每隔一段时间我们都会遇到一个问题,我们无法获得IPSEC VPN隧道的工作。 有时候我们知道地方当局限制使用IPSEC(例如孟加拉国),必须得到某种豁免。 其他时候,ISP会改变一些东西,连接会下降(如海地)。 我认为有一些东西可能会阻止IPSEC的工作。 例如,阻止UDP端口500将阻止IKE。 与其寻求针对特定问题的解决scheme,是否有人可以列出ISP有意或无意中阻止IPSECstream量的不同方式? 这个问题的答案将有助于解决问题,但也让互联网服务提供商知道什么具体的事情,他们需要修复,当我们不能得到我们的VPN!
我在同一地点使用Cisco ASA 5505 50用户防火墙。 在这个位置的系统正在监测附加的远程站点(也运行Pix或ASA设备),我已经build立了站点到站点的隧道,但是在当前的许可scheme下已经达到了硬件限制。 ASA 5505型号仅限于10个IPsec隧道。 我很好奇我的select。 理想情况下,我想能够处理15-20个连接。 从研究来看,我似乎可以添加一个额外的Security Plus许可证,以扩展到25个VPN隧道。 另一种select似乎正在转向思科ASA 5510。 鉴于我在科罗拉多有less量的系统,正在转移到ASA 5510只是为了获得额外的VPNfunction矫枉过正? 将ASA 5505升级到25-VPN选项有什么缺点(硬件/性能等)? 还有其他的select我错过了吗?
组态 根据Microsoft KB816514中的说明,我在Windows Server 2003(SBS)机器和Netgear FVG318之间build立了“原始”IPSec隧道。 configuration如下(使用与文章相同的约定): NetA | SBS2003 | FVG318 | NetB 10.0.0.0/24 | 216.xxx | 69.yyy | 10.0.254.0/24 主模式和快速模式安全关联都已成功完成并出现在IP安全监视器中。 我也能够从NetB上的任何计算机上的私人地址ping SBS2003服务器。 问题 从NetA到NetB上的计算机或从SBS2003到NetB(不包括ICMP Ping 响应 )的任何stream量都会在IPSec隧道之外的公共networking接口上发送(不进行encryption或标头validation,就好像隧道不在那里一样) 。 从NetB上的计算机发送到NetA上的计算机的ping成功地到达NetA上的计算机,但是响应被SBS2003悄悄地丢弃(它们不会清晰地出去,不会产生任何encryption的通信量)。 可能的解决scheme 错误的configuration 我本来可能错误的键入了某个地方,或者KB816514在某些方面可能不正确。 我非常努力的去消除第一个选项。 已经多次重新创buildconfiguration,尝试调整和调整所有设置,我可以没有成功(最防止build立安全联盟)。 NAT / RRAS 我看到其他地方的多个post提示这可能是由于NAT和IPSecfilter之间的交互。 在与Quick Mode IPSecfilter进行比较之前,NetA专用地址可能会被重写为216.xxx,并且由于不匹配而不会被隧道传输。 事实上,从2005年6月的“TCP / IP数据包处理path”中的Cable Guy文章就暗示了这种情况(参见Transit Trafficpath的步骤2和4)。 如果是这种情况,有没有办法从NAT中排除NetA-> NetBstream量? 任何想法,想法,build议,和/或意见,赞赏。 更新(2011-06-26) 在未能解决问题之后,我诉诸了有偿的微软支持。 他们无法解决问题。 从那以后,我实施了一个基于Linux的解决scheme,运行得非常好。 […]
我已经在ScreenOS路由器(SSG-5)和Cisco 3925之间build立了一个点到点的传输ipsec会话.IPsec传输本身很好,但是当我试图通过传输来引导协议41传输时,没有正确的过境。 我首先假设你需要为ipsec连接创build一个隧道,然后使用ipsec隧道的outgoing-interface定位ip6in4隧道,但screenos不会让你在隧道上创build一个隧道。 另外,我尝试使用基于策略的VPN,但是当我尝试使用“隧道VPN”作为策略目标,它告诉我未知的命令? 基于策略的ipsec是否有主开关? 以下是我认为是相关的configuration,虽然我会很乐意根据需要提供更多的信息。 SCREENOS CONFIG: ————————— set zone id 105 "mytunnel_TUNNEL" set zone "mytunnel_TUNNEL" tcp-rst set interface "tunnel.5" zone "mytunnel_TUNNEL" set address "mytunnel_TUNNEL" "fdee:7e1e::/32" fdee:7e1e::/32 set ike gateway "micmplsv4" address 2.2.2.157 Main outgoing-interface "ethernet0/0" preshare "igdZeIcKNobfusol+CQcpIfvwnFwrxb5g==" sec-level compatible set vpn "mytunnel" gateway "micmplsv4" no-replay transport idletime 0 sec-level compatible set vpn "mytunnel" […]
我最近configuration了一个AWS EC2托pipe的VPN服务器。 详细信息:Centos 6.4,openswan,xl2tpd,NAT遍历。 当只有一个用户连接到NAT后面的给定公共IP地址时,该configuration对于情况非常有用。 但是当同一个NAT后面有多个客户端时,每一个新的客户端连接都会丢弃旧的客户端 查看日志,我可以得出结论:l2tp将所有连接从同一个nat作为一个连接。 我错过了什么吗? 有解决scheme吗? 非常感谢您的帮助。
我有两个Pfsense机器之间的IPSec隧道。 两台机器都连接到一个100mbps的对称连接。 两台路由器之间的延迟是〜70ms。 我正在使用AES-GCM-128和SHA1,两台机器都支持AES的硬件加速,CPU使用率仍然<5%。 但是我有最奇怪的问题 带宽峰值在6MB / s左右,然后逐渐下降到2MB / s,然后再逐渐增加到6MB / s。 这是一个可预测的正弦波。 我怎样才能让我的带宽更一致? 我尝试启用/禁用压缩(目前禁用),玩MSS钳和MTU设置(分别为1500/1460),似乎没有区别。 当我通过公共互联网直接下载文件时,我得到了11MB / s,这接近我最大的100mbps。 我可以尝试什么?
