我的VPC通过IPSec VPN连接到我的场所,隧道在AWS控制台上显示为UP。 事情的工作: 我可以在VPCstream量日志上看到从我的场所(子网192.168.0.0/16)到AWS VPC(10.0.0.0/16)的stream量,标记为接受。 当我使用sudo tcpdump -i eth0 icmp and icmp[icmptype]=icmp-echo做terminal上的ICMPstream量的tcp转储时,我看到ping: 06:32:13.446579 IP ip-192-168-234-254.ap-southeast-1.compute.internal > graylog: ICMP echo request, id 17473, seq 18722, length 44 。 当我使用其公有IP访问AWS实例时,我可以从任何地方获得Ping回复。 当我使用来自同一VPC中的另一个AWS实例的私有IP对AWS实例进行ping时,我可以获得ping答复。 事情不起作用: 从我的办公室到任何AWS实例(包括接收我的icmp ping的实例)ping时,无法获得ping回复。 从我的AWS实例ping我的房屋时,我无法获得ping回复。 我无法从我的AWS实例到192.168.234.254或任何其他私有IP在我的房屋做traceroute。 这些traceroute结束超时,一路星号。 我无法从我的场所到任何AWS实例执行跟踪路由。 这些traceroute结束超时,一路星号。 configuration: 子网的路由表: Destination target status propagated 10.0.0.0/16 local Active No 0.0.0.0/16 igw-f06e2d95 Active No 192.168.0.0/16 vgw-d1084e83 Active No […]
我想使用Windows vpn客户端的客户端站点vpn到我的linksys rv042。 据我所知,windows VPN客户端在IPsec设置中不提供很大的灵活性。 假设客户端站点VPNconfiguration的站点末端具有完全的可configuration性,是否有人configuration站点以匹配Windows客户端? 奖金点:我将如何发现这些设置为我自己?
我有一些VPN站点的MTU低于标准(1500)。 我至less有一个站点,在这个站点上,数据包的碎片影响了构buildIPSEC隧道的成功。 我能够在远程站点的设备上设置MTU。 不过,在总部,我不想把MTU设置成最低的共同标准。 有没有办法将MTU设置为低于指定IP地址的stream量? 碎片是我需要担心的functionVPN连接吗? 这是否值得在没有问题的地方解决? 总部设备是ASA 5510.远程站点有ASA 5505。
这是我的基础架构configuration: 所有服务器都有公共IP 我已经设置了一个GPO,为每个人启用IPSec,对于所有服务器,使用“默认身份validation”的“入站和出站请求”规则。 除了“请求/请求”的Active Directory服务器,因为它不能与“请求/请求”一起工作。 我的第一个问题是:为什么我必须在“请求/请求”上设置AD服务器? 是否因为我使用基于Kerberos的默认身份validation方法? 我的第二个问题是:这样安全吗? 从我的看法来看,AD并没有被IPSec保护,所以它很脆弱,对吗? 这是否危险? 我的第三个也是最后一个问题:你们认为在Windows Server上使用完整的IPSec域隔离策略是最好的方法吗? 我对这项技术感到非常高兴,直到我发现AD没有得到保护。 谢谢你的时间!
我有200B Fortigate单位与2互联网广域网连接。 我也有一个通过WAN1通过IPSEC VPN连接的远程站点。 这个站点只有一个GW的IP地址。 我也想设置一个WAN2的VPN ontop作为目的地。 我最后的默认路由是WAN1。 我的问题是我不能弄清楚如何在同一时间有两个隧道。 达到这个目标的最佳做法是什么? 谢谢
我公司使用IPCop来configuration它的VPN。 我们有一个在Windows XP上运行的IPSec脚本,使用安全证书打开连接进行身份validation。 微软完全改变了与Vista的东西,我们的脚本不再起作用。 有没有人build立了一个Vista VPN连接,特别是与另一端的IPCop连接? 我们find了TheGreenBow VPN客户端 ,但我们更喜欢更便宜的东西,比如免费的。
我们有这样的总部/分公司WAN, Server LAN <-> Cisco PIX 515e <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 1 <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 2 <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 3 … <-VPN tunnel-> Cisco ASA 5505 <-> Client LAN 66 问题: 这些VPN隧道中有5%随着时间的推移而降低。 症状: 客户端响应PING,但不响应RPC或RDP。 在ASA上,VPN隧道从1个IKE , 2个IPSec到1个IKE , 1个IPSec 。 ASA的重新启动可以暂时解决问题。 […]
我已经为我的Fortigateconfiguration了一个新的VPN IPSec隧道,以允许iOS Cisco客户端连接。 这工作正常。 我可以RDP到我的服务器,通过IP地址浏览我的服务器等。 但是,iPhone不能parsing我的内部IP地址。 我添加了为内部用户提供地址的DNS服务器,以及WINS服务器,但是iPhone的行为完全没有看到。 config vpn ipsec phase1-interface edit "iPhone_VPN" set type dynamic set interface "wan1" set dhgrp 2 set proposal 3des-sha1 3des-md5 set xauthtype auto set mode-cfg enable set authusrgrp "iPhone_VPN_Users" set ipv4-start-ip 10.10.99.100 set ipv4-end-ip 10.10.99.199 set ipv4-netmask 255.255.0.0 set ipv4-dns-server1 10.10.2.1 set ipv4-dns-server2 10.22.1.80 set ipv4-wins-server1 10.10.2.1 set ipv4-wins-server2 […]
有没有可能在我的Linux机器和Linux Ec2实例之间build立一个IPSec连接? 我可以看到EC2的公共IP地址,但是与该IP关联的实例中没有列出任何接口(只有eth0和一些10.xxx专用IP)。 无论如何,我试图build立与公共IP的IPSec,它不工作。
我们使用思科ASA为我们的IPSEC VPN使用EZVPN方法。 我们经常会遇到一些问题,即ISP已经改变了他们的networking,我们的VPN就停止工作了。 ISP十次中有九次否认他们的改变可能阻止了这个工作 – 我怀疑是因为他们不明白究竟是什么原因导致了这个问题。 我不想和他们争吵,而是试着把他们指向一个可能得到更快解决的方向。 在我目前的事件中,我可以ssh到ASA的外部接口,并做一些小动作: sh crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: {Public IP address of London ASA} Type : user Role : initiator Rekey : no State : AM_TM_INIT_XAUTH_V6C […]