我正在考虑投资思科ASA5505。 由于思科自己的VPN客户端需要订购服务,而我试图不这样做,是否有免费或低成本的IPSec VPN客户端可以与ASA协同工作并在Windows XP上运行? XP的内置ipsec客户端是否兼容? 任何指导和演练的链接将不胜感激。
我正在尝试在我们的ASA5520上安装L2TP / IPSec,以支持我们的开发人员的一个附带案例。 Windows VPN子系统在使用内置vpn子系统时明显存储login的Kerberos或NTLM cookie,而Cisco VPN客户端和AnyConnect客户端则不这样做。 当我尝试通过Windows 7连接到VPN时,连接失败: %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2 %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2 %ASA-5-713257: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: […]
我知道你可以使用IPSec安全地隧道数据。 根据维基百科页面和其他一些来源,它也可以隧道IP数据包,然后通过一个接口路由它们。 这将创build一个VPN,其中一个子网能够以非常安全的方式访问另一个子网。 然而,我不明白为什么有些人添加L2TP的堆栈。 我知道L2TP是由IPSEC保护的,但是如果IPSEC已经有了一个隧道实现,那么它不会造成更多的开销吗? 当普通的IPSec可以达到相同的结果时,对L2TP / IPSEC有什么吸引力?
我试图在运行Ubuntu 14.04.2 LTS的两个Amazon AWS EC2实例之间使用StrongSwan 5.1.2build立VPN隧道。 在使用StrongSwan之前,我在Amazon RedHat AMI上使用了open(libre)swan,它运行良好。 出于某种原因,我甚至无法让IKE在StrongSwan上class。 我三重检查了我的AWSconfiguration,这一切都看起来不错,所以这一定是StrongSwanconfiguration的问题。 正如你将看到下面,我得到的错误是“错误写入套接字:无效的参数” 。 我在网上看了,真的找不到解决办法。 我确信我的strongswan ipsec.confconfiguration不正确。 以下是我正在处理的内容: Instance #1: N.Virginia – 10.198.0.164 with public EIP 54.XXX Instance #2: Oregon – 10.194.0.176 with public EIP 52.YYY (简单)拓扑结构如下所示: [ Instance #1 within N.Virginia VPC <-> Public internet <-> Instance #2 within Oregon VPC ] 我validation了以下AWSconfiguration是正确的: Security groups […]
searchIPSec和Linux不可避免地会遇到不同的解决scheme(见下文),这些解决scheme看起来都很相似。 问题是: 区别在哪里? 我find了这些项目。 他们都是开源的,都是主动的(在过去3个月内都有发布),他们似乎都提供了非常相似的东西。 strongSwan Openswan也 Libreswan 另外:还有其他项目,我没有遇到? ( strongswan vs openswan是一样的,但显然已经过时了。)
我有一个防火墙/路由器(不做NAT)。 我GOOGLE了,看到相互矛盾的答案。 看来UDP 500是常见的。 但其他人混淆。 1701,4500。 有人说我也需要让50或47,或50和51。 好的,哪些端口是正确的IPSec / L2TP工作在没有NAT的路由环境? 即我想使用内置的Windows客户端连接到此路由器/防火墙后面的VPN。 也许这里的一个好的答案是指定为不同情况打开哪些端口。 我认为这对许多人有用。
Ubuntu 14.04,Openswan U2.6.38 / K3.13.0-30-generic 当我运行ipsecvalidation我得到这个错误。 Two or more interfaces found, checking IP forwarding [FAILED] 我看到很多同样的问题在浮动。 有没有人最终find解决scheme? 当然,我已经在sysctl.conf中启用了IP转发:-) 我做了大量的研究,只是不能得到这个。
