这是我的设置 我已经有一个工作的L2L VPN站点之间 我将10.10.0.0/24添加到在1615 ASA上定义内部networking的对象组,并将其作为1604 ASA上的远程子网 即时通讯没有从1604侧10.10.0.1,还我在两侧添加了sysopt连接permit-vpn 有任何想法吗?
我正在创build一个从Linux机箱到运行标准固件的SonicWall防火墙的IPSec隧道。 似乎隧道似乎已经创build好了,但是从Linux机箱到远程networking的数据包没有被路由到隧道中。 来自远程networking的数据包似乎没有问题。 尝试从Linux机箱到安全远程networking的ping命令将通过正常的路由表进行路由。 查看路由表和caching,192.168.1.0(远程networking)没有条目。 我从文档的期望是隧道政策将插入路线。 任何想法appriciated。 谢谢,布拉德 这是我的conf脚本: #!/sbin/setkey -f # Configuration for 172.16.89.100 # Flush the SAD and SPD flush; spdflush; add 172.16.89.100 172.20.241.2 ah 0x200 -m tunnel -A hmac-sha1 0xredacted00000000000000000000000000000000; add 172.20.241.2 172.16.89.100 ah 0x300 -m tunnel -A hmac-sha1 0xredacted00000000000000000000000000000000; add 172.16.89.100 172.20.241.2 esp 0x201 -m tunnel -E 3des-cbc 0xredacted0000000000000000000000000000000000000000; add 172.20.241.2 […]
我正在阅读IPSec,并想知道是否可以使用wireshark从使用预共享密钥的IPSEC传输模式会话中解密ESP数据包。 从阅读这个主题 ,我已经知道,即使预共享密钥已经知道,由于ISAKMP过程,解密ESP数据包仍然不是微不足道的。 它看起来像路由器的核心转储需要获得wireshark所需的encryption和身份validation密钥。 这是我对这个准确的解释吗?任何人都可以解释ISAKMP如何使terminal的信息是必要的吗? 我遇到了麻烦,找不到比我有更多的密码学背景的解释(例如, RFC 2408 )(但也许这是因为它不能被解释,否则?)。
我们在Cisco 2811中有以下configuration: interface FastEthernet0/1 ip address 10.1.2.1 255.255.255.0 secondary ip address 10.90.11.1 255.255.255.0 secondary ip nat inside (10.90.11.0/24 goes via IPSec to another routers) ip nat inside source list 101 interface FastEthernet0/0 overload ip nat inside source list 103 interface FastEthernet0/0 overload access-list 101 permit ip 10.1.2.0 0.0.0.255 any access-list 103 deny ip 10.90.11.0 0.0.0.255 […]
我们有一个端口防火墙(community,2.4.0)作为网关,它已经作为OpenVPN和IPSec端点(net-to-net)。 我们有很多Android手机(大部分都是运行Android 2.2 FroYo)。 我目前正在尝试build立Android手机和Endian防火墙之间的VPN连接。 因此,该选项将是OpenVPN或IPSec。 对于Android,没有“官方”的OpenVPN应用程序。 可用的需要root权限,为tun等定制内核模块。这使得IPSec成为一个选项,因为它受到了Android的支持。 我尝试设置一个PSK的IPSec隧道testingendian,但电话不断询问用户名和密码(PSK设置在手机上),我不知道如何configurationendian。 Endian上唯一可用的选项是OpenVPN用户。 如果PSK隧道正常工作,我想切换到使用证书的PKI身份validation,但是我不能像PEM格式那样将端口根密钥导入Android,而不是p12格式。 我如何才能在Endian防火墙和Android上运行IPSec?
