我有一个相当奇怪的情况,但是很简单,我发誓。 我有一个服务器(我们称之为主机A),它连接到互联网,我用于一些网站和其他几个目的。 我有另一个服务器(我们称之为B),它承载文件和其他一些东西,但它在防火墙和NAT之后。 我想要做的就是设置主机A上的一个特定端口接受某个端口上的TCPstream量,并通过VPN或其他点对点隧道将其转发给主机B.然后主机B将能够回应。 基本上,主机A将充当反向代理/负载均衡器,但由于主机B位于不同networking(防火墙后面)的不同位置,我希望A和B通过隧道而不是直接连接。 我知道这样做效率不高,但我相信这是对主机B相当奇怪的networking状况可用的最佳解决scheme。 我认为这个解决scheme将是fproxy和一个ipsec隧道的混合,但我很难找出如何正确设置ipsec(我从来没有使用过)。 我曾经看过OpenSwan和StrongSwan,但麻烦在于,两者似乎都是为了连接两个局域网,而且在ipsec中穿越NAT的文档似乎超出了我的理解范围。 在我的情况下,我希望隧道只能展示给两台机器,可能是作为每台机器上自己的接口。 通过这种方式,我可以设置fproxf(或另一个反向代理)来代理虚拟IP地址,该虚拟IP地址将自动将stream量传输到另一台计算机,并将该计算机上的软件显示为另一个虚拟地址。 然而,我在这里问的关键问题是因为我不知道这是否是最好的办法。 对于如何configurationipsec来启用两台机器之间的通信,我很乐意提供任何build议或build议。
我在ASA群集上遇到了一个远程访问VPN连接的奇怪问题。 正常的站点到站点隧道和AnyConnect连接工作得很好。 但是,一个特殊的ipsec ikev1隧道不会。 它build立并维持,但是客户端(在这种情况下是一个Avaya VPN电话)既不接收客户端地址,也不要求客户端地址(不确定责任人)。 该图像显示build立连接时的情况。 请注意,分配的IP地址是空白的。 字节TX为“0”是非常自然的,因为内部的networking没有客户端路由到。 我尝试通过ASDMdebugging,但没有运气。 我没有足够的信心使用CLI进行控制台debugging,因为我们使用“通知”关键字来严格匹配每个我们拥有的ACL。 build议?
我们的VPN用户体验非常慢的文件传输(50MB可能需要20分钟,每边20Mbps的FiOS连接)。 如果文件通过HTTP或FTP传输,则速度与您期望的一样快。 我怀疑这与Windows如何处理文件传输有关,因为它可能不会有任何延迟。 有什么办法来调整呢? VPN是SafeNet IPSec,客户端是XP。
我有一个使用证书authentication提供IPsec VPN服务的ASA(没有xauth,只是证书)。 它与思科IPsec VPN客户端完美配合。 现在我试图让iPhone连接。 我已经使用iPCU在configuration文件中安装了CA证书和客户端证书以及VPNconfiguration。 然后连接出现错误“无法validation服务器证书”。 此外,ASAlogging错误“接收到带有无效负载的encryptionOakley信息包”。 FWIW,在尝试使用Snow Leopard IPsec客户端连接时收到相同的无效负载错误。 有没有人成功获得iPhone IPsec客户端使用证书身份validation?
我有两个防火墙之间的IPSEC连接设置。 现在我想删除我的防火墙中的隧道,一个“Fortigate 60”。 每个IPSEC连接有两个阶段,“阶段1”和“阶段2”。 我可以通过单击垃圾桶图标(在Web界面中)删除“阶段2”条目,但是“阶段1”没有这样的图标。 有可能删除吗? 当我查看日志时,它警告这个隧道不工作(在删除“阶段2”之后),并且不会在日志中加载这样的事件。 所有的想法都赞赏。
我有一个基本的亚马逊VPC设置公共和私人子网。 我已经在为私有子网执行NAT的公共子网中部署了一个Vyatta路由器。 我有一个分配给Vyatta实例的弹性IP地址,它与Vyatta的eth0接口的私有IP进行1:1 NAT。 问题:我正在从Vyatta实例构build一个ipsec VPN,并要求Vyatta实例知道它目前不是的公共IP地址。 有没有办法将公共弹性IP地址直接分配给eth0接口? 如果没有,有没有人知道在使用ipsec VPNconfiguration的VPC中使用Vyatta? 谢谢!
我旅行了很多,一直连接到公共WiFi热点。 如果我在公共WiFi热点内使用VPN,会得到什么信息? 热点中的所有者或入侵者是否能够检测到我去的网站(DNS查找,stream量嗅探)? 换句话说,使用VPN将完全保持我的浏览私密性,并保护我的stream量被检测到? 有什么需要注意的吗?
我已经成功build立了一个IPsec连接,但它只能部分工作。 一方不通过隧道发送数据包。 似乎networking拓扑结构对这方面还不清楚。 任何帮助,高度赞赏! 谢谢!! 这是networkingscheme: "office"(192.168.73.0/24) == "vpn"(192.168.73.1) == "router"(6.6.6.6) <====> "server"(7.7.7.7) == "VM_LAN"(192.168.133.0/24) 6.6.6.6和7.7.7.7是符号公共IP,即“路由器”和“服务器”都直接连接到互联网。 “vpn”和“server”都运行CentOS 6.“router”是一个电缆调制解调器,用来做NAT和端口转发。 连接build立。 在“VPN”我可以ping“服务器”的内部IP: [root@vpn]# ping 192.168.133.1 PING 192.168.133.1 (192.168.133.1) 56(84) bytes of data. 64 bytes from 192.168.133.1: icmp_seq=1 ttl=64 time=74.8 ms 在“服务器”我不能ping“vpn”,甚至没有发送一个数据包。 以下是来自“服务器”的一个转储,显示上面的ping数据包进来。我使用相同的命令来testing数据包是否从“服务器”发送到“vpn”,从“服务器”ping时,但没有数据包显示。 [root@server]# tcpdump port 500 or port 4500 tcpdump: verbose output suppressed, use -v or -vv […]
Google通过iptables / netfilter向我展示了PPTP / GRE NAT的一些回报,这将允许多个连接。 但是,我没有find使用这个允许这个pptp帮助器模块的例子。 任何人之前做过?
我们是一家非常小的公司,即将在一家托pipe公司安装一台新服务器。 该计划是安装操作系统,SQL和IIS,testing它,然后快递到托pipe公司。 那么它可能会出现在网上,准备好进一步设置。 我们计划通过RDP进行pipe理。 上次我们经历了这个过程,我们使用的是Server 2003,IPSECpipe理员是一个很好的东西。 与Server 2008有什么不同? 除了源自几个IP地址之外,是否有限制所有访问的快速方法? 将不胜感激任何指针,或为非专家保护Server 2008的好白痴指南。