这是我的encryption绝对一切…问题的后续行动。 重要提示 :这不是更常用的IPSec设置,您需要在两个LAN之间encryption通信。 我的基本目标是encryption一个小公司局域网内的所有stream量。 一种解决scheme可能是IPSec。 我刚刚开始学习IPSec,在决定使用它之前深入了解一下,我想了解一下这可能是什么样子。 是否有良好的跨平台支持? 它必须在Linux,MacOS X和Windows客户端,Linux服务器上工作,并且不需要昂贵的networking硬件。 我可以为整个机器启用IPSec(因此不能有其他stream量进入/出口),或者networking接口,或者是由个别端口/ …的防火墙设置决定的吗? 我可以轻松禁止非IPSec IP数据包吗? 也是“马洛里的邪恶”的IPSecstream量是由一些关键的签名,但不是我们的? 我的理想是让局域网上不可能有这样的IPstream量。 对于局域网内部stream量:我将select“传输模式”中的“带有authentication的ESP(无AH)”,AES-256。 这是一个合理的决定? 对于局域网互联网stream量:它将如何与互联网网关协同工作? 我会用吗? “隧道模式”创build从每台机器到网关的IPSec隧道? 或者我也可以使用 “传输模式”到网关? 我问的原因是,网关必须能够解密来自局域网的软件包,所以它将需要密钥来做到这一点。 如果目的地址不是网关的地址,这是可能的吗? 或者在这种情况下我必须使用代理? 还有什么我应该考虑的? 我真的只需要快速浏览一下这些东西,而不是非常详细的说明。
我们最近将远程站点从10 / 10Mbps光纤升级到20 / 20Mbps光纤链路(光纤到地下室,然后从地下室到办公室的VDSL,大约30米)。 在这个网站和一个中心网站之间有一个普通的大型(多个)文件副本,所以理论上说,增加到20/20的链接应该使传输时间减半。 对于复制文件的传输(例如,使用robocopy将文件复制到任何一个方向,或者Veeam备份和恢复的复制),它们都被限制在10Mbps。 升级之前: 升级之后( robocopy ): 几乎相同(忽略转移时间长短的差异)。 这些传输是通过Cisco ASA5520和Mikrotik RB2011UiAS-RM之间的IPSec隧道完成的。 第一个想法: QoS – 不。 有QoS规则,但不会影响此stream量。 我禁用了所有的规则几分钟,无论如何检查,并没有改变 软件定义的限制。 这些stream量中的大部分是Veeam Backup and Recovery在场外运送,但是在那里没有限制。 另外,我只是做了一个直接的robocopy ,看到完全相同的统计数据。 硬件没有能力。 那么,5520的公布的性能数据是225Mbps的3DES数据,而Mikrotik没有公布数字,但是会超过10Mbps。 在进行这些转移testing时,Mikrotik的CPU使用率约为25%-33%。 (另外,通过IPSec隧道进行HTTP传输的命中率接近20Mbps) 延迟与TCP窗口大小相结合? 那么这两个站点之间的延迟是15ms,所以即使32*0.015 32KB窗口大小最差也是2.1MB /秒。 另外多个并发传输仍然加起来10Mbps,这不支持这个理论 也许来源和目的地都是狗屎? 那么源码可以推动1.6GB /秒的持续顺序读取,所以不是这样。 目标可以做200MB /秒的持续顺序写入,所以也不是这样。 这是一个非常奇怪的情况。 我以前从来没有见过这样的事情。 我还能在哪里看? 在进一步的调查中,我有信心把IPSec隧道作为问题。 我做了一个人为的例子,在两个公共IP地址之间直接做了一些testing,然后用内部IP地址做了完全相同的testing,我能够在未encryption的互联网上复制20Mbps,IPSec上只有10Mbps侧。 以前的版本有关于HTTP的红鲱鱼。 忘了这个,这是一个错误的testing机制。 根据Xeon的build议,当我向ISP询问他们的支持时,我build立了一个mangle规则,将IPSec数据的MSS丢弃到1422 – 基于以下计算 : 1422 + […]
PPTP或IPSEC VPN是否比'拨入'VPN更安全?如果是这样,为什么?