这里有一个有挑战性的问题 我们有一台Fortigate 620B,我们正尝试使用它来将一些stream量通过VPN隧道发送给客户。 我们希望stream量通过我们的一个公共IP(我们将它设置为使用特定公共IP地址的NAT地址)与我们的接口连接到客户端上的公共IP。 我有一个configuration,我相信应该工作,除了stream量,因为它击中链接说,它来自我们的内部IP地址( 192.168.XX ),而不是公共IP地址( xxxx )。 我们在日志中得到的错误: id=13 trace_id=368 msg="vd-root received a packet(proto=6, 192.168.XX.XX:50470->XX.XX.183.94:443) from port8. flag [S], seq 342573222, ack 0, win 8192" id=13 trace_id=368 msg="Find an existing session, id-0a2bb411, original direction" id=13 trace_id=368 msg="enter IPsec interface-XXX_P2P" id=13 trace_id=368 msg="No matching IPsec selector, drop" 它会丢弃数据包,因为VPN上的快速模式select器被设置为使用我们的公共IP而不是我们的私有IP。 这里的挑战是我们和我们的客户端使用相同的私有IP空间,所以我们必须在stream量的两端都进行NAT。 为了解决这个问题,我有一个阶段1提案和两个阶段2提案。 路由规则起作用是因为静态路由引导数据包到VPN接口,并且策略规则工作,但由于某种原因,NAT不能正常工作。 我很乐意提供任何可以帮助解决问题的信息。
我已经build立了与远程主机的GRE连接IPsec,都是基于NetBSD 6.1的。 “客户端”通过400Mbps的光纤连接到互联网。 “服务器”位于10Gbpsnetworking上。 两台机器都有1Gbps的网卡,这些网卡的performance完美,这意味着在IPsec隧道之外传输数据时,它们都达到链路速度限制。 当通过隧道传输时,速度下降5到10倍: 直接连接: /dev/null 27%[====> ] 503.19M 45.3MB/s eta 83s IPsec连接: /dev/null 2%[ ] 47.76M 6.05MB/s eta 5m 3s 隧道是这样设置的: 在服务器上,这是一个运行在debian / amd64 dom0上的NetBSD domU : $ cat /etc/ifconfig.xennet0 #服务器接口 向上 inet 192.168.1.2networking掩码255.255.255.0 inet 172.16.1.1networking掩码0xfffffffc别名 $ cat /etc/ifconfig.gre0 创build 隧道172.16.1.1 172.16.1.2 up inet 172.16.1.5 172.16.1.6networking掩码255.255.255.252 IPsecstream量通过iptables NAT规则从dom0的公共IP转发到domU的xennet0接口: -A PREROUTING -i eth0 […]
我试图通过从OS X 10.10连接来testing一个新的(正在进行的)StrongSwan IPSec VPN服务器。 这是非常令人沮丧的,因为这些日志显示了一系列的“成功”信息,但是随后系统爆炸了。 我也很疑惑为什么安全协会是“ (unnamed)[3] “。 这个页面通过如何捕获racoonconfiguration,看起来像这样: remote myvpc.mydomain.com { doi ipsec_doi; situation identity_only; exchange_mode main; verify_identifier off; shared_secret keychain "SOME-HASH.SS"; local_address 10.0.0.149; nonce_size 16; dpd_delay 20; dpd_retry 5; dpd_maxfail 5; dpd_algorithm dpd_blackhole_detect; initial_contact on; support_proxy on; proposal_check obey; xauth_login "staff"; mode_cfg on; proposal { authentication_method xauth_psk_client; hash_algorithm sha1; encryption_algorithm aes 256; […]
我有一个IPSec VPN的问题相同的情况:stream量路由不正确 (但我似乎无法直接联系该用户,我也不能对这个问题发表评论 – 没有人回答过)。 我也有一台Windows 2008 R2服务器,IPSec VPN直接在服务器上结束。 服务器有一个单一的networking接口,它有一个公共IP地址(例如,我们称之为203.10.10.10)。 我希望远程专用networking(10.16.0.0/255.254.0.0)上的计算机能够连接到该服务器上的IPSec隧道末端的私有IP地址上的Windows服务器(而不是路由器在服务器前面)。 同样重要的是(这可能是困难之处),我需要服务器能够通过TCP连接到远程(10.16.0.0)networking上的设备(例如通过HTTP下载图像)。 以下是它的样子: 我为服务器select的私有IP为192.168.70.1/255.255.255.0,并且build立到远程专用networking的隧道的IPSecfilter用于源/目的地192.168.70.0/24和10.16.0.0/15。 如果我从Windows服务器ping远程networking上的一个地址,设置source参数,那么我可以build立隧道并且ping将工作(即ping -S 192.168.70.1 10.16.0.1 )。 但是,任何发送到10.16.xx地址的“正常”stream量(包括源地址强制为192.168.70.1的ping)都会通过默认路由愉快地发送到Internet,并且不会启动或进入隧道。 