我成功地编译并安装了strongswan ipsec vpn,正如服务启动成功的事实表明的那样: as3:~# ipsec restart Stopping strongSwan IPsec… Starting strongSwan 5.0.4 IPsec [starter]… as3:~# 当我运行命令ipsec pki –gen –outform pem > caKey.pem我看到错误: as3:~# ipsec pki –gen –outform pem > caKey.pem openssl FIPS mode(0) unavailable as3:~# “openssl FIPS模式(0)不可用”是什么意思? 如何解决它?
第一次海报,所以如果有我错过了服务器故障礼节,请温柔和纠正我。 我们在A站点和B站点拥有两台独立pipe理的CheckPoint边缘设备,连接到两个亚马逊私有云。 在这两种情况下,两个Amazon VPC都位于CheckPoint设备的同一个社区中。 两个CheckPoint设备之间也存在VPN隧道。 在A&B站点和Virigina北部的亚马逊VPC之间,我们无法build立多个隧道。 两者都会出现,但隧道2将在启动后一个小时后下降,而在隧道1启动时不会回来。 我们认为1小时时间是由IPsec第二阶段重新谈判引起的,但不能确定。 就我们而言,我们看到隧道2远程端点不响应阶段2协商。 在A&B站点和俄勒冈州的Amazon VPC之间,我们没有任何问题。 两条隧道都正常运行。 CheckPoint网关正在使用基于域的VPN。 根据CheckPoint对亚马逊的build议,这是行不通的。 然而,在俄勒冈州,它的确如此。 我们跟亚马逊一样追求这个目标,尽pipe事实上它在俄勒冈州工作,但他们拒绝与我们进一步排除故障。 任何人都可以提出任何我们可以做的事情来试图使这个稳定? 去基于路由的VPN不是我们的select。
我有两个networking:本地192.168.1.0/24和远程10.8.8.8/24。 在本地networking上,我已经安装了pFsense作为网关。 在远程networking上有一个我无法控制的思科ASA。 (这是一个托pipe公司的。) 他们说我必须在我的公共IP地址下伪装我所有的本地stream量,以便进行适当的隧道工作。 我不知道该怎么做。 我试图使用虚拟IP,但pFsense不允许我使用我的公共IP地址作为虚拟。 据我了解,IPSEC打在NAT之前,所以stream量到达的托pipe公司没有被掩盖,所以它没有路线回来。
我正在尝试使用strongSwan设置主机 – 主机configuration。 我确实设法使用证书,现在我想使用证书+ EAPauthentication来设置它。 我将这个configuration与我以前的证书configuration混合并成功连接。 但是,此configuration要求客户端将本地保存密码。 我必须说,我不明白为什么我应该使用密码,而不是证书,如果它本地保存。 我想要的是使用2因素身份validation – 没有有效证书的客户端即使知道密码也不应该能够进行身份validation,并且在尝试连接时应提示拥有有效证书的客户端input密码。 如果我理解正确,我的select是: 使用可以提示input密码的NetworkManager 使用md5-id-prompt 我不想被绑定到NetworkManager,如果我不必。 第二个选项不起作用,因为我的机器上的ipsec stroke命令没有user-creds子命令。 这可能是因为我使用strongSwan 4.x. 即使这样做,也有两个主要的问题: 必须在命令行中input密码,而不是通过ipsec进行交互式提示,这是一种不好的安全措施。 如果我理解正确,一旦input密码,ipsec守护进程将记住它,直到重新启动,而不是在每个连接中提示。 有什么办法可以在不使用NetworkManager的情况下完成我的目标?
我试图弄清楚创buildGRE隧道时到底发生了什么。 我的networking看起来像这样( – >表示直接连接): 计算机A(eth0:10.0.1.1) – > (eth0:10.0.1.2)Router B(eth1:10.0.2.1) – > (eth0:10.0.2.2)Router C(eth1:10.0.3.1) – > (eth0:10.0.3.2)Router D(eth1:10.0.4.1) – > (eth-:10.0.4.2)计算机E 我在Router B上运行以下命令: ip tunnel add Tunnel5 mode gre local 10.0.2.1 remote 10.0.3.2 ifconfig Tunnel5 192.168.33.2 netmask 255.255.255.0 up ip route add 10.0.4.2/32 via 192.168.33.3 具有以下连接信息: conn routerD_eth0 type=tunnel authby=secret left=10.0.2.1 leftsubnet=10.0.2.1/32 right=10.0.3.2 rightsubnet=10.0.3.2/32 auto=start 和路由器D上的等价物: […]
我们运行一个小企业,并在Windows Server 2012上运行我们的VPN。 我们的VPN工作正常,直到我们重新启动我们的路由器,似乎重新启动程序打破了VPN。 我们不确定这是否是巧合。 在这个阶段,我们无法从任何客户端连接到VPN。 (我们可以访问的服务器上有一个文件服务器)。 我们收到此消息: 错误800:由于VPN隧道失败,未build立远程连接。 VPN服务器可能无法访问。 如果此连接尝试使用L2TP / IPsec隧道,则IPsec协商所需的安全参数可能未正确configuration。 在我们已经远程访问的服务器上,我们进入服务器pipe理器>远程访问,看看日志,我们收到多个错误。 其中之一是不同的变化: 由于错误,未能在端口VPN0-104上应用IP安全性:无法find证书。 通过IPSec使用L2TP协议的连接需要安装机器证书(也称为计算机证书)。此端口不会接受任何呼叫。 另一个错误是: 安全套接字隧道协议服务无法从registry读取SHA256证书哈希或数据无效。 要有效,SHA256证书散列必须是REG_BINARYtypes,长度为32个字节。 由于其他系统故障,SSTP可能无法从registry中检索值。 详细的错误信息在下面提供。 此服务器上不接受SSTP连接。 纠正问题,然后重试。 该系统找不到指定的文件。 我们search了一个SHA256证书,并查看了registry中的这个文件,但它不在那里。 没有人访问过服务器,因此证书可能已经被删除了吗? 我们尝试过的另一件事是我们已经进入Remote Access Management Console并点击操作状态。 我们收到以下错误: An unknown system error has occurred. Check if the Remote Access Management service is running. 解决这个问题的方法是: Enable (Start-Service ramgmtsvc) or restart (Restart-Service ramgmtsvc) […]