我试图根据组成员和IP地址来限制谁可以访问我们的RD网关(因此,组A中的人只能从IP地址X访问系统)。 由RD网关安装的networking策略服务器似乎意味着这可以完成,有一个设置来限制基于客户端IP地址的访问,但是这似乎不能正常工作。 如果我添加IP地址限制,即使用户拥有正确的IP,用户也无法连接,因此删除限制意味着他们可以连接。 看看审计日志,看起来这里的IP地址不存在。 有谁知道如何使这项工作?
尝试在局域网上的两台主机之间使用IPSEC。 没有涉及VPN 使用OpenBSD 5.8(在VirtualBox中)。 我宁愿使用OpenBSD对IPSEC和密钥交换的内置支持,而不是第三方。 两台主机: 10.0.2.10 (主机“A”)和10.0.2.11 (主机“B”) 在尝试设置IPSEC之前,它们可以ping / ssh。 更新:我想也许OpenIKED(IKE V2)不支持transport模式,所以我也会接受isakmp(IKE v1)的答案 将A的/etc/iked/local.pub复制到B的/etc/iked/pubkeys/ipv4/10.0.2.10 将B的/etc/iked/local.pub复制到A的/etc/iked/pubkeys/ipv4/10.0.2.11 双方: echo "ikev2 esp from any to any" > /etc/iked.conf chmod 640 /etc/iked.conf echo "ipsec=YES" > /etc/rc.conf.local echo "iked_flags=" >> /etc/rc.conf.local 检查configuration: /sbin/iked -n Configuration OK 我感到困惑,接下来该做什么。 我想我需要设置/etc/ipsec.conf ,但是我只findIKEv1文档。 重新启动两台机器。 没有错误。 iked守护进程开始了。 如果我把公钥重命名为任何东西,仍然可以互相ping通,所以IPSEC似乎没有工作。 我还需要configuration什么? 是否有IPSEC的日志和iked,如果有的话,我可以在哪里find它们? 如何判断IPSEC是否configuration一次,而不需要查看机器之间的数据包? 从B到A,从A到tcpdump。应该在tcpdump中看到“esp”和“spi” 更新:我得到了IPSEC手动密钥交换 […]
我有许多IPSec隧道的Cisco 1800系列路由器(运行C181X-ADVIPSERVICESK9-M)。 我想将这个路由器添加到OSPF,并configuration它通告路由到可以通过IPSec隧道访问的远程子网(例如,如果我有隧道VPN1的访问列表,允许从我的networking到10.20.30.0/24的所有stream量通过该隧道,I希望路由器在OSPF中向10.20.30.0/24发布路由)。 这可以在Cisco IOS上实现,而无需向这些远程子网显式添加路由?
通过IPSec(Debiantesting中的Strongswan)连接到存储守护进程(“B”)的我的一台服务器(“A”)的备份(通过Bacula)不能完成95%的运行时间。 显然发生的是: Bacula打开与存储守护程序的VPN IP的TCP连接。 (A→B) 由于默认设置了内核设置net.ipv4.ip_no_pmtu_disc=0 ,所以明文数据包中设置了IP Do not Fragment位。 将数据包路由到IPSec隧道时,有效载荷的DF位被复制到ESP数据包的IP报头。 经过一段时间(通常大约20分钟)以及高达数千兆字节的数据发送之后,发送稍大于ESP数据包的数据包。 (A→B) 由于存储守护程序接口的MTU比发送主机的MTU低,因此沿途的路由器向主机发送ICMPtypes3(代码为“需要分片且不分片”)ICMPtypes3。 (一些路由器→A) 连接暂停,由于某种原因,主机A将大量100个空的重复ACK发送给B(在〜20ms内)。 (ICMP数据包到达主机A,并且没有阻止ICMP的iptables规则。) 这种情况发生的可能原因,我可以想到: 内核bug(Debian 3.13.7-1) Linux的IPSec实现故意忽略PMTU消息作为安全措施,因为它不受保护,会影响现有的SA。 (根据RFC 4301 8.2.1似乎是有效的行为) 必须与PMTU老化( RFC 4301 8.2.2 ) 什么是解决这个问题的最好方法,而不是全局禁用PMTU发现或降低接口MTU? 也许像FreeBSD一样,清除DF位与ipsec.dfbit = 0 ?