题 这样的设置甚至可能吗? 还是不可能让VPN端点自己发送数据在隧道上,从它的一个私人地址发出? (VPN端点是否必须位于通过隧道发送数据的设备的单独路由器上?) 如何设置Windows Server以确保与10.16.0.0networking的所有通信都将从其私有IP地址发出。 私人地址不一定是192.168.70.1 – 如果有必要可以select另一个子网(我这样说是因为我已经读过了,其他所有的东西都是相同的,Windows Vista将会使用最接近匹配的原始IP目的地 – 所以也许使用10.XXX IP作为服务器的私有地址会有帮助?) 我不能很容易地testing,因为这个VPN隧道的另一端不在我的控制之下 – 如果我select更改192.168.70.1地址,我需要另一端的networking工程师进行configuration更改。 额外的信息:我曾经试过甚么 我尝试了两种设置私有IP地址的方法(在Windows服务器上),试图使数据包正确路由并满足build立隧道的IPSec规则。 主界面上的私人地址 通过将192.168.70.1地址添加到主networking接口(除了公用IP)之外,似乎不可能定义到10.16.0.0的任何路由,这将导致窗口使用192.168.70.1作为源地址。 任何去往默认网关的stream量都将以公共IP为源。 如果在Windows上有一些我不知道的神奇的路线,我很乐意听到! 但是,命令: route add 10.16.0.0 mask 255.254.0.0 192.168.70.1 将导致添加路由如下(它在同一个接口上select公共IP作为源/链路上的网关)。 10.16.0.0 255.254.0.0 On-link 203.10.10.10 11 […]
我有一个现有的设置与5515-X作为我的防火墙和VPN,工作正常。 由于移动到一个新的位置,从而一个新的外部接口IP,我可以成功地连接到VPN,但VPN客户端(即无法到达networking内部)没有任何东西可见。 我怀疑UDP 500可能被阻塞,但ISP坚持认为它不是。 (ISP正在pipe理一台Cisco 3900以连接互联网。)3900和ASA之间没有设备。 我应该能够改变外部接口的地址,它应该是即插即用的。 任何想法为什么设置不起作用? 编辑:我现在可以通过Telnet到达ASA的内部接口,我可以连接到它,但我不能看到networking上的其他任何东西。 VPN分配一个IP地址,我保持连接。 即使VPNconfiguration没有任何改变(除了外部IP地址),VPNconfiguration也是有问题的。
在Web服务的情况下,PEM证书中的通用名称(和SAN)应与主机名称匹配。 但是,我发现许多IPSEC或VPN在线文档(使用自签名证书的文档)忽略了证书请求上的公用名字段。 我假设在IPSEC和VPN中使用证书的情况下主机名不重要,这与Web服务中的不同。 谁可以给我解释一下这个?
我在Linux上安装了一个OpenSwan IPSec + L2TP VPN,可以从我的服务器上运行,所以我可以通过笔记本电脑连接到它(roadwarrior设置)。 我可以很好地连接到VPN,但是互联网连接不共享。 我假设有某种我应该做的伪装,但我不知道该怎么做(iptables?)。 任何帮助得到这个工作,所以我可以基本上使用我的VPN连接作为代理将是伟大的。 谢谢
我们有3个Juniper SRX-100防火墙,它们的configuration如下: FW1→FW2→INTERNET→FW3 我们希望在FW3和FW1之间build立一条穿过FW2的IPSEC隧道,最好使用NAT-T。 这可能吗? FW1和FW2有一些严格的接入规则,只允许一个端口连接(这是一个带有服务器的DMZ),所以我们不能在FW1和FW2之间创build一个基于路由的VPN来转发stream量(否则所有的stream量都会被转发) 我们知道隧道是好的,因为我们已经在FW1和FW3之间进行了testing(中间没有FW2),所以我们知道这个问题与FW2上的“直通”有关。 本质上,问题是 – 我们需要在FW2上select哪些选项,使其能够直接通过IPSECstream量到FW1?
我有一个Linux的盒子(Ubuntu的),我有一个服务提供商,将只允许他的networking和我的Linux机箱之间的IPSEC隧道连接。 我从服务提供商处获得这些详细信息: 服务提供商:对等IP – 在服务提供商一方的局域网 – 10.10.10.10/24 Linux框详细信息:对等IP – 局域网 – 连接细节:阶段1:Sha Aes 128 DH – 组x预先共享 – 终身 – 24小时 阶段2:Sha Aes 128终生 – 1小时 我不知道哪个应用程序我需要安装在Linux的盒子,将支持这种types的连接。 有任何想法吗?
NetXtreme II BCM5709千兆以太网卡支持MSIfunction(消息信号中断),并有8个队列。 每个队列在/ proc / interrupts中都有自己的中断处理程序。 我试图完成的是告诉NIC哪些数据包应该进入哪个队列。 问题: 是否可以通过封装的协议types手动指定哪些IP数据包应该进入哪个队列(例如IPsec数据包进入一个队列,而TCP数据包进入另一个队列)? 如果可能的话 – 我怎样才能在Linux下做到这一点? 如果这是不可能的 – 我应该看一下支持MSI-X的网卡来解决这个问题吗? 更多细节: 我们有一个接口正在终止IPSec和转发/终止TCP连接。 IPSec数据包解密是内联的(这意味着解密在相同的ksoftirqd / X上下文中完成)。 我们试图找出如果IPSec数据包在另一个CPU上被调度而不是TCP数据包,我们是否能够提高总体性能。 另一个限制是IPSec代码不是MP安全的,因此我不能在多个ksoftirqd / X下运行它。 默认情况下,数据包似乎是通过8个NIC队列上的源IP分发/散列的。 瓶颈在于IPSec,它在遏制/encryption处于ksoftirqd / X上下文中的100%CPU的IPSec数据包时扼杀TCPstream量。 OS是Ubuntu 10.10(2.6.32-27-服务器),NIC是Broadcom BCM5709。