大多数VPN客户端区分IPSec和“Cisco IPSec”。 例如,(苹果的)iOS将它们视为基本上单独的东西。 但是我找不到协议级别差异的任何解释。 他们可能是微不足道的,但肯定有差异。 有人可以解释这一点吗? 即使只是一个指向详细的解释将有助于很多事情。 谢谢!
我在隧道模式下使用IPSEC。 如何使一个iptables规则只匹配通过IPSEC隧道到达的数据包(即在 IPSEC解密之后 ,IPSEC数据包到达之前和解密之前)。 关键是要有一个特定的港口,只有通过IPSEC才能进入,世界其他地方无法进入。
在花了几个月的时间build立一个相当复杂的VPN后,我开始考虑未来的替代scheme。 我的一些networking提供商使用MPLS连接到我们,我想它工作得很好。 我知道很多ATM(自动柜员机)networking使用MPLS,我认为它对它的安全特性表示信任。 http://en.wikipedia.org/wiki/MPLS_VPN相当简洁: “MPLS VPN是利用多协议标签交换(MPLS)function创build虚拟专用网(VPN)的一系列方法,MPLS非常适合这一任务,因为它提供了stream量隔离和差异化,而没有大量开销。 三层MPLS VPN 第三层MPLS VPN(也称为L3VPN)结合了增强的BGP信令,MPLSstream量隔离和路由器支持VRF(虚拟路由/转发)来创build基于IP的VPN。 与其他types的VPN(如IPSec VPN或ATM)相比,MPLS L3VPN更具成本效益,可以为客户提供更多的服务。 我的问题是:build立一个MPLSnetworking有多麻烦/昂贵? 是否可以购买硬件和DIY,还是真的需要去服务提供商? 我现在可以以100美元/月的价格获得“可pipe理的”VPN(我不知道这是好还是不好),我的五个合作伙伴IPSEC“发夹”拓扑每年花费我6000美元。 这会更好地投资于MPLS吗?
我很难find具体的,最新的信息,如何设置strongswan或openswan被iPhone的VPN客户端使用。 我的服务器是在预算linksys NAT路由器后面。 我发现这个 ,但它提到了一堆.pem文件,没有提及如何创build它们。 不幸的是,这两个软件包的“精细”手册对新手来说是相当难以理解和不友好的。 我之前设置了OpenVPN,并且设法很快得到了可用的结果,但是在阅读了过时的文档一天半之后,我几乎不知道从哪里开始。 任何帮助将不胜感激!
OpenSwan和StrongSwan有什么区别? 我发现的是过时的FreeSwan和OpenSwan的testing版本之间的区隔 – 即OpenSwan的当前稳定版本是2.6(3.0是比较版本),目前StrongSwan版本的稳定版本是4.4(比较版本是4.1.7),这看起来是非常不值钱的将Windows 98与Ubuntu 10.10或Mac OS X 10.7与Slackware 8.0进行比较)。 从网站StrongSwan似乎更好地维护,而OpenSwan似乎更受欢迎。
我似乎无法得到这个问题的直接答案。 维基百科说,“IPsec是IPv6基础协议套件的一个组成部分”,但这是否意味着所有的通信总是被encryption的,或者这意味着encryption是可选的,但设备必须能够理解它(应该使用它)? 如果encryption是可选的,操作系统是决定是使用encryption还是应用程序? stream行的操作系统和软件通常会启用encryption吗? 我会自己调查这一点,但我缺乏IPv6连接。 更新:好的,所以它是可选的。 我的后续问题:通常是应用程序是定义使用encryption还是操作系统? 一个具体的例子:想象一下,我有一个最新版本的Windows本机ipv6支持,我使用Mozilla Firefoxsearchipv6.google.com上的东西。 会被encryption吗?
Cisco VPN客户端(IPsec)不支持64位Windows。 更糟糕的是,思科甚至不打算发布64位版本,而是他们这样说 “对于x64(64位)Windows支持,您必须使用思科的下一代Cisco AnyConnect VPN客户端。” 思科VPN客户端简介 思科VPN客户端常见问题 但SSL VPN许可证额外成本。 例如,大多数新的ASA防火墙都有大量的IPSec VPN许可证,但只有less数SSL VPN许可证。 你有什么select64位Windows? 到目前为止,我知道两个: 虚拟机上的32位Cisco VPN客户端 NCP安全入口客户端在64位Windows上 任何其他build议或经验?
有趣的是,在search“OpenVPN vs IPSec”时,我还没有find任何好的search结果。 所以在这里我的问题: 我需要通过不可信networkingbuild立一个专用局域网。 而据我所知,这两种方法似乎都是有效的。 但是我不知道哪一个更好。 如果您能列出两种方法的专业和客户的意见,或许您的build议和经验使用什么,我将非常感激。 更新(关于评论/问题): 在我的具体情况下,目标是让任意数量的服务器(使用静态IP)彼此透明地连接。 但是,像dynamicIP这样的“dynamic客户”(dynamicIP)的一小部分也应该能够连接起来。 主要目标是拥有一个“透明的安全networking”,运行在不受信任的networking之上。 我是一个新手,所以我不知道如何正确解释“1:1点对点连接”=>解决scheme应该支持广播和所有的东西,所以它是一个function齐全的networking。