我一直在为此而绞尽脑汁。 我有openswan跑,我已经能够得到隧道。 不幸的是,当我尝试在我的右侧子网上ping电脑时,我无法得到任何回应。 我有一台使用Elastic ips的Amazon ec2机器。 当我执行netstat -nr网关指向一个IP地址,因此通过互联网而不是隧道。 任何指针来解决这个问题? leftsourceip=10.71.19.196 – {amazon elastic ip} leftsubnets=10.71.19.196/32 {amazon elastic ip} leftnexthop=%defaultroute right=196.201.212.240 rightsubnets={196.201.214.95/32, 196.201.214.127/32,} 当ping说192.201.214.127我得不到回应。 似乎默认为本地IP网关192.169.16.1。 任何想法我做错了什么?
我试图在Amazon VPC实例上的Cisco ASA 5520和运行在Ubuntu 14.04上的Openswan服务器之间build立VPN隧道。 我没有ASA的访问权限,并且从这方面被给予以下连接要求 – AES-SHA,No PFS和我们的内部子网(10.0.0.0/24)必须作为不同的范围192.168.200.0/24呈现给思科方面。 这些是我已经configuration的一般configuration – ASA公众 – 1.2.3.4 ASA内部networking – 192.168.50.0/24 Openswan EIP – 5.6.7.8 Openswan内部IP – 10.0.0.10 Openswan内部networking – 10.0.0.0/24 /etc/ipsec.conf的内容 – version 2.0 # basic configuration config setup dumpdir=/var/run/pluto/ nat_traversal=yes virtual_private=%v4:192.168.50.0/24 oe=off protostack=netkey include /etc/ipsec.d/vpntunnel.conf /etc/ipsec.d/vpntunnel.conf的内容 conn vpntunnel type= tunnel authby= secret left= 10.0.0.10 leftsubnet= 10.0.0.0/24 right= […]
我正在使用Openswan与IPSec和IPSec不断抱怨共享密钥不存在。 我正在运行Ubuntu 14.04。 我只是试验一些内部系统,因为我是新手。 输出: root@ip-10-1-1-4:/etc# ipsec auto –up L2TP-PSK 104 "L2TP-PSK" #10: STATE_MAIN_I1: initiate 003 "L2TP-PSK" #10: received Vendor ID payload [Openswan (this version) 2.6.38 ] 003 "L2TP-PSK" #10: received Vendor ID payload [Dead Peer Detection] 003 "L2TP-PSK" #10: received Vendor ID payload [RFC 3947] method set to=115 003 "L2TP-PSK" #10: Can't authenticate: no […]
这是设置: 我在一个有FortiGate VPN的商业networking上安装了FortiGate设备。 可以运行FortiClient(Windows和Mac机器)的远程networking上的机器连接到这个VPN没有问题。 我一直负责让Linux机器连接到FortiGate不支持的VPN。 为了弄清楚如何,我在远程networking上安装了Ubuntu 16.04机器,OpenSwan正在运行,试图连接到我在FortiGate上设置的特定通道。 但是,我可以把它连接到目前为止,这是: 002 "icms" #1: initiating Aggressive Mode #1, connection "icms" 113 "icms" #1: STATE_AGGR_I1: initiate 003 "icms" #1: received Vendor ID payload [RFC 3947] method set to=115 003 "icms" #1: received Vendor ID payload [Dead Peer Detection] 003 "icms" #1: received Vendor ID payload [XAUTH] 003 "icms" #1: […]
