我正在尝试在运行4.1的Android设备和运行strongSwan 5.0的Fedora 17 Linux框之间configurationVPN隧道。 设备报告已连接,并且strongSwan statusall返回存在IKE SA,但不显示隧道。 我使用wiki中的iOS说明来生成证书并configurationstrongSwan。 由于Android使用了一个修改版本的racoon,所以这个应该可以工作,而且由于连接已经部分build立,我想我正走在正确的轨道上。 我没有看到任何关于不能创build隧道的错误。 这是strongSwan连接的configuration conn android2 keyexchange=ikev1 authby=xauthrsasig xauth=server left=96.244.142.28 leftsubnet=0.0.0.0/0 leftfirewall=yes leftcert=serverCert.pem right=%any rightsubnet=10.0.0.0/24 rightsourceip=10.0.0.2 rightcert=clientCert.pem ike=aes256-sha1-modp1024 auto=add 这是strongswan statusall的输出 Status of IKE charon daemon (strongSwan 5.0.0, Linux 3.3.4-5.fc17.x86_64, x86_64): uptime: 20 minutes, since Oct 31 10:27:31 2012 malloc: sbrk 270336, mmap 0, used 198144, free 72192 […]
在跟随了几个教程后,他们都没有为我工作,有人可能会帮助我在这里。 我有一个Cisco 871路由器,版本12.4(4)T7。 目前,我已将其configuration为PPTP VPN服务器。 但是,因为我需要更多的安全性,所以我想将其用作IPsec VPN服务器。 https://serverfault.com/a/115862上的文章帮了我很多,除了命令 crypto ipsec transform-set ESP-AES-128-SHA-LZS esp-aes esp-sha-hmac comp-lzs 返回错误消息: "Transform comp-lzs is not supported with the current hardware configuration." 我试图完成没有lzs压缩的configuration,但连接在Linux Mint 15(vpnc-client)上失败。 由于我没有find任何日志,我无法提供更多关于原因的信息。 有人在这方面取得成功吗?
我有一个pfSense防火墙,我需要连接到远程站点(形成我的客户端)。 我遇到了几个问题,并没有看到任何方式的stream量。 这是我的设置: LAN是192.168.0.0/16 我有一个WAN接口作为默认网关。 我有一个WAN2接口,我想使用隧道到远程站点。 远程站点要求我使用172.27.10.0/24本地IP进行连接, 172.27.10.0/24将无法路由我的stream量。 他们的IP范围(远程)是10.100.0.0/16 。 这就是我已经做的 build立IPSec隧道。 这工作,我可以连接。 我在IP Addresses为172.27.10.0/24的LAN接口上创build了一个types为IP Alias的虚拟IP(防火墙 – >虚拟IP)。 我在系统 – >路由中添加路由,所以10.100.0.0/16经过WAN2 。 同样为172.27.10.0/24 ,我添加了一个路由,该stream量通过WAN2 。 在防火墙 – > NAT,Outbount上,我为广域网2创build了一个规则,源192.168.0.0/16 ,目的地10.100.0.0/16和转换地址我创build的IP别名( 172.27.10.0 )。 使用所有这些设置,我无法连接到任何远程地址。 更重要的是,我没有看到连接的隧道,所以我猜测它没有得到它所需要的stream量。 我也没有在防火墙日志中看到任何有用的信息。 我做对了吗? (或稍微靠右?)。
我将Cisco Linksys路由器configuration为VPN网关(networking到networking): 现在我想用openswan在Centos 6上同样configurationipsec VPN。 我在互联网上看,但没有运气(有一些教程,但它们不类似于我的情况,或过时的ipsec工具和centos 4)。 阅读openswan的人只会给我头痛()。 在远程站点有一些检查点设备(我所知道的关于configuration的这个截图是来自Linksys面板的,已经configuration好的VPN隧道)。 我不是谷歌黑客,但知道如何使用它,也许有一些教程,将帮助我,但没有find它自己。 我已经安装openswan,但如果有更好的软件和解决scheme(在Centos上),我不介意使用它。 编辑1:阅读MadHatter的answare后,我开始combinig与不同的configuration…我迷路了…我想我给了less量的信息。 所以首先从Linksys Manager VPN gatwey截图到gatey站点: 在“本地组设置”一节中:IP为灰色框(IP地址d.168.1.67)为ip,我认为Linksys从远端的Checkpoint获取,不可能更改该参数。 接下来是白色框中的IP地址(e.199.1.0 / 24),这是我的本地networking。 在“远程组设置”一节中:IP地址abc4是远端检查点的公共IP。 在第三部分有ipsec隧道连接的参数。 这是第二个屏幕,我不知道这是重要的,但我粘贴它无论如何: 广域网1的IP是一个检查站给我的。 局域网是本地networking中Linksys的简单地址。 使用这些屏幕和Mad的answare,我在/etc/ipsec.conf中写下这个ipsecconfiguration: #/etc/ipsec.conf – Openswan IPsecconfiguration文件 # #手动:ipsec.conf.5 # #请将您自己的configuration文件放在/etc/ipsec.d/结尾以.conf结尾 # #version 2.0#符合ipsec.conf规范的第二个版本 #基本configuration configuration设置 #debugging日志logging控件:“无”为(几乎)没有,“全部”为很多。 #klipsdebug =无 #plutodebug =“控制分析” ##对于Red Hat Enterprise Linux和Fedora,请保留protostack = netkey #protostack = netkey #nat_traversal =是 […]
