我试图从家里的Windows7连接到我在Amazon的Ubuntu EC2实例上的OpenSwan / xl2tpd设置。 这是从客户端和服务器端进行NAT的连接。 我是从几个线程提示如何完成这个连接,但都失败了 最让我感到困惑的是日志中的以下行: Jul 13 11:04:21 ip-10-117-59-224 pluto [8782]:“connRW48”[2] 85.178.143.82#1:无法响应IPsec SA请求,因为23.21.84.48/32没有连接=== 10.117.59.224 [23.21.84.48,+ S = C]:一千七百○一分之一十七… 85.178.143.82 [192.168.2.103,+ S = C]:一千七百〇一分之一十七=== 192.168.2.103/32 这个连接显然存在于被识别为leftid的外部IP(见下面关于ipsec auto –status)。 为什么找不到? 还有什么我做错了? 我会很感激任何帮助。 我的configuration: 我正在使用的IP: EC2实例内部IP:10.117.59.224 与实例关联的弹性IP:23.21.84.48 我的ISP的IP与我的路由器在家里:85.178.143.82 我家的NAT IP:192.168.2.103 我目前在我的/var/log/auth.log上得到这些错误信息: 7月13日11时03分55秒ip-10-117-59-224 pluto [8782]:更改path到目录'/etc/ipsec.d/ocspcerts' Jul 13 11:03:55 ip-10-117-59-224 pluto [8782]:改变目录'/etc/ipsec.d/crls' 7月13日11时03分55秒ip-10-117-59-224 pluto [8782]:警告:空目录 7月13日11时03分55秒ip-10-117-59-224 pluto [8782]:侦听IKE消息 […]
我试图将Fortigate 60Cconfiguration为远程VPN的IPSec端点。 我这样configuration它: SCR-F0-FGT100C-1 # diagnose vpn ike config vd: root/0 name: SCR-REMOTEVPN serial: 7 version: 1 type: dynamic mode: aggressive dpd: enable retry-count 3 interval 5000ms auth: psk dhgrp: 2 xauth: server-auto xauth-group: VPN-group interface: wan1 distance: 1 priority: 0 phase2s: SCR-REMOTEVPN-PH2 proto 0 src 0.0.0.0/0.0.0.0:0 dst 0.0.0.0/0.0.0.0:0 dhgrp 5 replay keep-alive dhcp policies: […]
在Windows中,似乎有两种设置IPsec的方法: IP安全策略pipe理 MMCpipe理单元(在Windows 2000中引入了secpol.msc一部分)。 具有高级安全性 MMCpipe理单元的Windows防火墙 ( wf.msc ,在Windows 2008 / Vista中引入)。 我的问题涉及到#2 – 我已经想出了我需要知道的#1。 (但是我想用改进的encryptionfunction来使用“新”pipe理单元。) 我有两个Windows Server 2008 R2计算机在同一个域(域成员),在同一个子网上: server2 172.16.11.20 server3 172.16.11.30 我的目标是使用隧道模式下的 IPsecencryption这两台机器之间的所有通信,以便协议栈是: IP ESP IP …等等。 首先,在每台计算机上,我创build了一个连接安全规则 : 端点1 :(本地IP地址),例如server2 172.16.11.20 端点2 :(远程IP地址),例如172.16.11.30 协议: 任何 身份validation: 要求入站和出站 , 计算机(Kerberos V5) IPsec隧道: 免除IPsec保护的连接 本地隧道端点: 任何 远程隧道端点:(远程IP地址),例如172.16.11.30 在这一点上,我可以ping每台机器,Wireshark显示协议栈; 然而,没有什么是encryption的(在这一点上是预期的)。 我知道它是未encryption的,因为Wireshark可以解码它(使用设置尝试检测/解码NULLencryption的ESP有效载荷 ), 监视器 > […]
