA设备提供示例configuration( http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Cisco_ASA.html )。 我可以证实,这确实build立了一个隧道。 但是,提供的configuration示例似乎正在使用DH组2,用于隧道build立的阶段1和阶段2,并且也使用IKEv1而不是IKEv2。 针对5500 ASA设备的9.1.x固件的Cisco发行说明build议避免使用组1和组2,实际上其他来源也build议应避免使用组5(AWS VPC不支持组1在阶段1中,所以这是相当有趣的)。 在configurationIKEv2时,出于安全原因,您应该使用组21,20,19,24,14和5.我们不推荐Diffie Hellman Group1或Group2。 例如,使用 encryptionikev2政策10 小组21 20 19 24 14 5 取自适用于iOS版本9.1x的Cisco ASA发行说明 AWS不提供最佳实践configuration,而他们的例子是“十个启动器”。 我build议对AWS示例configuration进行以下更新,但希望能够相信在将其提供给我们的客户之前,这将实现我认为达到的目标。 Ln 48 – 54改为: crypto ikev2 policy 10 encryption aes256 authentication pre-share group 24 lifetime 28800 hash […]
我把ipsec vpn连接到远程主机。 由于远程主机只接受一个IP,所以我在NAT上为本地网上的enc0。 Ping从IPSec主机是好的: PING 172.20.162.150 (172.20.162.150): 56 data bytes 64 bytes from 172.20.162.150: icmp_seq=0 ttl=252 time=2.597 ms 但是从本地网ping是失败的: PING 172.20.162.150 (172.20.162.150) 56(84) bytes of data. From 192.168.1.5 icmp_seq=1 Frag needed and DF set (mtu = 0) enc0 = 0的MTU,我不能改变它 netstat -i Name Mtu Network Address Ipkts Ierrs Opkts Oerrs Colls enc0 0 <Link> 29 […]
我正在尝试在我的本地中心和Azure中的VPN之间build立一个IPsec隧道。 我在Ubuntu Lucid盒子上设置了OpenSwan 2.6.23,而我的盒子在NAT后面。 ipsec.conf文件 config setup nat_traversal=yes protostack=netkey interfaces=%defaultroute klipsdebug=none plutodebug=none conn to-azure authby=secret auto=start type=tunnel left=10.0.210.22 leftid=<my-public-ip> leftnexthop=%defaultroute leftsubnet=10.0.210.0/24 right=<azure-gateway-public-ip> rightsubnet=10.13.0.0/16 rightnexthop=%defaultroute ike=aes256-sha1-modp1024 ikev2=insist phase2=esp phase2alg=aes256-sha1 pfs=no ipsec.secrets <my-public-ip> <azure-gateway-public-ip>: PSK "supersecurepassword" 这是我启动ipsec时收到的信息,据我所知,它显示隧道已经build立。 000 "to-azure": 10.0.210.0/24===10.0.210.22<10.0.210.22>[<my-public-ip>,+S=C]—10.0.210.3…10.0.210.3—<azure-gateway-public-ip><<azure-gateway-public-ip>>[+S=C]===10.13.0.0/16; erouted; eroute owner: #2 000 "to-azure": myip=unset; hisip=unset; 000 "to-azure": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: […]
截图几乎说明了一切: consec http://uppix.net/7/3/4/eeb1c6e949b90932ca3bd8bfbda47.png 我不明白。 如果我在MMCpipe理单元中创build规则,它们不会出现在netsh中,如果我在netsh中创build规则,它们不会出现在MMCpipe理单元中。 我在这里错过了什么? (注意:这是Windows 7)