我们正在尝试复制https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel#Set_up_the_IPsec_tunnel_Phase_2中描述的内容 我们使用2个Fortinet Fortigate防火墙。 我们以前曾在两个站点之间运行ipsec vpn,但只有局域网到局域网。 即。 站点A LAN到站点B LAN,反之亦然。 我们尝试修改IPsec隧道以承载WAN绑定的stream量,但似乎仍然直接通过Site A WAN。 我们的configuration: 12.34.56.0/24是站点B IP块 网站A(分公司): 阶段2:本地:172.20.10.0/24远程:0.0.0.0/0.0.0.0 政策: 内部 – > siteB,源ALL,目的地,ALL SiteB – >内部,源ALL,目的地,ALL 网站B(数据中心) 阶段2:本地:0.0.0.0/0.0.0.0远程:172.20.10.0/24 政策: 内部 – > siteA,源ALL,目的地,ALL SiteA – > WAN,源ALL,目的地ALL,NATdynamicIP池12.34.56.1 除了图中所示的出站stream量之外,我们还希望来自相同IP或多个入站的stream量返回到站点A.例如,如果站点A托pipe了一个网页,并且有人前往12.34.56.1,它将会指向站点A服务器。
我正在和一个想在他们的networking和我们的networking之间build立一个VPN隧道的客户合作。 他们负责隧道,给我们访问他们问我的公共IP和我的局域网IP。 当我在服务器上执行ifconfig连接到vpn时,这就是我所得到的 $ ifconfig eth0 Link encap:Ethernet HWaddr d4:ae:52:cd:xx:xx inet adr:62.210.xxx.xxx Bcast:62.210.xxx.xxx Masque:255.255.255.0 adr inet6: fe80::d6ae:52ff:xxxx:xx/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Packets reçus:55255032 erreurs:0 :779628 overruns:0 frame:0 TX packets:5419527 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 Octets reçus:5598164393 (5.5 GB) Octets transmis:1034297288 (1.0 GB) Interruption:16 Mémoire:c0000000-c0012800 lo Link encap:Boucle locale inet […]
我有四个主机设置如下: 我在服务器B和C之间通过互联网通过OpenSwan获得IPSec隧道。服务器A和Dconfiguration为分别通过B和C将stream量路由到另一个。 服务器A和B在一个专用networking上,服务器C和D在另一个专用networking上。 我可以ping通并正确对话,但是当从服务器A ping服务器D时,我在每个框中看到tcpdump输出中有趣的东西。 在服务器A上: 04:52:12.790527 IP (tos 0x0, ttl 64, id 24219, offset 0, flags [DF], proto ICMP (1), length 84) [Server A] > [Server D]: ICMP echo request, id 29513, seq 1, length 64 04:52:12.793453 IP (tos 0x0, ttl 62, id 44476, offset 0, flags [none], proto ICMP (1), length 84) [Server […]
我有一个相当奇怪的问题,有两个站点通过IPSec站点间VPN连接,文件从一个站点转移到另一个站点。 SYNOPSYS(tl; dr):通过smb / ftp /通过两个站点之间的ipsec隧道进行的文件转移工作在一个方向上,而不是在相反的方向上; HALP 完整版本: 我有2个站点,我们将它们命名为LUX和TLS,通过站点间VPN连接。 每个站点都有一个100Mb光纤连接。 两端都是2个Cisco RV320。 我在这些站点之间configuration了一个IPSec VPN,DH级别2,3DES / SHA1encryption。 两个站点都可以互相ping通。 我可以通过从TLS到LUX的RDP和从LUX到TLS完美地join我的服务器。 我可以通过其他方式浏览LUX中的TLS中的networking共享。 在这一点上,一切看起来都很完美。 让我们进入棘手的部分。 如果我尝试将文件从TLS复制到LUX,从位于TLS的networking共享中,我没有问题,该文件完全复制。 如果我试图从LUX(不同的机器比净股)TLS获取文件位于一个ftp,一切工作正常。 恢复:文件转移TLS – > LUX一切正常 但§§§ 如果我尝试从LUX复制文件到位于TLS的共享,从LUX的任何机器,它将失败…如果我尝试上传一个文件到位于TLS的FTP(相同的工作,当我下载) ,它也失败了。 我想在TLS中安装一个新的AD DC作为连接到LUX的新站点,一切都很顺利,直到从LUX到TLS检索到AD数据库为止。 当我尝试保存位于TLS中的共享位于LUX中打开的文档时,出现logging错误。 我试图通过客户端服务器PPTP VPN从LUX中的服务器连接到TLS中的服务器来绕过站点间VPN,一切都很顺利,我能够将文件从LUX复制到TLS … 简历:文件转移LUX – > TLS不行 我怀疑IPSec VPN是问题,我检查了MTU,它设置为1500,并在http://www.letmecheck.it/mtu-test.php上检查,一切都很好。 请问我可以得到你的帮助,因为我在这个问题上已经失去了将近一天的时间,在这一天结束的时候,我的一天就不会有头发了:D