这是我第一次尝试在站点到站点的VPN。 我select使用IPec,因为它似乎是我需要完成的最佳解决scheme。 上周我已经跟随了几个不同的教程,取得了一些成功。 现在,当ping相反的子网时,我似乎无法获得成功。 我知道我错过了什么,我只是不知道是什么。 最好我可以告诉,我应该在路线表中看到一些东西。 现在,stream向另一个子网的stream量不会被封装,而是被在不可路由的私有IP目的地上的第一个路由器丢弃。 我试过把MASQUERADE和RELATED,ESTABLISHED规则添加到iptables中,思考可能会有所帮助。 我最终冲淡了这个想法。 现在,iptables的默认策略是在两个Ubuntu盒子的所有链上接受。 当IPsec正在工作时,我会调整一些东西。 从“服务ipsec状态”输出 IPsec running – pluto pid: 1059 pluto pid 1059 1 tunnels up some eroutes exist /etc/ipsec.conf在这两个站点上 version 2 config setup dumpdir=/var/run/pluto/ nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v6:fd00::/8,%v6:fe80::/10 protostack=netkey force_keepalive=yes keep_alive=60 conn site1-site2 leftsubnets=10.248.248.64/16 rightsubnet=10.131.250.194/16 auto=start left=162.243.XXX.XXX right=178.62.YYY.YYY leftid=@site1 rightid=@site2 authby=secret ike=aes128-sha1;modp1024 phase2=esp phase2alg=aes128-sha1;modp1024 aggrmode=no ikelifetime=8h salifetime=1h dpddelay=10 […]
我将在位置A有两台思科路由器为相同的内部networking提供服务,并在位置B提供一台路由器。 目前,我在每个位置都有一台路由器,使用IPSec站点间隧道连接它们。 它看起来像这样: 地点A: crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location B set peer 12.12.12.12 set transform-set ESP-3DES-SHA match address internal-ips 地点B: crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location A set peer 11.11.11.11 set transform-set ESP-3DES-SHA match address internal-ips 我可以通过在位置B简单添加另一个同位体来实现故障转移吗? 位置A(新的第二个路由器,在以前的路由器configuration保持不变): crypto map crypto-map-1 1 ipsec-isakmp description Tunnel to Location B […]
我从一个Xen VPS主机买了一个VPS,负载很轻,所以我想运行一个VPN。 我正在拍摄的configuration是“roadwarrior”风格,因为我不想在家中使用它来保护iPhone和Mac的连接。 请记住,我是一个程序员,而不是一个系统pipe理员,所以这对我来说是相当陌生的。 没有得到一个StrongSWAN / PPP / xL2TP设置工作,我碰到浣熊这似乎是一个非常简单的select。 我试图避免使用证书,因为在iOS设备上获取证书的过程可能很烦人(只是猜测)。 因此,我已经在VPS上configuration了racoon,这样我就可以成功连接它并通过系统用户数据库支持的XAUTH进行身份validation。 这一切似乎工作,这是NAT /networking的东西,不工作,我完全不在我的元素。 我的VPS正在运行Ubuntu 10.10。 我从ifconfig得到以下输出(我猜它可能是相关的): eth0 Link encap:Ethernet HWaddr 00:16:3e:4a:7f:29 inet addr:69.172.231.11 Bcast:69.172.231.63 Mask:255.255.255.192 inet6 addr: fe80::216:3eff:fe4a:7f29/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:5234214 errors:0 dropped:0 overruns:0 frame:0 TX packets:2417090 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:553246281 (553.2 MB) TX bytes:5237753987 […]
我已经find关于IPSEC是什么以及如何(以非特定的方式)configuration它的各种文档,但我似乎无法configurationWindows防火墙高级安全规则,这两个规则都需要所有的SQL Server通信被encryption,B)工作。 作为一个练习,我创build了一个入站规则,允许默认的MSSQLSERVER服务连接到域时的所有stream量,并testing我可以使用该规则连接到SQL Server实例。 当我将操作从“允许连接”更改为“允许连接,如果它是安全的”,使用“要求连接encryption”选项,我不能再build立连接。 我似乎无法find任何有关如何指示客户端使用该encryption连接的信息,或者是否还有其他必须满足的先决条件。 一般来说,我似乎也无法find使用IPSEC和SQL Server的很多方面。 我知道如何通过SSLencryptionSQL Server连接,但使用此服务器的主要应用程序将不会使用SSL连接,直到将来的版本。 如何让客户端操作系统使用Windows 7中的高级安全Windows防火墙中的IPSEC进行连接?