我有一个安装在我的一边融合的Ubuntu 14虚拟机和另一边的SonicWall之间的VPN。 Ubuntu虚拟机专用于此任务。 当我ping一个远程地址时,结果很奇怪。 有时我会回到预期的64个字节。 其他时间,我得到一个redirect。 其他时候,我得到一个主机无法访问。 这些都混在一起。 PING 192.168.110.11 (192.168.110.11) 56(84) bytes of data. From 172.24.100.45: icmp_seq=1 Redirect Host(New nexthop: 192.168.110.11) 64 bytes from 192.168.110.11: icmp_seq=1 ttl=63 time=46.7 ms From 172.24.100.15 icmp_seq=2 Destination Host Unreachable From 172.24.100.15 icmp_seq=3 Destination Host Unreachable From 172.24.100.15 icmp_seq=4 Destination Host Unreachable From 172.24.100.45: icmp_seq=6 Redirect Host(New nexthop: 192.168.110.11) […]
我需要使用Linux(基于RHEL的)和使用L2TPd(xl2tpd)的开放天鹅的networking项目提供一些帮助。 虽然初始设置很好,但是我希望我的VPNstream量能够通过使用openswan穿过站点到站点vpn的路由的辅助networking接口。 这里最后的游戏将通过L2TP / IPsec从我的手机连接到客户端VPN服务器。 然后我从我的手机上的互联网stream量将退出我的家庭networking,并有我的家庭广域网IP地址。 我试过iptables伪装,SNAT,Forward规则,甚至修改路由表,但是我什么都没有。 我可以使用OpenVPN来做到这一点,但我认为区别在于L2TP不能将路由推送到连接的客户端,就像OpenVPN一样。 我的networking是这样的: 家庭networking:10.0.0.0/24云networking:172.31.90.0/27 eth0 public iface 172.31.95.0/27 eth1私有互联网连接通过我的家庭networking。 VPN客户端networking:192.168.0.0/24 我开始通过公共IP地址连接到我的VPN服务器,当我检查我的IP时,我从云服务器上获得公共IP,但是我想要的是通过云公共IP地址连接到VPN服务器并通过互联网访问我的家庭networking。 eth0和eth1都是默认网关。 我已经阅读论坛,我需要创build一个“VPN路由表”,我已经试过这也没有工作。 不知道为什么ppp0到eth1的遍历与将服务器设置为具有一些前向规则的nat设备有什么不同,然而当我执行ppp0 eth1转发时没有检测到数据包,只有后路由规则被拾取如果我在iptables中使用没有界面选项的伪装。 此外,无论我尝试什么,我都无法从我的vpn客户端ping通eth1 IP,但是我可以从我的vpn客户端ping eth0就好了。 我在这里做错了什么? 更新:由于eth0想成为主要的接口,不pipe我做了什么。 我把公网IP从eth0移到eth1,然后把私网从eth1移到eth0。 现在一切都按预期工作。 我仍然想知道我怎么可以避免这个。 提前致谢。
我正尝试使用OpenSWAN和Amazon VGW将多个Amazon VPC(跨地区)连接在一起。 路由器实例可以ping通两个VPC中的主机,并且stream量正试图穿越路由器,但正在被丢弃。 编辑:我看到计数器XfrmInNoPols递增,当ping不被转发。 在这种情况下,有两个VPC正在连接,而恰好在第三个VPC中的实例正在执行路由并充当集线器。 我试图从根本上重新实现Transit VPCfunction( https://aws.amazon.com/blogs/aws/aws-solution-transit-vpc/ ),没有Cisco CSR和自动化的lambdaconfiguration。 我的问题是,枢纽能够达到东方和西方,但从任何一端的数据包到达枢纽,但不能进一步。 拓扑结构: West (172.19.0.0/16) – (hub) – East (172.18.0.0/16) 。 Hub通过VGW连接到两端,因此东/西的明文包不会离开Hub。 按照正常的VGW行为,两端与HUB之间存在两条隧道。 此configuration的基础是https://github.com/patrickbcullen/Openswan-VPC ,修改为支持第二组隧道。 这个脚本的一个奇怪之处是它build立了一个“networking命名空间”( http://man7.org/linux/man-pages/man8/ip-netns.8.html )来处理所有的ipsec和路由。 集线器可以通过IPSEC隧道ping东西方的节点。 VGW同意ipsec和BGP启动,东/西子网看到传播的路由。 枢纽有通往东西方的路线。 iptables是完全开放的。 在sysctl中,rp_filter设置为0,forwarding / ip_forward设置为1。 我在西方设置了一个ping发生器,试图ping东。 数据包到达hub中的openswannetworking名称空间: 16:38:49.311665 IP 35.163.220.45 > 169.254.255.3: ESP(spi=0x0a790d98,seq=0x4f5), length 132 16:38:49.311665 IP 172.19.58.64 > 172.18.57.207: ICMP echo request, id 411, […]
