我有两个系统r1和r2,我想使用公钥authentication在Strongswan之间build立一个ESP隧道。 我已经生成了公钥,分别存储在r1-pub.pem和r2-pub.pem中,两个系统都使用openssl。 现在我的ipsec.conf文件在系统r1中看起来像这样 conn host-host-rsa left=1.1.1.1 leftsubnet=192.168.10.0/24 [email protected] leftauth=pubkey leftrsasigkey=/root/r1-pub.pem right=2.2.2.2 rightsubnet=192.168.20.0/24 [email protected] rightauth=pubkey rightrsasigkey=/root/r2-pub.pem type=tunnel auto=add 而在系统r2中,configuration是 conn host-host-rsa left=2.2.2.2 leftsubnet=192.168.20.0/24 [email protected] leftauth=pubkey leftrsasigkey=/root/r2-pub.pem right=1.1.1.1 rightsubnet=192.168.10.0/24 [email protected] rightauth=pubkey rightrsasigkey=/root/r1-pub.pem type=tunnel auto=add 现在当在r1上启动ipsec时,我得到这个错误 Starting strongSwan 5.1.2 IPsec [starter]… 00[DMN] Starting IKE charon daemon (strongSwan 5.1.2, Linux 3.13.0-32-generic, x86_64) 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts' 00[CFG] […]
SQL Server OLEDB提供程序可以使用连接string中的选项对SQL Server使用SSLencryption连接 : 对数据使用encryption 指定数据在通过networking发送之前是否应encryption。 有效值是“真”和“假”。 默认值是“false”。 正如微软所指出的那样, 这有许多问题 : 它需要获得有效的SSL证书 它需要在服务器上安装SSL证书 它需要改变连接string 这不是我要问的 安全 幸运的是, 微软build议可以使用IPSec作为替代scheme: SQL Server数据可以在传输过程中使用IPSec进行encryption。 IPSec由客户端和服务器操作系统提供,不需要SQL Serverconfiguration。 有关IPSec的信息,请参阅Windows或联网文档。 因为即使客户端和服务器都在同一个局域网上: 我们不希望任何人使用WireShark,集线器,电脑模式,或交换机,可以监控stream量,看到stream量。 问题是: 你怎么做? 研究的努力并不重要 在客户端机器上,我们要configuration一个需要IPSec连接到SQL Server的策略(例如端口1433)。 从高级安全Windows防火墙 : 创build一个新的出站防火墙规则 对于IP端口: 用于目标TCP端口1433 允许连接,如果它是安全的 完 缺点是客户端现在无法连接到服务器: 奖金阅读 超级用户 – Windows 7 – 如何使用IPSec (指隧道模式) Technet:encryption连接到SQL Server (引用用户使用IPSec) MS论坛:IPSec来保护SQL Server连接 (接受的答案是他放弃了试图使用IPsec) 如何使用IPSECencryptionSQL Server通信? […]
亲爱的serverfault,我需要决定部署Opteron 6100和Xeon Westmere EP,所以我认为这是一个平台问题。 如果不是的话,可能会被移到stackoverflow,我在此声明,我非常抱歉。 任何(F)OSS或IPSEC协议栈是否已经使用Westmere-EP的AES-NIfunction? 感谢一束! PS。 如果有人想创build标签AES-NI,欢迎您。 我不能由于缺乏代表。
我正在尝试在我的家庭networking和我的办公networking之间build立一个IPsec网桥。 我想用StrongSwan来encryptionIPsec的stream量 我正在尝试遵循本指南 networking简介: 办公室networking有3台机器连接到一个便宜的D-link路由器,其中2个是Linux机箱,应该可以从IPsecnetworking访问。 另一台机器是Windows,不应该看到任何IPsecstream量 家庭networking有两台机器,一台是linux,它应该可以访问和从IPsecnetworking访问。 另一台机器是windows,不应该看到任何IPsecstream量 我不知道该怎么做,但是我现在有三个高度关注的问题: 1)首先是一个普遍的问题; 假设它可能和实际的安排在互联网之外的秘密预先分享(在这种情况下)是手动设置密钥一般比设置IKE或IKEv2更安全? 2)我已经读了一些关于子网划分的内容,根据我对strongswan文档的解释,我应该设置一个站点到站点的networking,但是我不确定我应该在哪里寻找右/左/ rightsubnet / leftsubnet ip和掩码来configurationipsec。 编辑为了更确切地说,我看着ifconfig输出,并试图决定如何翻译这个configurationrightsubnet / leftsubnet。 什么机器构成网关? 有任何想法吗? 对不起,如果这个问题是非常微不足道的 3)在真实networking中部署任何设置之前,我想使用virtualbox机器在家中testingIPsecnetworking。 这会工作吗? 我需要多less虚拟机来制作一个真实的场景? 谢谢你的耐心 (顺便说一下,我还没有足够的声望来创build“strongswan”标签,如果有人创build了它,我很乐意用它来更新这个post)
我有一个分支办公室,需要将VPN安装到EC2 VPC中。 我不熟悉WatchGuard,并且无法在闪存pipe理界面find所有的旋钮和拨号,使其符合亚马逊的预期。 经过太多的挫折之后,我设法创build了符合大部分指定标准的预期隧道的configuration – 因为我无法find一些像MTU和ESP选项那样的设置,但是我拥有正确的PSK,PFS设置,并且正在告诉它根据要求使用SHA1和AES128。 尝试从办公室访问EC2专用地址会产生一堆debugging垃圾邮件,如预期的那样。 但是,IKE失败: Debug 2011-05-31T23:40:45 Process=iked msg=Process 5/6 Msg : failed to process ID payload 出于显而易见的原因,我甚至没有开始尝试通过隧道configurationBGP。 在这一点上,我想知道是否可以将l2lconfiguration为使用Watchguard防火墙的VPC? 如果是的话,我会在哪里出错?
