我正在尝试设置一个VPN服务器环境,以使用Apple提供的testing程序SimpleTunneler ,该程序使用iOS 9.0中引入的NETUnnelProviderManager。 对于服务器部分,我使用的是该程序的一部分的tunnel_server程序。 我select在这块板子上问这个问题,而不是一个苹果专用的问题,是因为我觉得基本的服务器和客户端组件正在工作,只剩下一个networkingconfiguration问题。 为了简单起见,我一直在使用设备级别的VPN,并且试图从我的iPhone上访问外部Web服务器(使用Yahoo地址98.139.183.24,端口80)来避免DNS。 我已经在设备上configurationnetworking扩展,将所有IP数据包路由到隧道。 当我尝试访问该站点时,我看到从客户端(iPhone)到服务器(在我的MacBook Pro上的tunnel_server)的stream量,最初是在utun2接口上创build的,这是一个与之关联的特殊接口隧道。 之后,我看到数据包在我的服务器上转到en0,然后出去到networking。 最初,我从来没有看到任何回应,并确定这是因为这些数据包的源地址没有正确的NAT。 经过大量的实验,我终于通过下面的pfctl规则得到了这个NAT: nat on en0 inet from !(en0) to any -> (en0) 添加完这个之后,我现在看到正在进行NAT转发的数据包,甚至是从雅虎服务器返回的响应到我的服务器的en0接口。 但是,我从来没有看到这个响应被转发到我的服务器的utun2接口。 我不确定是否NATing,路由或其他问题。 如果有人有任何分类或解决scheme的build议,请让我知道。 这是我的设置信息: Server: 10.15.68.160/21 (internal company networking, using WiFi on en0) Client: 10.15.68.199 (initially), but changes to 192.168.2.2/21 due to the configuration I have set for the server_tunnel program 有一件事似乎很奇怪这个设置是服务器和客户端都关联到192.168.2.2。 […]
我运行Sonicwall TZ205,并使用不同的LAN段设置端口。 然后运行连接到这些端口的多个VMware服务器以及连接到每个vSwitch的多个VM guest虚拟机。 我在允许一些stream量的子网之间有一些防火墙规则,主要是DNS。 我的所有Web服务器都指向了我的Windows AD DNS服务器。 我之所以这样做的原因是为了让我的邮件服务器与我的虚拟机进行通信……所以当我托pipe的一个网站给我发了一封电子邮件,它不会出去和回环,它只是直接通过。 我一直在用我的一台服务器解决DNS问题,并运行WireShark,我看到很多来自我的networking服务器的DNS。 我看到的问题实际上是来自PRTG的监视代理,它显示我的DNS每隔几秒就无法parsing一次查询。 据我所知,我所有的其他testing显示DNS正常工作。 我正考虑更改我的networking服务器上的DNS服务器,只指出互联网。 我会设置发夹让服务器通过出去和回来给我发送电子邮件。 这有什么好处吗? 我是否比它需要更复杂? 内部DNS更好吗? 我有我的主要局域网上的2个DNS服务器,这就是他们所做的。 提前致谢! TLDR; 我的NAT是否应该使用公开的DNS或内部DNS?
(从AskUbuntu dublicate问题)我有一个下面的networking图: networking图 192.168.0.0/24networking与4个networking服务器(.1,.2,.3,.4)。 其中有2个Ubuntu 14.04(VM1和VM2)。 它们有两个物理接口(eth0和eth1)。 和一个L2TP以太网隧道,configuration方式如下: root@vm1:~# modprobe l2tp_eth root@vm1:~# ip l2tp add tunnel tunnel_id 1000 peer_tunnel_id 2000 encap udp local 10.0.0.1 remote 10.0.1.1 udp_sport 6000 udp_dport 5000 root@vm1:~# ip l2tp add session tunnel_id 1000 session_id 3000 peer_session_id 4000 root@vm2:~# modprobe l2tp_eth root@vm2:~# ip l2tp add tunnel tunnel_id 2000 peer_tunnel_id 1000 encap udp […]
我有两个服务器:一个接收来自外部LAN和另一个(LAN内)的连接,我打算通过ssh从外部访问。 有先决条件:我不能访问我的SSH服务与22以外的其他端口; 当然,第一台服务器也必须通过SSH访问。 我为入口服务器创build了一个networking别名: allow-hotplug eth0 iface eth0 inet static address 192.168.1.1 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 gateway 192.168.1.254 # DNS directives allow-hotplug eth0:1 iface eth0:1 inet static address 192.168.1.2 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 gateway 192.168.1.254 # DNS directives 我的策略是:在防火墙的情况下,将所有SSH连接转发到第二个IP地址到局域网内的服务器。 所以,我执行了这些命令来configuration防火墙(172.16.1.1是LAN内服务器的IP地址): # iptables -A FORWARD -p tcp -d 172.16.1.1 –dport 22 -m […]
