Articles of openswan

我正在使用openswan通过IPSec连接两台机器。 隧道正常上线，我通过VPN连接到每个端点。 但是，当通道启动时，我将失去与公共端点IP地址的连接。 例如，从站点B公共地址4.5.6.7（反之亦然）ping站点A公共地址1.2.3.4失败。 当隧道启动时，我注意到有一些奇怪的东西可以解释这种行为。 #ip xfrm policy src 1.2.3.4/32 dst 4.5.6.7/32 dir out priority 2080 ptype main tmpl src 0.0.0.0 dst 0.0.0.0 proto esp reqid 0 mode transport 我删除了剩余输出，因为它只包含有意义的条目（通过隧道连接的专用networking）。 任何想法我失踪？

我在两台机器上的libreswan实例上configuration了一个连接。 当我启动pluto守护进程时，连接自动启动，我尝试了其他设置，但连接也开始，如果我做一个ping和服务已经启动，但是，我希望它保持禁用，直到我明确地告诉它启动ipsec auto –up <name> ，它是否可行？ 另外，连接一旦启动，就无法closures， ipsec auto –down <name>看起来什么都不做，因为连接在命令后几秒钟自动重新启动，我怎么closures直到我又想要它？ 谢谢你的帮助 编辑： 这是连接文件 /etc/ipsec.d/host_to_host.conf _________________________________________________________ conn h2h leftid=@a left=192.168.137.14 leftrsasigkey=**** rightid=@b right=192.168.1.45 rightrsasigkey=**** authby=rsasig auto=ondemand

我有一个带有静态IP的路由器后面的libreswan的CentOS系统，我一直在试图build立一个带有瞻博防火墙的远程服务器的IPSec隧道。 远程服务器上的IPSec VPN设置是通过防火墙完成的。 我已经尝试了几乎所有可能的设置组合，但是每次都会遇到“错误的有效载荷”的相同错误。 以下是CentOS shell屏幕上显示的常用日志： 002 "GeojitOMS" #6: initiating Main Mode 104 "GeojitOMS" #6: STATE_MAIN_I1: initiate 003 "GeojitOMS" #6: ignoring unknown Vendor ID payload [2c9d7e81995b9967d23f571ac641f9348122f1cc1200000014060000] 003 "GeojitOMS" #6: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 003 "GeojitOMS" #6: received Vendor ID payload [Dead Peer Detection] 003 "GeojitOMS" #6: ignoring Vendor ID payload [HeartBeat Notify 386b0100] 002 […]

我有网站，显示数据，从GSM调制解调器接收。 所以我试图连接我的网站到GSMnetworking提供商使用VPN。 供应商方面有一个思科3900，configuration为站点到站点VPN服务器和我的身边我有强大的安装在debian linux和configuration为客户端。 我正在使用本指南进行客户端configurationhttp://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html 在GSMnetworking提供商方面的configuration是这样的： VPN设备版本：Cisco 3900 VPN模块：DES + 3DES + AES VPN网关IP：“VpnGatewayIP” 主机使用VPN：10.248.64.0/20 隧道信息 阶段1（IKE） 身份validation方法：预共享密钥 encryption架构：IKE 完美的前向保密 – IKE：DH Group-5 encryptionalgorithm：AES256 散列algorithm：SHA1 每隔86400秒重新协商一次IKE SA 阶段2（IPSEC） IPSec：ESP 完善的前向保密 – IPSEC：DH Group-5 encryptionalgorithmIPSec：AES256 散列algorithmIPSec：SHA1 每3600秒重新协商IPSec SA 积极的模式：不使用 这是我的configuration文件/etc/ipsec.conf的内容 config setup strictcrlpolicy=no charondebug="ike 1, knl 2, cfg 0" conn %default ikelifetime=1440m keylife=60m rekeymargin=3m keyingtries=1 keyexchange=ikev1 […]

语境： 我正在Google Compute环境中运行一组实例。 每个主机在10.0.0.0私有范围内都有单个IP地址。 我有外部客户需要通过VPN连接连接到这些实例。 但是，由于它们的大小，这些客户需要一个独特的“真实”IP地址作为目标。 （为了避免多个客户端拥有相同的私有地址的风险）。在迁移到Google之前，我们可以使用思科ASA和虚拟公共接口将这些连接发送到我们的内部networking，但是附加到GCE实例的静态外部地址可以使用谷歌VPN /路由工具不会被发夹，所以这不是一个选项。 （我已经通过Google支持确认了这一点。） build议的解决scheme： 我已经在GCE环境中保留了一个静态地址（我们称之为5.xxx） 在GCE环境中，我有一个Openswan框，可以通过来自远程ASA的ipsec连接路由到内部networking。 我能够从该远程networking在专用GCEnetworking内ping主机。 （当10.0.0.0/16被configuration为目标时） 现在的目标是将VPNconfiguration的目标更改为5.xxx地址，然后让GCE Openswan框中的iptables翻译该目标以指向专用networking上的特定IP地址（10.xxx）。 我已经configuration了iptables，使得ping到5.xxx的地址在Openswan框本身上正确转换，但到目前为止，我还没有任何运气为ASA背后的主机做这项工作。 Iptables看起来像这样： # iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT all — anywhere xxx5.bc.googleusercontent.com to:10.xxx Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source […]