我有一个CentOS 5系统,作为我的networking和几个远程networking之间的IPSec VPN连接器。 最近它每天都会遇到这个问题,每天有一两次ARPcaching被填满。 这个家伙所在的本地networking是10.51.0.0/16连接到10.53.0.0/16和10.54.0.0/16 。 它有2个接口, eth0连接到internet, eth1连接到本地networking,使用ip 10.51.1.15 。 ARPcaching被10.51.119.x这样的地址10.51.119.x ,似乎有条不紊地继续填充它。 我运行tcpdump的时候,发生了ARP请求,所有这些不存在的地址源于本地ip 10.51.1.15所以它几乎就像有人在做networking扫描,但我怎么知道它是从哪里来的? 它实际上不太可能来自盒子本身,没有人应该像它那样运行扫描,但它可能来自IPSecnetworking? 我怎么知道它来自哪里? 问题解决了:卡巴斯基杀毒软件在我们的networking上进行系统发现。
我们正在工作中出现IPsec / GRE VPN隧道问题。 我们的供应商告诉我,他“强迫重新工作”,一切又开始工作。 他提到这个命令,但没有告诉我确切的一个。 有谁知道如何强制IPSec VPNredirect?
我最近build立了一个strongswan IPSec VPN来从我的android智能手机访问我的家庭服务器的一些非公共服务。 我在一些其他设备上使用OpenVPN来完成同样的任务,但是select了strongswan作为手机,因为我认为IKEv2(如果我错了,请纠正我)在移动设备上非常友好。 当前(openvpn)设置由一个服务器(虚拟IP:10.0.0.2)和多个客户端(全部在10.0.0.0/24子网中)组成。 各方的路由都设置为仅路由通过专用于该子网的vpn的数据包。 (我不想从客户端访问我的服务器的本地子网,我也不想通过服务器路由客户端的所有stream量) 现在我设法使用strongswan(服务器:5.0.4,客户端:官方strongswan android应用程序1.3.0),但我还没有完全。 首先,服务器configuration: config setup conn %default keyexchange=ikev2 conn android left=%any leftauth=pubkey leftcert=serverCert.pem leftid=vpn.mydomain.com leftsourceip=10.10.10.128 leftfirewall=yes right=%any rightsourceip=10.10.10.0/24 rightauth=pubkey rightcert=clientCert_mymobilephone.pem rightauth2=eap-mschapv2 auto=start 这将IP 10.10.10.1分配给我的电话,但没有IP到服务器的任何接口,这将是我想要的。 我仍然可以通过使用其本地IP(192.168.1.2),通过VPN访问我的服务器,这不是我真正想要的;) 我想将所有的客户端(主要是笔记本)从OpenVPN迁移到strongswan,但是上面的问题阻止了我进行切换。 我尝试了许多不同的strongswanconfiguration,但没有一个能匹配我的OpenVPNconfiguration。 那甚至有可能,如果是这样的话?
我试图在运行openswan和shorewall (主机A ,服务子网10.10.0.0/16)的Linux路由器和运行RouterOS 6.3 (主机B ,服务192.168.88.0/24)的MikroTek RouterBoard之间创build站点到站点VPN )。 主持人A说:IPSEC隧道本身似乎是起来的, # service ipsec status IPsec running – pluto pid: 4292 pluto pid 4292 1 tunnels up some eroutes exist 和: #ipsec auto –status <SNIP> 000 #2: "office-connect":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 27422s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate 000 #2: […]
我正在尝试为Google Cloud VPN设置“Option 3”configuration,左边是两个Google Cloud VPN网关,右边是StrongSWAN或OpenSWAN: 如果您有两个对等VPN网关和两个计算引擎VPN网关,则每个计算引擎VPN网关都可以有一个指向每个对等VPN网关公共IP的隧道,从而为您提供VPN网关之间的四个负载均衡隧道,从而可能增加4倍的带宽。 问题是,据我所知,在主动/主动configuration(两个服务通道的隧道)中都要求这两个对等网关具有相同的rightsubnet ,这导致第二个隧道与“正在使用的路由”一起被rightsubnet : Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google1" Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google2" Sep 14 15:44:02 test-vpn ipsec: 003 "google2": cannot route — route already in use for "google1" Sep 14 15:44:02 test-vpn ipsec: 025 "google2": could not […]