在谷歌,通过Serverfault,甚至在StrongSwan网站search了很多天后,我一直没有成功尝试在OS X 10.11.5和iOS 10上运行StrongSwan IPSec / IKEv2 VPN。我一直非常成功地获得它在Windows 10 Pro Insider Preview和Android上工作 – 这两者都与我的旅行安排无关,我只有一台Mac笔记本和iOS 10设备。 我有两个StrongSwan VPN服务器设置 – 一个在伦敦,一个在旧金山,两者的configuration几乎完全相同。 遵循https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html,我能够快速设置两台服务器,并为Windows 10 Pro Insider Preview和Android颁发一个客户端证书。 但是,当我将两台服务器的p12复制到OS X和iOS来创buildVPN时,出现了问题,我没有得到其他两个操作系统。 我似乎可以find关于什么是“ Remote ID ”和“ Local ID ”的明确答案,这与我如何build立一个基于证书的SwanStrong VPN服务器authentication连接有关? 从我所能find的东西中,我学到了以下几点: Local ID必须与证书中指定的CN或SAN相匹配(例如[email protected] ) Remote ID是OS X和iOS都需要的,但是我不知道在这个input字段中应该放什么东西 与Windows和Android与encryption无缝连接不同,OS X和iOS都被卡在“正在连接”中,或者会快速循环到“断开连接” 这是StrongSwan服务器configuration之一(我一直在testing): # ipsec.conf – strongSwan IPsec configuration file config setup charondebug="ike 2, […]
我需要同时从Windows 2008 Server连接到两个IPSEC站点到站点vpns。 它是否可行? 我试图分配两个IP安全策略,但似乎我一次只能分配一个。
我在pFSense 2.0.2(和2.0.1)上遇到了racoon(ipsec VPN)的问题。 据浣熊所有我的隧道(我有大约130人),但随着时间的推移,越来越多的人不会通过交通。 如果我重启浣熊,隧道又开始工作了一段时间。 几乎没有CPU利用率,只有大约20%的RAM正在使用(在重新启动之前或之后)。 在所有的地点,我正在做DPD,根据PF的隧道了。 刚才Nagios显示我有54个位置,重新启动了racoon,一切都恢复了。 – 编辑 – 另外我应该注意到,我们目前有PF 1.2.3运行这些绝对没有问题,但我也有相同的问题之间的两个PF框(1.2.3 < – > 2.0.2),可能移动为了这个ovpn。 – 编辑 – 今天也注意到,它只在几个小时内下降到隧道的50-60,而没有更多。 – 编辑 – 从日志中find这个时,ping一个死的位置:错误:无法启动快速模式,没有ISAKMP SA – 编辑 – 我发现如果我login到远程networking上的设备,并ping pFnetworking一个新的Phase2创build,隧道再次工作。 当我ping另一个方向时应该打开隧道,但根本不是。 – 编辑 – 在我的情况下,我们连接的调制解调器有一个“保持隧道活着”(而不是DPD)的设置,这似乎解决了这个问题。 看起来pF不会在要求的时候谈判第二阶段,这是非常好奇的。 我每隔几分钟就会发生一次Nagios检查,试图穿越隧道,一旦生命周期过期,应该导致pF执行一个新的P2(或者P1 + P2,如果需要的话),但这不是。 根据pF的IPsec状态页面隧道仍然活着(可能是因为P1仍然有效),当然这显然不是。