我们正在与第三方集成,他们需要使用L2L IPSec VPN进行通信。 我已经成功configuration了IPSEC vpn,并且tunel已经启动了,但现在我似乎无法通过它,因为源IP地址不正确(我假设)。 我是一个软件家伙,不是networking家伙 第三方要求我们使用子网172.31.168.0/24,但这与我们的内部寻址(AWS VPC)10.0.11.0/24相冲突。 我添加了1:1的NAT 来源:任何 dest:<外部encryption域> 外部:172.31.168.0/24 但是从pfsense机器到encryption域范围内的ip做traceroute通过互联网发送stream量。 我已经设置了一个应用程序服务器的默认路由是PFSense框,我可以看到应用服务器连接到防火墙日志中的外部服务,但没有ipsec相关的东西? 我试图做甚至可能吗? 使用PFSense版本2.1.5-RELEASE(amd64)
2.2版中的pfSense从Racoon切换到strongSwan 。 由于该更改,用户不能再从Android客户端连接到VPN(typesIPSec Xauth PSK )。 Android上的当前configuration如下: | _。 名称| _ [无关] _ | | _。 types| IPSec Auth PSK | | _。 服务器地址| $ THE_PFSENSE_IP | | _。 IPSec标识符| the.identifier | | _。 IPSec预共享密钥| 3yZuE7kLFGqOj79hRAqM3vQpPWC7DRlY6ep8hfoVtkZWVqNd8C3W | | _。 DNSsearch域| _ [(not used)] _ | | _。 DNS服务器| _ [(not used)] _ | | _。 […]
苹果iOS具有“VPN On Demand”function。 有了这个function,只要设备试图连接到某些域或互联网,就会进行VPN连接。 iOS只支持基于authentication的authentication的“VPN On Demand”。 要为我的办公室VPN服务器的iOS用户提供“VPN On Demand”,我们正在使用下一个IPSec解决scheme: Ubuntu 14.04 – VPN服务器操作系统。 strongSwan 5.1.2 – IKE守护进程。 对于每个对等点,我将生成一个单独的私钥并颁发一个匹配的证书。 客户端(iOS IKEv1)使用RSA和Xauth进行身份validation。 没有Xauth(所谓的Cisco IPSec),iPhone和iPad不能使用IPSec。 而且“VPN On Demand”不能使用需要密码input的VPNconfiguration文件,但是Xauth通常需要用户名/密码。 为了处理这个问题,我们使用了xauth-noauth – 假的Xauthvalidation器,它允许任何用户名和密码。 在这种情况下,我们只使用客户端证书进行身份validation。 这个解决scheme对我们来说工作正常。 但是我们得到了新的要求 – 用一个用户数据库build立几个VPN服务器并loggingVPN使用情况。 这是使用RADIUS的这个任务的一个惯例,并且strongSwan有它的插件。 但是,使用IKEv1 / Xauth的strongSwan使用用户名/密码来validation后端RADIUS服务器上的用户。 用户名/密码没有在我的解决scheme中使用。 我的问题: 如果Xauth不使用用户名/密码,如何使用Radius记帐? 是否有可能将RSA身份validation检查委托给RADIUS服务器? PS大多数我的iOS客户端使用支持IKEv2的iOS 8。 IKEv2中有EAP-TLS。 我可以使用EAP-TLS将RSA身份validation检查委托给RADIUS服务器吗? 或者我正在用EAP-TLS挖错方向? PSPS我的第二件事是关于strongSwan的VICI接口。 我应该得到关于每个新的IPSec连接的通知,但看起来像VICI工作方式不同。
ipsec verify 检测到硬件RNG,testing是否正确使用 [FAILED] 硬件RNG存在,但'rngd'没有运行。 没有硬件随机使用! 有人build议编辑/etc/sysconfig/rngd ,join下面一行 EXTRAOPTIONS="-r /dev/urandom" 哪个不行
我有以下与此问题相关的区域。 SemiTrusted和 上市 我想将IPSECencryption的stream量(即来自某些特定的IP地址)视为属于SemiTrusted。 在iptables中,我会使用策略匹配来使用一个semitrusted链。 我怎么能用firewalld来实现这一点。 我在firewalld手册页中没有看到任何关于策略的提及,也没有看到如何根据firewalld.richlanguage(5)中的ipsec策略进行匹配。 我想我可以使用firewalld.direct(5),但我不知道如何将其与基于firewalld.zone(5)的其他configuration集成。 编辑:为了说清楚,我不想在区域SemiTrusted中打开ipsec端口。 这是微不足道的。
有没有像local = left ,我可以在strongSwanconfiguration中使用? 我不想使用任何IP地址,因为它们可能会改变。 而且我不想让服务器猜测它,我想以毫无疑问的方式修复它。 在我所有的“客户端到站点”configuration中,我都无法将configuration复制到未经修改的另一端。 甚至没有单独的连接部分。 再加上似乎没有办法强行这个事实,这个左派/右派并不是我所喜欢的……
我正在尝试configurationZyWALL USG 200防火墙,让Windows XP远程客户端(dynamicIP地址)通过L2TP VPN连接到工作站networking。 我不想使用证书,一个普通的用户名和密码就足够了(证书pipe理会太多)。 我不是一个L2TP专家,更不用说IPsec了,所以如果我提出微不足道的问题或明显的错误,请耐心等待。 我已经configuration了我认为应该是USG200上的L2TP VPN,但是当我尝试从WinXP客户端连接时,我的日志中出现以下错误: 1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG 2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG 3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG 4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 […]
我已经看到了使用AMI连接2个区域成为专用networking的方法,但没有办法通过VPC或DirectConnect来实现。 目前我们有: eu-west-1(11个服务器),位于172.16.0.0/16 ap-southeast-2(当前1服务器)在172.31.0.0/16 我以为AWS已经有了一些链接地区的东西,但是昨天有很多Google,我只find了使用linux系统来路由stream量的方法。 如果这是唯一的方法,我很好,但是我认为还有一些更简单的方法吗? 问候 利亚姆
我正在使用openswan通过IPSec连接两台机器。 隧道正常上线,我通过VPN连接到每个端点。 但是,当通道启动时,我将失去与公共端点IP地址的连接。 例如,从站点B公共地址4.5.6.7(反之亦然)ping站点A公共地址1.2.3.4失败。 当隧道启动时,我注意到有一些奇怪的东西可以解释这种行为。 #ip xfrm policy src 1.2.3.4/32 dst 4.5.6.7/32 dir out priority 2080 ptype main tmpl src 0.0.0.0 dst 0.0.0.0 proto esp reqid 0 mode transport 我删除了剩余输出,因为它只包含有意义的条目(通过隧道连接的专用networking)。 任何想法我失踪?
我在两台机器上的libreswan实例上configuration了一个连接。 当我启动pluto守护进程时,连接自动启动,我尝试了其他设置,但连接也开始,如果我做一个ping和服务已经启动,但是,我希望它保持禁用,直到我明确地告诉它启动ipsec auto –up <name> ,它是否可行? 另外,连接一旦启动,就无法closures, ipsec auto –down <name>看起来什么都不做,因为连接在命令后几秒钟自动重新启动,我怎么closures直到我又想要它? 谢谢你的帮助 编辑: 这是连接文件 /etc/ipsec.d/host_to_host.conf _________________________________________________________ conn h2h leftid=@a left=192.168.137.14 leftrsasigkey=**** rightid=@b right=192.168.1.45 rightrsasigkey=**** authby=rsasig auto=ondemand