我试图将连接到我的Ubuntu盒子(我将称之为“主机”)的设备(我称之为“目标”)的设备路由到远程办公室的服务器。 主机使用通过名为efix的NIC连接的Racoon IPSec VPN。 这将创build一个名为efix:0的别名IF,其IP地址为192.168.190.132 。 它能够到达服务器。 主机和目标之间的链接是以太网链接,在主机的IF eusb上使用IP地址10.0.0.1 ,在目标上使用IF eth0上的10.0.0.2 。 我已经设置了以下路由和iptables条目: 估计的正好: 10.0.0.0 * 255.255.255.0 U 0 0 0 eth0 default 10.0.0.1 0.0.0.0 UG 0 0 0 eth0 主持人: echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT –to 192.168.190.132 iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT iptables -A […]
我已经configuration我的服务器(server1)通过IPsec(安全vpn)VPN连接到另一台服务器(server2)。 但现在我需要设置另一个VPN(工作VPN),所以我将能够连接到我的服务器(服务器1)和访问另一台服务器(服务器2)。 我的服务器有1个外部networking接口(eth0 IP 71.185.153.102 – 访问互联网)。 安全VPN使用eth0:0,它是一个IP 71.185.200.240的虚拟networking接口。 目标:连接到安全VPN(从我的办公室)并访问它的地址: http : /20.35.166.61 : 6084/test/ 它应该如何工作: 我的家庭办公室 – >连接到VPN(在我的服务器上) – >服务器通过接口ppp0获取数据包 – > iptables应该转发并将所有数据包转换为eth0:0(VPN over IPsec) 到目前为止,我做了什么: 安装了poptop(pptpd) 给它一个localeip和一个remoteip(localeip 192.168.0.1 remoteip 192.168.0.100-200) 接受来自ppp0的所有stream量:iptables -A INPUT -i ppp0 -j ACCEPT 接受从ppp0到eth0的所有转发:iptables -A INPUT -i ppp0 -o eth0 -j ACCEPT打开gre协议: iptables -A INPUT -p gre -j ACCEPT […]
使用OpenVPN,有一个众所周知的选项“推送”,它允许从服务器到连接的OpenVPN客户端推送IP静态路由。 我想知道是否有相当于这个选项: L2TP over IPsec VPN? IPsec(思科compat)VPN? Juniper SA(又名Juneos Pulse,又名NC)SSL VPN?
我已经build立了VPN连接到远程的L2TP / IPSec VPN服务器,工作正常。 现在我想确保所有远程stream量都通过此VPN进行路由,所以如果VPN连接断开,则不会build立远程连接 我想添加一个持久的路由,但我不知道正确的语法和configuration/指标。 感谢预期
我试图去看看这个网站的其他地方,但我找不到任何匹配这个问题的东西。 现在我的本地networking和远程networking之间有一条ipsec隧道。 目前,运行Openswan ipsec并打开隧道的本地盒可以ping远程ipsec盒和远程networking中的任何其他计算机。 login到远程计算机时,我可以ping任何本地networking中的盒子。 这是什么工作,这是什么不: 我不能通过不是ipsec框的本地机器ping任何远程计算机。 以下是我们的networking图: [local ipsec box] ———-\ \ [arbitrary local computer] –[local gateway/router] — [internet] — [remote ipsec box] — [arbitrary remote computer] 本地ipsec盒和任意本地计算机没有直接联系,而是通过网关/路由器进行通信。 路由器已经被设置为将来自本地计算机的远程子网的请求转发到ipsec框。 这工作。 问题是ipsec盒不转发任何东西。 每当任意一台本地计算机在远程子网上ping一些东西时,就是这样的回应: [user@localhost ~]# ping 172.16.53.12 PING 172.16.53.12 (172.16.53.12) 56(84) bytes of data. From 10.31.14.16 icmp_seq=1 Destination Host Prohibited From 10.31.14.16 icmp_seq=2 Destination Host […]
目前我们正在尝试在Cisco ASA V8.0(4)和CentOS Linux服务器之间build立一个IPsec VPN。 隧道成功,但由于某种原因,我们无法弄清楚,防火墙正在丢弃来自VPN的数据包。 ASA中的IPsec设置如下: crypto ipsec transform-set up-transform-set esp-3des esp-md5-hmac crypto ipsec transform-set up-transform-set2 esp-3des esp-sha-hmac crypto ipsec transform-set up-transform-set3 esp-aes esp-md5-hmac crypto ipsec transform-set up-transform-set4 esp-aes esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto map linuxserver 10 match address filtro-encrypt-linuxserver crypto map linuxserver 10 set […]