我们在周末交换了ASA,我们取代了以前基于openvpn的VPN基础设施,现在在我们的ASA 5520和其他拥有linux(CentOS)路由器的站点之间使用IPSec。 VPN连接正常,但一段时间后连接失败。 在ASA上,它没有显示对等的ipsec SA,但它确实显示isakmp sa仍处于活动状态。 如果我清除连接两端的SA,则VPN将重新恢复。 我假设问题是一个更严重的问题,但似乎所有的提案具有相同的密钥生命周期(如下所示)。 任何想法可能是什么问题? 注 – 我从这些捕获混淆了IP地址; 我怀疑我的build议有问题,所以IP不应该是相关的。 假设所有的IP都是占位符。 ASA显示运行encryption crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds 86400 crypto dynamic-map OUTSIDE_DYN_MAP 10 set ikev1 transform-set ESP-3DES-SHA crypto dynamic-map OUTSIDE_DYN_MAP 10 set security-association lifetime seconds 288000 crypto dynamic-map OUTSIDE_DYN_MAP 10 set reverse-route crypto map vpnmap 10 […]
我正在使用Strongswan来处理IPsec连接,并且需要一种支持Windows(IKEv2)和OS X(IKEv1)客户端的方法。 除非有令人信服的理由使用L2TP / IPsec,否则我宁愿使用纯粹的IPsec(即避免设置L2TP)。 我知道你可以在ipsec.conf中configurationStrongswan,让一些连接使用IKEv1,而另一些连接使用IKEv2。 但是,在我的情况下,我不能轻松地为每个用户设置单独的连接configuration,因为他们将连接的IP地址将不会提前知道。 我只为所有用户使用单一的连接configuration。 是否有可能通过IKEv1连接configuration通过IKEv1连接configuration连接其他用户,还是通过IKEv2连接configuration连接其他用户,还是设置可处理IKEv1和IKEv2连接的单个连接configuration? 如果不是,支持Windows和OS X内置IPsec客户端(使用Strongswan或其他IPsec软件包)最简单的方法是什么?
我正在将我的testing系统中一些本地定义的IPSEC策略转换为组策略。 在这个过程中,我申请了一个不完整的策略,该策略缺less允许直接访问我的DCS的线路,这些线路还没有为ipsec设置。 这已经locking了我从我的testing系统中应用更新的策略(这将删除这些限制)的能力。 我怎样才能强制删除这个政策让我继续testing?
在Windows Server中使用IPsec时,“主”模式和“快速”模式有什么区别? 每个人什么时候进场?
我在一个strongswan (v5.2.0)实例(站点A)和一个RouterOS路由器(站点B)之间build立了一个站点到站点的IPsec隧道。 一切正常,为站点A( 10.10.0.0/16 )和B( 10.50.0.0/16 )设置的两个私有子网中的主机可以相互通信。 我不明白的是在站点A的路由器上的ip xfrm policy输出(公共IP混淆)。 这些策略是由strongswan创build的,我没有手动安装或修改它们: ip xfrm policy src 10.50.0.0/16 dst 10.10.0.0/16 dir fwd priority 2947 ptype main tmpl src <PUBLIC_IP_B> dst <PUBLIC_IP_A> proto esp reqid 1 mode tunnel src 10.50.0.0/16 dst 10.10.0.0/16 dir in priority 2947 ptype main tmpl src <PUBLIC_IP_B> dst <PUBLIC_IP_A> proto esp reqid 1 mode […]
我正在尝试在两个AWS区域之间创build一个VPN隧道。 我试图这样做的方法是在Linux中使用strongSwan在一个区域中设置IPsec服务器,然后在其他区域使用VPC VPN。 问题是我不能想出一个正确的configuration。 AWS提供了有关设置IPsec VPN的以下信息: #1: Internet Key Exchange Configuration Configure the IKE SA as follows – Authentication Method : Pre-Shared Key – Pre-Shared Key : *********************** – Authentication Algorithm : sha1 – Encryption Algorithm : aes-128-cbc – Lifetime : 28800 seconds – Phase 1 Negotiation Mode : main – Perfect Forward Secrecy : […]
我们已经在本教程中设置了一个L2TP VPN服务器,一切都像一个魅力。 唯一的问题是 我们不希望客户端使用此VPN路由所有stream量,只有特定的子网,例如10.0.0.0/20 在Mac上,我们需要使用命令手动设置路由,但对于移动设备,似乎没有办法做到这一点? 那么,可以自动为子网“10.0.0.0/20”configuration客户端?
