我在cisco站点上按照这个文档build立了L2TP over IPsec连接。 当我尝试从我的Windows XPbuild立一个VPN到ASA 5505,当我点击“连接”button后,出现“正在连接….”对话框,过了一会儿,我得到这个错误消息:错误800:无法build立VPN连接。 VPN服务器可能无法访问,或者可能无法正确configuration此连接的安全参数。 ASA 7.2(4) ASDM版本5.2(4) Windows XP SP3 Windows XP和ASA 5505位于相同的LAN上用于testing目的。 编辑1:在Cisco设备上定义了两个VLAN(Cisco ASA5505的标准设置)。 – 端口0在VLAN2之外; – 和VLAN1上的端口1到7,在里面。 我从Linksys家庭路由器(10.50.10.1)到端口0(外部)的Cisco ASA5505路由器上运行电缆。 端口0有cisco内部使用的IP 192.168.1.1,我也分配了外部IP 10.50.10.206到端口0(外部)。 我从Windows XP向端口1(内部)的Cisco路由器运行电缆。 端口1被分配来自Cisco路由器192.168.1.2的IP。 Windows XP也通过无线连接到我的Linksys家庭路由器(10.50.10.141)。 编辑2:当我尝试build立vpn时,思科设备实时日志查看器显示7个条目,如下所示: Severity:5 Date:Sep 15 2009 Time: 14:51:29 SyslogID: 713904 Destination IP = 10.50.10.141, Decription: No crypto map bound to interface… dropping pkt 编辑3:这是目前在路由器上的设置。 […]
我正在致力于在Amazon EC2和我的内部部署之间获得IPSec VPN。 目标是能够安全地pipe理这些隧道上的东西,上传/下载数据等。 我已经得到了在使用弹性IP的Fedora 12实例和也是NAT的Cisco路由器之间的openswan隧道。 我认为ipsec部分是可以的,但我很难找出如何路由stream量, 有没有“ipsec0”virutal接口,因为在亚马逊你必须使用netkey而不是KLIPS的VPN。 我听说iptables可能是必需的,我是iptables noob。 在左边(亚马逊),我有一个10.networking。 方框1私下为10.254.110.A,公开IP 184.73.168.B. Netkey隧道已经启动 方框2公开为130.164.26.C,私下为130.164.0.D 我的.conf是: conn ni type= tunnel authby= secret left= 10.254.110.A leftid= 184.73.168.B leftnexthop= %defaultroute leftsubnet= 10.254.0.0/32 right= 130.164.26.C rightid= 130.164.0.D rightnexthop= %defaultroute rightsubnet= 130.164.0.0/18 keyexchange= ike pfs= no auto= start keyingtries= 3 disablearrivalcheck=no ikelifetime= 240m auth= esp compress= no keylife= 60m […]
我正在尝试使用wfp跟踪和/或debuggingIKE IPSec服务来debuggingIPSec主模式/ IKE问题。 我从DDK获得了ETL文件和tracefmt,但是我的平台没有wfp.tmf,所以格式化的事件输出只是一堆“找不到格式信息”。 Server 2008 R2在%windir%\ system32中没有wfp.tmf。 为什么不可用,我在哪里可以得到它?
我们公司正在考虑以ASP的分销模式托pipe我们的软件,我们正在考虑防火墙硬件来保护我们的数据中心。 我的问题是并发会话的数量(可以是几百万)和并发的IPsec / VPN会话(在几千到几万的低)之间有什么区别。 我们可能需要通过VPN提供高达45,000个连接。 所以我们正在寻找可以支持的硬件。
我正在使用pfSense 2.0并configuration了一个IPsec VPN(使用Raccoon IPsec守护进程)。 我使用iPhone(iOS 5)连接到VPN。 但是,iPhone不允许保存XAuth用户名和密码。 删除XAuth身份validation(即空白密码)有多安全,只能使用RSA证书身份validation?