我连接到我的RV180 VPN路由器的QuickVPN连接,我可以通过IP访问路由器,但无法find或看到任何计算机。 我该如何解决这个问题? 我需要做一些更高级的设置吗? 我似乎无法访问networking共享。 编辑:我也注意到,在“看我的IP”谷歌search的IP显示本地networking的IP,而不是我VPN'ingnetworking的IP。 这是正常的吗? 本地NETWOKR:10.30.0.0 VPN NETWORK:192.168.10.0 IPCONFIG: Windows IP Configuration Host Name . . . . . . . . . . . . : HOST-018 Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . […]
我们有一个使用IPsec的6个站点的客户端。 现在每隔一次,甚至每周一次,有时一个月一次,数据就会从远程Fortigate VPN服务器stream向本地MikroTik IPsec VPN客户端。 为了certificate问题的症状,我附上了一个图表。 在“已安装的SA”选项卡上,您将注意到xx186.50的源IP地址尝试与xx7.3通信,但是0个当前字节。 xx186.50是客户端的远程Fortigate IPsec服务器,而xx7.73是基于MikroTik的IPsec端点。 从远程来看,我们并不总是在stream动。 阶段1和2始终build立,但交通总是拒绝从远端stream向我们。 我们随着时间的推移尝试了各种各样的东西,比如重新启动,设置时钟,涉及configuration,重新检查和重新检查configuration,但问题完全是随机的。 有时随机的东西修复它。 在一个阶段,我有一个理论,如果隧道是从他们身边发起的,但是“发送初始接触”摆弄没有任何区别。 我们已经和客户聊了很多,但是他们有更多的国际IPsec VPN,只有我们的MikroTikconfiguration失败了。 Fortigate日志: http://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&externalId=11654 看看Fortigate的知识库,看起来SPI不同意,DPD会有所作为。 但是我已经尝试过在这方面DPD的每一个单一的组合,没有用。 我想在另一方面启用DPD,但我不能由于改变控制,也因为客户说它在所有其他网站的configuration完全相同。 编辑DPD已启用 显示没有stream量的本地VPN客户端图表: 我已经包含一个日志文件,显示“收到一个有效的RU-THERE,ACK发送”连续循环MikroTik日志文件: echo:ipsec,debug,从xx7.183 [500]到xx186.50 [500] 回声:ipsec,debugging,数据包sockname xx7.183 [500] 回声:ipsec,debugging,数据包发送数据包从xx7.183 [500] 回声:ipsec,debugging,数据包发送数据包到xx186.50 [500] 回声:ipsec,debugging,数据包src4 xx7.183 [500] echo:ipsec,debug,packet dst4 xx186.50 [500] 回声:ipsec,debugging,包1个84字节的消息将被发送到xx186.50 [500] echo:ipsec,debug,packet 62dcfc38 78ca950b 119e7a34 83711b25 08100501 bc29fe11 00000054 fa115faf echo:ipsec,debug,packet cd5023fe f8e261f5 […]
我在Synology nas上运行了一个VPN(L2TP / IPsec)隧道。 我的路由器configuration为vpn passthrough。 所以一切都很好。 此外,我得到了一个80端口上运行的web服务。 现在我遇到了这个问题,我花了大部分时间在所有端口都被locking的环境中,排除了http端口(80/443)。 我的问题:是否有可能通过端口80隧道l2tp / ipsec? 我怎么能做到这一点? 此外:有没有可能将例如www.myurl.com/vpn映射到我的VPN服务器? 以便我的web服务能够并行运行端口80 VPNredirect?
我们是一家SaaS提供商,在我们的数据中心和客户的站点之间build立一个IPSec VPN,以便他们可以直接从他们的局域网访问他们的托pipe数据库服务器。 我们的“参考devise”并没有将我们的内部LAN范围暴露给客户,而是仅仅是NAT所需的服务器,在VPN内的另一个“DMZ”私有地址之后,而客户也是这样做的,以防止他们的内部范围暴露给我们。 例如,在“参考”devise中, Customer Server –> Cust VPN NAT ====== VPN ======= My VPN NAT –> My server 192.168.27.4 –> 10.10.10.4 =================> 10.20.0.5 –> 192.168.3.16 只要我们可以同意在私有范围(10.10。和10.20。)之间使用非冲突的NAT,就可以正常工作。 我们只接受来自客户的入站连接,并且在上面的例子中将仅看到来自10.10.10.4的stream量。 今天,一位客户表示,他们只能使用公有IP作为两端的NAT,以避免发生范围冲突。 他们是一个拥有数千个备用公有IP的大型全球性公司,所以对他们来说没有任何问题。 我们是一家科罗拉多州的小型SaaS提供商,他们必须向我们的提供商certificate每个公共IP请求的正确性。 Customer Server –> Cust VPN NAT ====== VPN ======= New Public IP –> My server 192.168.27.4 –> 1.2.3.4 =================> 5.6.7.8 –> 192.168.3.16 我们没有问题帮助客户,通过这个过程,并获得公共IP,但.. 这是一个常见的设置? […]
我目前正在使用StrongSwan为我的iOS设备进行连接。 我想知道是否有一种方法来使用外部程序的XAUTH? 我目前有以下configuration: : RSA server.pem test : XAUTH "thisisatestpassword" 我想要做的是让外部程序决定凭证是否正常。 那可能吗? 如果是的话,有人知道如何?
站点到站点的IPSEC vpn是否需要一直保持与keepalive的连接/隧道,还是有可能只在需要的时候encryption数据包(当它匹配路由或类似的东西时)?