任何人都可以推荐一个好的IPSec软件, 可以使用多个CPU核心来达到在Linux双核四核E5620 Xeon设置(总共16个HT核心)上〜2Gbps的性能? 我曾尝试过OpenSwan和StrongSwan。 OpenSwan KLIPS堆栈只能在单个CPU内核上运行。 而且KLIPS + OCFencryption卸载也似乎执行得非常糟糕,因为它只消耗70%的全部16个CPU核心,而只能提供〜600Mbps。 作为副产品,它也是对TCP数据包进行重新sorting。 到目前为止,使用不同协议的OpenVPN ,我们能够在负载平衡的同一硬件上达到〜2Gbps,没有任何问题。 在16个核心中只有4个以100%被利用。 现在是时候用Ipsec做同样的事情了。 最好应该是OpenSource IPsec解决scheme。 更新: 我的最新发现表明,IPsec NETKEY堆栈可能能够处理两个通信stream量而不会出现问题(但只能在Multiqueue NIC上)。 我无法确认这一点,因为看起来NAPI在高负载下将NIC驱动程序切换到轮询模式,那时所有性能从1.7 Gbps下降到500 Mbps。 另外看来,Ubuntu 10.04并没有考虑到一些内核线程,因此我没有看到如何在所有CPU内核上分配工作负载。
我试图在我们的企业networking和亚马逊的虚拟私有云之间build立一个IPSec VPN连接,使用他们的VPN系统和Linux服务器。 不幸的是,我find的唯一指南讨论了如何使用主机Linux机器来build立隧道,并让该机器访问VPC实例,但没有关于如何让实例访问公司networking的在线讨论(或通过该networking的其他互联网)。 networking信息 Local subnet: 10.3.0.0/25 Remote subnet: 10.4.0.0/16 Tunnel 1: Outside IP Addresses: – Customer Gateway: : 199.167.xxx.xxx – VPN Gateway : 205.251.233.121 Inside IP Addresses – Customer Gateway : 169.254.249.2/30 – VPN Gateway : 169.254.249.1/30 Tunnel 2: Outside IP Addresses: – Customer Gateway: : 199.167.xxx.xxx – VPN Gateway : 205.251.233.122 Inside IP […]
我有一个AWS实例,我想成为一个VPN服务器。 它将Windows 7客户端连接到亚马逊云中的专用networking。 我已经安装了Ubuntu 12.04和strongswan-ikev2软件包。 ipsec version报告Linux strongSwan U4.5.2/K3.2.0-52-virtual 请注意,客户端和服务器都在NAT之后(客户端,因为它在本地办公networking,服务器,因为它在亚马逊的云)。 我在Amazon仪表板和客户端的防火墙上解除了UDP端口500和4500的封锁。 这是/etc/ipsec.conf: config setup plutostart=no conn %default keyexchange=ikev2 ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=clear dpddelay=300s rekey=no conn win7vpn left=%any leftsubnet=<amazon VPC CIDR block> leftauth=pubkey leftcert=openssl-cert.pem leftid=<vpn server public dns name> right=%any rightsourceip=<amazon private IP address, which elastic ip is forwarded to> rightauth=eap-mschapv2 rightsendcert=never eap_identity=%any auto=add 这是/etc/ipsec.secrets: : RSA […]