我用一个分支机构的ipsec隧道replace一个新的防火墙设备的私人T1链接。 我试图找出正确的方法来将新站点上的人员转移到新的连接,以便他们默认使用更快的隧道。 现有networking:192.168.254.0/24,gw 192.168.254.253(思科路由器插入私有t1) testingnetworking我一直在使用ipsec隧道:192.168.1.0/24,gw 192.168.1.1(pfsense fw插入公共互联网),也插入与旧networking相同的交换机。 现有子网中可能有〜20-30个networking设备,大约有5个静态IP。 远程端点已经是防火墙 – 我无法build立到现有子网的冗余链接。 换句话说,只要将隧道configuration更改为指向192.168.254.0/24,现有子网中的所有设备都将停止工作,因为它们指向错误的网关。 我希望有一些能够缓慢执行此操作的能力 – 这样,在移动关键服务或不太容忍的用户之前,我可以通过几个客户端validation新链接的稳定性。 什么是正确的方法来做到这一点? 将所有设备上的networking掩码更改为/ 16,并将网关更新为指向新设备? 这会导致任何问题吗? 另外,我应该如何处理DNS? pfsense框不知道我的Active Directory环境。 但是,如果我更改DNS使用本地服务器,它将导致一个巨大的放缓,因为DNS查询仍然将通过私人t1路由。 我需要一些帮助来制定一个不太破坏性的计划,但是在我做最后的切换之前,我真的会让我彻底地testingIPSEC隧道的稳定性。 AD版本是2008R2,服务器也是如此。 工作站大多是Windows XP SP3。 我没有将192.168.1.0/24configuration为AD站点和服务中的站点。
我有一个工作ipsec工具configuration使用aes-ctrencryption与224位密钥(192位密钥+ 32位nonce)。 在3.2.0内核上一切正常。 以下是关于密钥长度的man setkey : aes-ctr 160/224/288 draft-ietf-ipsec-ciph-aes-ctr-03 现在,在3.9.3内核中,相同的configuration结果 line 3: Not supported at [0xb852255497778bb093ea86d9f1474ec7c83822f0e2b64312657a9a06] parse failed, line 3. 我从之前看到的同样的信息从旧的内核移到3.2.0 – 它丢弃了160位密钥,并切换到224位解决了这个问题。 现在,在3.9.3的任何密钥长度我尝试结果在相同的错误消息。 3.9.3的关键长度是多less? 他们放弃AES-CTR,我应该使用不同的algorithm? 我没有想法 两个内核的setkey版本是0.8.0。 Ubuntu精确。
我在试图弄清楚如何改善与远程用户的文件共享方面有点不知所措。 设置如下: 100 Mb / s的powershell光纤向上和向下 Sonicwall运行SonicOS 5.8.1 戴尔PowerEdge R310 华盛顿特区 远程用户: 正在运行Windows 7专业版。 有一个Comcast 50 Mb Dl 12的速度 丹佛 体验下载速度为220 Kbs / s 以下是我所做的: 将我的密钥交换更改为“组1”,以获得更好的networking性能。 [微小的改进。] ISP MTU设置为1542,我将WAN从1500降低到1460,问题变得更糟。 Ping到Fileserver在60-70毫秒范围内。 这仅仅是SMB的一个潜在的不好的用途? 我应该试图find另一种方式与远程用户共享文件。
我即将为我的部分域名部署DNSSEC,而且在准备就绪时,我对这个主题进行了一些阅读。 我遇到了一些Microsoft Technet文章中讨论的名称parsing策略表 ,它允许在与DNS服务器通信时使用IPSec来configurationWindows DNS客户端以提供完整性和(可选)身份validation。 从我所坐的位置看,这似乎是一个非常好的主意,但唉,NRPT只是一个Windows。 在Linux / OpenBSD世界有没有相同的东西? 将DNSSEC和IPSec组合在一起似乎是安全性明确的服务器pipe理员的完美解决scheme。
我有一个适用于RA的OpenSWAN实现,使用在AWS中运行的IPsec传输和l2tp作为通道。 这个实例有一个私有的IP,并且映射到一个公共的EIP。 我使用left和left leftsubnet参数的私有IP和公共leftid 。 我正在尝试configuration从同一个客户端到运行StrongSWAN(4.5.2)的新端点的IPSec连接。 我试图尽可能地将configuration从openswan复制到strongswan。 现在,我只是试图build立IPSec(不用担心l2tp),并且在第二阶段(阶段1正在完成)遇到问题。 configuration的差异是: — openswan.conf 2014-07-18 11:48:01.740966015 +0200 +++ strongswan.conf 2014-07-18 11:46:58.927569703 +0200 @@ -1,11 +1,14 @@ +version 2.0 + config setup – protostack=netkey + charonstart=no + interfaces="%none" nat_traversal=yes – virtual_private=%v4:192.168.10.0/24 oe=off – nhelpers=0 – interfaces=%defaultroute + virtual_private="%v4:192.168.11.0/24" + +conn %default + keyexchange=ikev1 conn remote-access forceencaps=yes type=transport ike=3des-sha1 – […]