几个月前,我们买了一个新的防火墙,一个Netgear UTM9S,我们启用的function之一是PPTP VPN,以便为远程用户访问SQL,Web和文件服务器。 但现在,在阅读Ars Technica关于MSCHAP V2被破坏的文章之后,我想知道是否应该担心这个问题,并closuresPPTP并启用其他VPN选项之一? SSL和IPSEC选项是可用的,阅读手册将需要移动到他们,再加上configuration每个用户机器,所以我们应该花时间在这个? 或者这只是FUD?
build立IpSec连接到服务器后,如何保持互联网连接? 我已经按照以下链接build立IPSec服务器http://rootmanager.com/ubuntu-ipsec-l2tp-windows-domain-auth/setting-up-openswan-xl2tpd-with-native-windows-clients.html 然后按照下面的从Windows 7机器连接此服务器。 http://confoundedtech.blogspot.com/2012/07/windows-l2tp-ipsec-vpn-connection-to.html 我能够连接并正确发送数据。 但build立IPSec后,我的互联网连接被中断。 我怎样才能保持这两个连接活着?
我在Amazon EC2中有一台主机,configuration了OpenVPN接入服务器。 该服务器的唯一客户端充当专用networking的网关。 我在同一台主机上安装了StrongSWAN 5,允许Windows 7和iOS客户端使用IPSEC进行连接。 这两种服务的工作,但我不明白如何configurationStrongSWAN考虑OpenVPN隧道端点作为客户端可用的唯一网关。 基本上我希望所有来自IPSEC客户端的stream量完全转发到OpenVPN隧道。 暴露专用networking的远程OpenVPN客户端已启用转发,并configuration了适当的伪装。 唯一的缺点是将OpenVPN隧道作为IPsEC客户端的网关
是否有可能要求端口范围内的 IPSEC? 我想要除了像80和443这样的几个公共端口的所有传入连接要求IPSEC,但不想限制传出连接。 我的SPD规则看起来像这样: spdadd 0.0.0.0/0 0.0.0.0/0[80] tcp -P in none; spdadd 0.0.0.0/0 0.0.0.0/0[443] tcp -P in none; spdadd 0.0.0.0/0 0.0.0.0/0[0….32767] tcp -P in esp/require/transport; 在setkey页,我看到IP范围,但没有提到端口范围。 (我们的想法是使用IPSEC作为一种VPN来保护多个服务器之间的内部通信,而不是configuration基于源IP的权限,或configuration特定的端口,我想要求任何不公开的IPSEC – 我觉得这种方式不太容易出错。)
我有2个Linux主机,每个有2个服务,X和Y. X服务在UDP端口x上进行通信。 Y服务在UDP端口y上进行通信。 我想encryption通信。 我知道如何在两台主机之间用ipsec-toolsbuild立一个UDP封装的IPsec隧道(我的networking不允许在IP上使用IPSec)。 但是,我如何设置2个不同的SPI和密钥的IPsec隧道 – 一个用于X服务,另一个用于Y服务?
如果你看看我以前的问题 ,你会看到我有两个IP地址(用于远程设备)来configuration我们的VPN隧道: VPN Device Tunnel Endpoint IP Address: 91.151.ab Host(s): IP address(es) to be accessed (Public IP address required): 91.151.cd 在IPSecconfiguration期间,我需要提供机器的IP地址(左)和远程设备(右),但是我仍然不知道对于远程设备来说,哪个IP地址是正确的IPSecconfiguration。
我们目前有一个Draytek Vigor 3200 Multi-Wan路由器,它有5个使用IPSec AESencryptionconfiguration的传入VPN隧道。 所有五个站点使用Draytek Vigor路由器,大多数是Vigor 2800's。 主站点(Vigor 3200)的带宽为70Mbps,下行速率为30Mbps,对称链路为10Mbps。 每个远程站点都有5Mbps和20Mbps的连接。 Draytek路由器似乎无法使用Web界面,Telnet或SNMP报告CPU使用情况。 我担心AES隧道的encryption/解密会使路由器过载,导致不太理想的性能。 我最初configuration路由器,同时在一个VPN隧道上运行IPerf。 我调整了设置,以通过VPN隧道获得最大的吞吐量,然后复制了之后添加的每个站点的设置。 确保我不会过分强调路由器的最佳方式是什么? 我有MRTG在本地运行graphics每个路由器的上行链路,但他们似乎并没有显示通过SNMP的VPN隧道 – 只是主要的WAN / LAN链路。 我在寻找有关任何计算和/或监测这种事情的方法的build议。
我已经在UBUNTU SERVER linux盒子和CISCO ROUTER之间build立了一个隧道。 这是什么拓扑看起来像: host 1 —— UBUNTU SERVER IPSEC <—> CISCO ROUTER —— host 2 | | | | | | | | 192.168.64.0/24 1.2.3.4 4.3.2.1 10.10.20.0/24 这是我的问题:隧道安装并正确运行 。 我完全可以从CISCO ROUTER ping到192.168.64.0/24networking上的任何主机。 但是我无法从192.168.64.0/24networkingping到10.10.20.0/24networking上的任何主机。 这里有一些信息: ipsec.conf文件: conn my_vpn auto=start authby=secret ike=aes256-md5 phase2=esp phase2alg=aes256-md5 type=tunnel left=1.2.3.4 leftsubnet=192.168.64.0/24 leftnexthop=%defaultroute leftupdown="ipsec _updown –route yes" keyingtries=3 keyexchange=ike pfs=no […]
我有以下情况: Client subnet(192.168.0.0 /24) —-> Router —-> Internet —-> ASA(172.17.0.2 /24) —-> (172.17.0.1 /24)Gateway —-> (10.0.0.0 /8)Many subnets 我需要在逻辑上将客户端子网连接到“多个子网”。 在左侧,我有一个Cisco 2901,另一个是ASA。 我在路由器和ASA之间build立了一个IPsec连接。 IPsec连接本身有效,但无法访问网关后面的任何地址。 IPsec连接的本地networking是10.0.0.0/8networking。 ASA不知道它必须通过网关路由stream量(172.17.0.1) 。 我已经在内部接口上设置了一个默认路由到10.0.0.0 255.0.0.0.0 172.17.0.1但是这不起作用… 我如何告诉ASA它必须通过网关路由所有stream量?
Ipsec vpn隧道随机断开连接,但是当我们重新启动raccon时,所有的隧道都会再次出现任何问题。我想知道这个问题的永久性修复。 这些是日志: racoon: ERROR: phase2 negotiation failed due to send error. 4ca6a54e16755b0b:5e5f8815483f5a75:0000abbe racoon: [Off]: INFO: initiate new phase 2 negotiation: xxxx[500]<=>xxxx[500] racoon: ERROR: failed to start post getspi. racoon: ERROR: phase2 negotiation failed due to send error. 4ca6a54e16755b0b:5e5f8815483f5a75:0000d553 racoon: [Off]: INFO: initiate new phase 2 negotiation: xxxx[500]<=>xxxx[500] racoon: ERROR: failed to start post getspi.