我有一个IPsec网关给客户,VPN隧道已经启动,问题是他们不允许我使用我的私人地址,因为它使用了另一个VPN。 我们的网关是使用公共弹性IP在Amazon云中托pipe的EC2实例: 我的gw:10.0.3.22 – > Elastic IP:1.1.1.1 – >他们的IPsec gw 2.2.2.2 我必须连接到他们的IPsec gw后面的一个服务器3.3.3.3,当我尝试数据包时不要回头: $ telnet 3.3.3.3 443 (the only opened port) 10.0.3.22 > 2.2.2.2 (ESP traffic, seq=0x1) 10.0.3.22 > 2.2.2.2 (ESP traffic, seq=0x2) … until timeout 客户可以确认VPN隧道已经启动,他们可以看到日志中的stream量,但是在防火墙到达3.3.3.3之前就会被丢弃。 他们只接受1.1.1.1作为来源。 所以我必须隐藏我的私有IP 10.0.3.22 NAT到1.1.1.1。 这可能使用iptables? 我试图做SNAT和DNAT,但它不起作用: sudo iptables -t nat -A POSTROUTING -j MASQUERADE sudo iptables -t nat […]
我试图在Amazon VPC实例上的Cisco ASA 5520和运行在Ubuntu 14.04上的Openswan服务器之间build立VPN隧道。 我没有ASA的访问权限,并且从这方面被给予以下连接要求 – AES-SHA,No PFS和我们的内部子网(10.0.0.0/24)必须作为不同的范围192.168.200.0/24呈现给思科方面。 这些是我已经configuration的一般configuration – ASA公众 – 1.2.3.4 ASA内部networking – 192.168.50.0/24 Openswan EIP – 5.6.7.8 Openswan内部IP – 10.0.0.10 Openswan内部networking – 10.0.0.0/24 /etc/ipsec.conf的内容 – version 2.0 # basic configuration config setup dumpdir=/var/run/pluto/ nat_traversal=yes virtual_private=%v4:192.168.50.0/24 oe=off protostack=netkey include /etc/ipsec.d/vpntunnel.conf /etc/ipsec.d/vpntunnel.conf的内容 conn vpntunnel type= tunnel authby= secret left= 10.0.0.10 leftsubnet= 10.0.0.0/24 right= […]
我们在Verizonnetworking上使用iOS上的Linphone客户端。 我们的客户端在200 OK消息的Contact头发送错误的IP地址作为对来自Asterisk的INVITE消息的响应。 SIP跟踪 我们的客户端的正确公有IP地址是70.214.115.17,因为它显示在IPv4源上。 我们发现这个问题,在联系表头上,我们要求Asterisk回复我们IP地址100.93.81.213。 由于这个IP地址是不可访问的,我们的客户端永远不会收到来自Asterisk的ACK响应。 结果,我们的呼叫(连续不能接收ACK消息)在32秒内被终止。 根据IANA的说法,这个IP地址被用于CGNAT目的。 这个问题并不是每一次都出现,而是随机出现的。 我们将不胜感激您的任何协助。
我有一个相当复杂的设置,我想运行一个SIP服务器。 一般来说,我想在内部networking上运行一个仅支持IPv6的Kamailio SIP服务器,并且让外部SIP客户端能够通过纯IPv4networking向内部进行呼叫。 这是设置: 所以,问题是我无法通过IPv4访问其他networking中的任何设备。 使用Kamailio服务器的networking具有IPv6连接,但可以通过互联网上的其他IPv6networking访问。 但是,我想通过在路上/不在办公室上的Android上的SIP-App(特别是Mizudroid,但无论什么作品,甚至是原生的Android客户端都适合我)连接到SIP服务器。 不幸的是,移动networking是纯IPv4的,而且大多数WiFinetworking都是纯IPv4的。 我find了一个服务提供者,但是( https://myonlineportal.net/portmapper )可以作为特定端口上的IPv4到IPv6网关。 也就是说,如果你在portmapper.myonlineportal.net:12345上连接到这个服务,它会把这个stream量转发到[你的ipv6]:5060(5060可以是你喜欢的,但5060是SIP)。 缺点是只能提供TCP连接。 无论如何,我设置了Kamailio服务器,configuration它,IPv6networking内的客户端可以打电话,也可以相互通话。 问题出在外面的客户。 他们可以连接到Kamailio,他们也可以打电话给内部的人。 但在接听电话后,连接失败,通话中断。 另外,从内部到外部的呼叫不起作用,来自软电话“PhonerLite”的错误消息是“477:不幸的是发送到下一跳发生错误(477 / SL)”。 不幸的是,我对SIP协议不太熟悉。 据我所知,Kamailio只是一个告诉Caller1如何到达Caller2的“经纪人”。 这里的问题可能是,只有一个端口通过端口映射器连接到Kamailio服务器。 即使我将每台设备都设置为使用TCP作为传输协议。 我想知道这是否可能? 如果Kamailio不只是注册服务商,而且还充当接力/代理,我认为它可以工作? 所以外面的电话不应该是dev-dev-dev,而应该是dev-kamailio-dev。 如果由于使用TCP而导致延迟,那么对于我的应用程序无关紧要。 此外,使用外部服务是不行的,因为最终将把Kamailio服务器与固定电话networking结合起来。 我也很乐意听到其他build议。 请记住,Kamailio服务器和路由器也可以通过Internet从互联网访问,而移动设备只有IPv4连接! 任何帮助深表感谢!