我在Smoothwall Express论坛上询问了这个问题,但他们不愿提供太多的帮助。 毕竟,他们真的想出售商业版本。 我需要提供一个L2TP / IPSEC VPN来远程支持我们即将推出的一些新机器(没有select那个部分)。 由于远程用户还需要通过Active Directory进行身份validation,因此我需要在Windows(2003)服务器上运行VPN,而不是直接在防火墙上运行。 由于Smoothwall Express没有提供从其正常pipe理界面转发协议的规定,因此需要通过编辑rc.firewall.up的iptables设置来完成。 这是我的问题。 我不知道iptables,并觉得即使我花时间来阅读它,我搞砸的风险是显着的。 以下部分目前存在于rc.firewall.up : # IPSEC /sbin/iptables -N secin /sbin/iptables -A secin -i ipsec0 -j ACCEPT /sbin/iptables -A INPUT -j secin /sbin/iptables -N secout /sbin/iptables -A secout -i ipsec0 -j ACCEPT /sbin/iptables -A FORWARD -j secout [这里有些无关的东西] # IPSEC /sbin/iptables -N ipsec /sbin/iptables -A […]
我已经configuration了两个Linux机器,以便他们在需要通信时自动使用传输级别的IPSec连接。 configuration基于带有X509authentication的Racoon,并且bundle_complex选项设置为on ,以及两个框之间需要ESP和AH的策略。 虽然configuration工作,一般来说,前几个数据包总是丢失,例如: $ ping -c 3 ABCD PING ABCD (ABCD) 56(84) bytes of data. ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted 64 bytes from ABCD: icmp_req=3 ttl=64 time=0.497 ms 有什么办法可以防止这种情况发生,例如通过“延迟”数据包直到IPSec传输协商完毕?
我正在探索使用ipsec传输模式提供2个局域网和几个远程用户之间的安全ipv6访问。 我喜欢与ipv6结合使用的平面ipv6全球单播地址空间的组合,因为您可以取消隧道和vpns所需的所有路由子网。 我不喜欢的是,ipsec传输模式是端到端的,这将迫使我把ipsec策略放在内部局域网上的服务器上。 有没有办法在防火墙上终止ipsec传输,然后让明文数据包进入我的内部局域网? 作为参考,我目前使用OpenVPN的ipv4互连,并厌倦了处理所有额外的路由。 我以前没有用过ipsec。
我正在使用OpenSWANbuild立一个networking到networking的VPN隧道。 我成功地configuration了一个testing场景如下: 关于test和test : 他们是使用ubuntu-vm-builder创build的Ubuntu 12.04虚拟机 他们使用桥接networking到主机的物理以太网(192.168.0.0/24子网)。 我安装了标准的openswan软件包。 每个虚拟接口都可以从VPN隧道的另一端访问。 这是我如何configuration隧道: /etc/ipsec.conf(左右相同): version 2.0 config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off protostack=netkey conn net-to-net authby=secret left=192.168.0.11 leftsubnet=10.1.0.0/16 leftsourceip=10.1.0.1 right=192.168.0.12 rightsubnet=10.2.0.0/16 rightsourceip=10.2.0.1 auto=start /etc/ipsec.secrets(左右相同): 192.168.0.11 192.168.0.12: PSK "mytestpassword" /etc/rc.local(左边): modprobe dummy ifconfig dummy0 10.1.0.1 netmask 255.255.0.0 iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.0/16 ! -d 10.2.0.0/16 -j […]
我正在尝试在家中安装一个strongSwan服务器,并从另一个networking连接到它。 假设sun是VPN服务器, venus是客户端。 sun和venus都在NATnetworking之后。 sun不是我的家庭networking的门户。 但是,端口4500,500和50(UDP)被转发到sun 。 ipsec.conf(sun) # ipsec.conf – strongSwan IPsec configuration file # basic configuration config setup charonstart=yes plutostart=no conn venus left=%any leftcert=sunCert.pem right=%any leftsubnet=10.135.1.0/24 rightid="C=IL, O=KrustyKrab, CN=venus" keyexchange=ikev2 auto=add type=tunnel mobike=no include /var/lib/strongswan/ipsec.conf.inc ipsec.conf(venus) # ipsec.conf – strongSwan IPsec configuration file # basic configuration config setup charonstart=yes plutostart=no conn krustykrab left=%defaultroute […]