我刚刚在Debian 6.0上安装了OpenSwan，并根据本教程进行configuration： http ://confoundedtech.blogspot.co.uk/2011/08/android-nexus-one-ipsec-psk-vpn-with.html许多类似的文件，即使我改变了一些参数，当我尝试使用L2TP作为VPN客户端连接Iphone时，我总是以xl2tpd的错误结束： Apr 22 16:31:25 debian xl2tpd[19713]: network_thread: recv packet from 212.183.140.62, size = 476, tunnel = 32857, call = 10067 ref=0 refhim=0 Apr 22 16:31:25 debian xl2tpd[19713]: network_thread: unable to find call or tunnel to handle packet. call = 10067, tunnel = 32857 Dumping. Apr 22 16:37:52 debian xl2tpd[19713]: network_thread: recv packet […]

阶段＃1（ IKE ）成功，没有任何问题（在目标主机validation）。 然而，阶段2（ IPSec ）在某些时候是错误的（显然是由于本地主机configuration错误）。 这应该是一个IPSec连接。 我在Debian上使用OpenSwan 。 错误日志读取以下内容（远程端点的实际IP地址已被修改）： msgstr“5ece82ee proposal = AES（12）_256-SHA1（2）_160 pfsgroup = OAKLEY_GROUP_DH22}”＃p＃分页标题＃ pluto [30868]：“x”＃1：忽略信息有效负载，inputNO_PROPOSAL_CHOSEN msgid = 00000000 pluto [30868]：“x”＃1：接收并忽略的信息性消息 pluto [30868]：“x”＃1：同行提议：0.0.0.0/0:0/0 – > 0.0.0.0/0:0/0 pluto [30868]：“x”＃3：响应快速模式提议{msgid：a4f5a81c} pluto [30868]：“x”＃3：us：192.168.1.76 <192.168.1.76> [+ S = C] 冥王星[30868]：“x”＃3：他们：222.222.222.222 <222.222.222.222> [+ S = C] === 10.196.0.0/17 pluto [30868]：“x”＃3：从状态STATE_QUICK_R0转换到状态STATE_QUICK_R1 pluto [30868]：“x”＃3：STATE_QUICK_R1：发送QR1，安装入站IPsec SA，期望QI2 pluto [30868]：“x”＃1：忽略信息有效负载，inputNO_PROPOSAL_CHOSEN msgid = […]

在我们无法控制路由器的托pipe环境中，我们只有一个内部networking，一个DMZnetworking和一个主机。 在DMZ中是运行Openswan的RHEL服务器，并终止到其他站点的IPsec VPN隧道。 内部networking中的系统需要访问隧道另一端的系统。 这个想法是在内部主机上创build一个指向DMZ主机的路由，作为到达隧道另一侧主机的网关。 根据研究，似乎我不能在另一个子网中没有直接连接到我的网关。 这确实是这种情况，有什么办法可以解决这个问题吗？ 这是我在内部主机上运行的命令： route add -host $hostOnOtherSideOfVPN gw $hostInDMZ dev eth0 我能够访问DMZ中的主机而没有任何问题（ICMP，telnet等）。 任何人都可以指向正确的方向吗？

我有一台运行Ubuntu和Openswan的服务器，但是我无法连接到远程防火墙。 我希望有人能帮助我。 我的ipsec.conf文件如下： config setup protostack=netkey nat_traversal=yes nhelpers=0 plutodebug=all conn zyxel type=tunnel authby=secret left=*.*.*.* #min ip leftsubnet=*.*.*.*/* #mitt subnet leftid=@*** #brukernavn right=*.*.*.* #brannmurens ip rightsubnet=*.*.*.*/* #brannmurens subnet auth=esp ike=des-md5 esp=des-sha1 pfs=yes aggrmode=yes 我通过运行这些命令来启动openswan： /etc/init.d/ipsec start ipsec auto –add zyxel ipsec whack –name zyxel –initiate 没有什么显示在我的terminal，但是当我尾巴/var/log/auth.log我得到以下错误： Aug 11 11:43:49 ole-VirtualBox pluto[28572]: | returning new proposal from […]

是否有可能用Ubuntu和例如StrongswanreplaceCisco VPN IPSec集中器？ 1）Strongswan是否实现了思科使用的相同协议？ 2）我们是否可以从思科集中器取回密钥并将它们导入到Ubuntu-box中，如果不能，我们能否生成适合网站设备的新密钥？ 3）是否有任何性能方面的考虑？