我有点困惑谁是(PBX vs.手机)在我们的IP电话设置中做了什么。 我们有我们的电话系统托pipe外部。 这意味着我们已经在我们的位置安装了物理IP电话,但PBX位于其他地方。我们遇到了各种各样的麻烦,这使我很烦恼,我无法正确地解决各种问题,由于其实我不明白这是怎么一起工作的。 我一直在阅读SIP和RTP如何工作,但还有一些我还没有完全得到的东西。 我的问题涉及到SIP和RTP,但也涉及到NAT。 我们的场景很简单。 集团电话可以在互联网上的某个公共IP上访问。 我们在防火墙后面(NAT)。 首先,我的理解是SIP包不携带audio。 他们只是为了确保在电话和PBX之间build立会话(如在会话初始协议中),例如在即将build立呼叫时。 这些数据包通常是UDP,并且通常在端口5060上“传播”。 虽然不具体到SIP; 当SIP UDP数据包通过NAT时,NAT 会将源端口转换为与传出数据包不同的东西 ,以确保NAT可以将响应映射回NAT后面的正确的电话。 现在,如果有人想联系我们的某个电话,他们会拨打该号码,最终打到PBX。 这是我的理解,PBX然后发送INVITE(SIP UDP数据包)到有问题的电话。 该数据包包含IP地址和电话应连接的端口号,以build立RTP会话(这是实际的audio数据)。 问题1 :我听说电话必须定期向PBX发送保持活动请求,以确保NAT不会过期UDP会话。 这一点很重要,因为PBX启动对呼叫的INVITE请求,并且NAT不能过期UDP会话,以便将任何给定的INVITE请求映射到正确的电话。 这是正确的吗? 是否有任何来自PBX的INVITE请求使用来自电话的保持活动请求中提供的源端口(将通过NAT进行翻译)? 问题2 :手机是否对任何给定的INVITE SIP请求起作用并连接到集团电话? 这意味着我不应该在这里担心NAT,因为电话会发送第一个RTP数据包,并在NAT中“打孔”。 问题3 :“相反”是如何工作的? 也就是说,如果我想从位于NAT后面的某个电话呼叫某个人,我的电话是否向该PBX发送了一个INVITE SIP请求? 这对我来说是没有意义的,因为PBX不能和我的手机build立一个RTP会话。
我接受了几个星期的ASAconfiguration任务,并testing了一些configuration选项,我在本地networking上安装了一个Web服务器,我希望能够通过WAN访问我们的一个静态IP ISP给了我们。 Info: ASA: 8.2 ASM: 6.2 Static Block from ISP: xx.152.125.240/29 Default Gateway (Static route to): xx.152.125.241 Ethernet 0/0 (outside) – WAN – xx.152.125.243 255.255.255.248 Ethernet 0/3 (inside) – LAN – 10.255.170.1 255.255.255.0 尝试: 我第一次试图手动设置NAT和ACL规则,没有运气。 所以我删除了这些,只是使用“公共服务器”function设置如下所示: Private Interface: inside Private IP Address: 10.255.170.4 Service: tcp/8080, tcp/http, tcp/https Public Interface: outside Public IP Address: xx.152.125.244 […]