好的,所以我有一个简单的VPN IPSEC设置,使用一个具有公共IP地址和172.16.255.1的回送接口的Linux主机。 在右侧,我有一个Cisco ASA 5505 9.1。 问题是Cisco ASA在debugging“PHASE 2 Completed”时说,所以我知道与我的ISKMP协商没有冲突。 但是,我收到以下这应该表示networkingACL不匹配,但我无法弄清楚。 Apr 09 14:30:26 [IKEv1 DEBUG]Group = xx137.133, IP = xx137.133, IKE got a KEY_ADD msg for SA: SPI = 0x61af9f82 Apr 09 14:30:26 [IKEv1 DEBUG]Group = xx137.133, IP = xx137.133, Pitcher: received KEY_UPDATE, spi 0x95cad3f0 Apr 09 14:30:26 [IKEv1 DEBUG]Group = xx137.133, IP = […]
我是新来的Ipsec隧道。 我已经使用供应商的预共享密钥成功创build了一个到思科非现场路由器的隧道。 在端点1:我有服务器IP地址和远程服务器IP地址,我打算连接到。 在端点2:我有与上面相同的IP地址 在ipsec隧道端点我列出了服务器的IP地址和端点2我列出了Cisco路由器。 隧道出现。 (在监视和主模式和快速模式下可见)除供应商确认可以看到我们的连接外。 但是,当我们尝试连接到其networking中的其中一个服务器(在上面的端点1和2中列出)时,它不会连接。 供应商声称,他们有其他客户以这种方式连接,而不是在他们身边的问题。 我试图追踪wireshark的stream量,但wireshark只能看到stream量,如果我禁用Ipsec隧道。 编辑:当我尝试远程login到tunnelendpoint后面的服务器时,我可以看到tunnelendpoint的stream量。 但telnet会话超时之前build立。 有任何想法吗?
我有一个Ubuntu的服务器上运行的StrongSwan,我试图创build一个Cisco 2821路由器的IPSecencryption的VPN隧道。 连接不工作,我不明白为什么。 它似乎完成阶段1,但在阶段2失败。任何人都可以提供build议? 我很难过 顺便说一句,我的服务器是在亚马逊云。 这是我的configuration: conn my-conn type=tunnel authby=secret auth=esp ikelifetime=86400s keylife=3600s esp=3des-sha1 ike=3des-sha1-modp1024 keyexchange=ike pfs=no forceencaps=yes # Left security gateway, subnet behind it, nexthop toward right. left=10.0.0.4 leftsubnet=10.0.0.4/32 leftnexthop=%defaultroute # Right security gateway, subnet behind it, nexthop toward left. right=1.2.3.4 rightsubnet=1.2.3.5/32 rightnexthop=%defaultroute # To authorize this connection, but not actually start it, […]
问题是:build立IPsec VPN隧道后,所有的stream量都被路由到远程端点,而我只需要路由到内部networking的数据包,仍然可以在本地机器上访问互联网 。 目前,当启用相应的VPN连接时,所有的连接都会中断,这意味着无法通过LAN访问此计算机,也无法通过它访问互联网(远端有进一步的WAN转发限制)。 所以,只有VPN在这种情况下工作。 该拓扑结构: http : //i.imgur.com/9HEru.png 我在基于Debian的发行版上使用OpenSwan ,也在NAT后面(遍历已启用)。 以下是ipsec.conf的详细信息: 版本2.0 configuration设置 plutodebug = “无” plutoopts = “ – perpeerlog” plutoopts = “ – 接口= WLAN2” DUMPDIR =的/ var /运行/冥王星/ nat_traversal = YES virtual_private =%V4:10.196.0.0/17,%v4:192.168.1.0/24 OE =关 protostack = NETKEY 连接 authby =秘密 密钥有效期= 1H PFS = YES 汽车=添加 phase2alg = AES128-SHA1; modp1024 […]
如何在其他工作的IPSec规则中添加“只允许连接到这些计算机”设置中断连接? 背景: 我正在设置一组基本的客户端规则,将出站SMB访问限制为只能访问某些服务器。 假设从黑名单开始,并需要将所需的通信列入白名单。 服务器端的设置和function应该没有任何问题。 设置使用传统IPSec接口服务器端和Windows高级防火墙客户端configuration。 首先将身份validation设置为Kerberos(计算机)或计算机证书。 双方使用'请求入站和出站'作为他们的validation模式。 双方都使用“请求IPSec”模式,因为可能有非IPSecstream量传递给其他设备。 客户端上的Windows高级防火墙规则function完美, 直到我定义“只允许连接到这些计算机”选项。 wireshark捕获显示ISAKMP和ESPstream量,我正在看安全关联列表中的主模式和快速模式关联。 编辑: 根据MS文档,我启用了以下日志logging来debugging我的连接问题。 auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Driver" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Main Mode" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Quick Mode" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Extended Mode" /success:enable […]
我使用IPSet来为不同的国家build立IP范围如下: # Canada ipset -F ca.zone ipset -N ca.zone nethash for IP in $(wget -O – http://www.ipdeny.com/ipblocks/data/countries/ca.zone) do ipset -A ca.zone $IP echo $IP done 然后,我使用以下iptables规则阻止来自服务器上某些端口的国家/地区: iptables -A INPUT -m set –match-set fr.zone src -p tcp –dport 15765 -j DROP iptables -A INPUT -m set –match-set cn.zone src -p tcp –dport 15765 -j DROP iptables […]
引用维基百科 : 它提供最小的安全性; MD5哈希函数容易遭受字典攻击,并且不支持密钥生成,这使得它不适合用于dynamicWEP或WPA / WPA2企业 但是,维基百科在无线authentication的背景下讨论了EAP-MD5。 如果我理解正确,这在strongSwan中不是安全风险,因为客户端和服务器之间的身份validation是encryption的。 我是对的吗?
我在CentOS 6.7上使用OpenSwan IPSec隧道。 我已经根据这个链接在/etc/ipsec.secrets添加了以下configuration: http : //linux.die.net/man/5/ipsec.conf config setup plutodebug=all plutostderrlog=/var/log/openswan.log 不幸的是,我无法在openswan.log中看到日志。 我错过了什么?
我有一台运行Windows Server 2003的服务器。我只想允许来自我的IP地址的stream量,并阻止来自其他所有地址的所有其他stream量。 我想知道如何在Windows中使用MMC正确configuration此IP安全策略。
我有一个使用固件版本6.2.0r5.0build立Juniper SSG 5 VPN 的主机 我一直在尝试使用本指南设置VPN: http : //kb.juniper.net/InfoCenter/index?page=content&id=KB4094我已经按照步骤和我的Mac,每当我尝试连接使用IPSec上的L2TP我得到以下错误; 步骤摘要 :创build用户(赋予他们L2TP授权能力),创build组,创build组,创buildVPN网关,创buildVPN,创buildIP池,更改默认的L2TP设置,创buildUntrust> Trust Policy。 L2TP-VPN服务器没有响应。 尝试重新连接。 如果问题仍然存在,请validation您的设置并与pipe理员联系。 我查看了防火墙的日志,但是在“报告”>“日志”>“事件”下甚至没有看到任何内容。 我很明显错过了一些东西,我只是不知道我现在在想什么。 我刚刚开始build立networking,这是步骤101,我感到恼火,只是想吐露OpenVPN,但我读过,有与瞻博networking防火墙的问题。 万岁。