我必须将我的服务器连接到一个VPN通道,认为Internet可以查看IP 192.168.20.100的本地服务器 这里是从服务器的IPSec和IKE设置(不是我的,我不拥有VPN服务器) 设置 这里是隧道数据: 公用IP:213.0.XXX.YYY 本地服务器我想看到:192.168.20.100 networking:192.168.20.0/24 预共享密钥:XXXXXXXXXX 我已经在我的CentOS 7服务器上安装了openswan(这里是客户端) 这里是我的客户端的IPSecconfiguration # /etc/ipsec.conf version 2.0 # conforms to second version of ipsec.conf specification config setup nat_traversal=yes virtual_private=%v4:192.168.20.0/24 protostack=netkey interfaces=ens160 oe=off klipsdebug=all plutodebug="all" conn l2tp-psk authby=secret pfs=no auto=add rekey=yes ikev2=insist ike=aes256-sha2_256 #esp=aes256-sha2_256 phase2alg=aes256-sha2_256 compress=no type=tunnel left=149.56.XXX.YYY leftnexthop=%defaultroute leftprotoport=17/1701 right=213.0.XXX.YYY rightsourceip=192.168.20.100 rightsubnet=192.168.20.0/24 rightnexthop=%defaultroute rightprotoport=17/1701 我的ipsec.secret: # […]
客户要求我们通过站点到站点VPN隧道连接到他们的系统。 (“不接受基于客户端的VPN解决scheme”。)一旦build立了隧道,我们将通过JMS API在连接上使用数据。 这里有一个问题:我们想从一个带有一个网卡的面向外部的Ubuntu 14.04 LTS服务器build立VPN通道。 由于该服务器本质上是独立于第三方数据中心的,因此它没有configurationLAN /子网,并且没有我们控制的硬件路由器/防火墙。 我们应该怎么做? 我们的计划是使用OpenSwan或类似的。 我们可以在单台服务器上configuration局域网,并将内部IP地址与服务器相关联,然后相应地configurationVPN隧道?
我有一台Linux服务器(CentOS 5.5),可以通过固定的IP地址直接访问互联网。 也就是说,IP地址是200.29.XY网关是由数据中心(200.29.XZ)给出的,并且连接完美。 我需要连接到位于远程局域网上的另一台机器。 我们同意通过VPN来完成,所以他们configuration了一个隧道(使用预共享密钥的IPsec),并给了我们所有的信息(对等体,encryption域,阶段1属性和阶段2属性)。 问题是我的机器不在防火墙后面,而且我也没有访问数据中心的防火墙…所以防火墙必须在同一台机器上创build(使用任何VPN命令行软件)。 问题是,如果我的机器有防火墙(并configuration了VPN),那么这个对等体将是同一个encryption域(即对于对等体和encryption域来说是相同的IP地址)。 另一部分告诉我,这是错误的,使用这种configuration,他们的防火墙不知道在哪里发送响应(因为encryption域是相同的对等)。 试图解决这个问题,我创build了一个名为eth0.4的虚拟以太网接口,它具有本地IP地址192.160.0.4; 我告诉另一部分configuration这是我的encryption域,但仍然无法正常工作。 做一些本地testing,从内部虚拟IP地址,192.160.0.4,我不能ping我的真实IP地址,200.29.XY( ping -I eth0.4 200.29.XY )…我在iptables中添加了一些转发规则,但仍然我的内部IP地址不能与我的真实IP地址通信…所以我认为这个“虚拟本地IP地址”不会解决我的问题(除非我添加了一些不正确的转发规则)。 我正在使用openswan来configurationVPN,并按照上面的部分,他们收到了第一阶段的细节,他们是正确的,但是有一个答案的问题…所以隧道从来没有(事实上,第一阶段从来没有完成)。 010“net-to-net”#1:STATE_MAIN_I1:重发; 将等待20秒的回应 010“net-to-net”#1:STATE_MAIN_I1:重发; 将等待40秒的回应 010“net-to-net”#1:STATE_MAIN_I1:重发; 将等待40秒的回应 010“net-to-net”#1:STATE_MAIN_I1:重发; 将等待40秒的回应 031“net-to-net”#1:最大重传次数(20)达到STATE_MAIN_I1。 对我们的第一个IKE消息没有响应(或没有可接受的响应) 000“net-to-net”#1:开始无限数字的键控尝试2,但永远释放重击… openswan日志不给我更多的信息(它发送正确的东西,但没有回应),和tcpdump所有告诉我,我发送数据包,但没有答案… 有什么build议么?