需要帮助这个VPN设置工作。 左手。 EC2: eth0:10.0.0.100/EIP=1.1.1.1(即NAT'd IP) ETH1:10.0.0.200/EIP=2.2.2.2 Peer ip / leftid:1.1.1.1 右手。 思科: 对等ip:3.3.3.3 对等主机/ rightsubnet:3.3.3.30/32(公共NAT'd IP) 思科ACL:permit ip host 3.3.3.30/32主机2.2.2.2(LH eth1) 因为到3.3.3.30的出站ping / telnet数据包正在通过隧道,而不是回复/路由回去,所以隧道处于UP状态。 我是否需要在IPTABLES中设置SNAT,DNAT或伪装。 基本上,LH的目标是使用公共NAT的IP到达对等主机。 任何有用的提示表示赞赏。
我设法在Linux 2.6上用iPhone和OpenSWANconfigurationVPN。 虽然,当断开iPhone和重新连接,它超时。 我发现: 1)断开iPhone与VPN的连接时,没有数据包正在发送。 2)重新连接时,冥王星拿起旧的套接字,并尝试使用该状态机。 然后失败和iPhone重新发送,直到超时。 我正在使用最新版本的git,包括#1204补丁。 我在日志中看到NAT-T补丁debugging行。 但是,仍然没有cookie。 帮帮我?
我想(种)创buildVPN客户端,我使用OpenSwan(L2tp / IPsec PSK)在Ubuntu上设置我的服务器。 我现在正在做的是发送数据包到我的服务器,并试图交换我的密钥与服务器。 这是我困惑的事情: Security Association我试图做Key Exchange但我不知道是否在密钥交换中,我应该发送我的编码PSK,或我使用Diffie-Hellmanalgorithm生成的数字? 另外DH如何与PSK一起工作? 如果我理解正确的话,服务器和客户端应该有不同的数字,双方从一开始就知道它们生成SecretPassword,那么它对PSK是如何工作的呢? 密钥交换后的Identification如何工作? 是发送我的PSK编码的SecretPassword之前生成或什么? 因为据我所知用户名和密码后来检查,或者我错了吗?
我有一个支持站点到站点IPSec的无线网关。 我已经使用/etc/ipsec.conf在Ubuntu Server 12.04(隧道的左侧)configuration了openswan: version 2.0 config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off protostack=netkey conn net-to-net authby=secret left=192.168.0.11 leftsubnet=10.1.0.0/16 leftsourceip=10.1.0.1 right=%any rightsubnet=192.168.127.0/24 rightsourceip=192.168.127.254 auto=add 我已经类似地configuration了无线网关(隧道的右侧)。 我正在使用主模式(不是主动模式)IKE阶段1,但它看起来像它失败之前,它进入阶段2.任何想法,为什么? 这里是tcpdump的输出: # tcpdump -vv -i eth0 udp port 500 or udp port 4500 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 00:11:26.042928 IP (tos 0x0, ttl 235, id […]
我需要从Debian Squeeze服务器build立一个L2TP VPN连接。 我拥有的是: 服务器IP地址 共享密钥 我的用户名和密码 只要使用这3个参数,我就可以从我的Mac OSX电脑的“ 系统偏好设置”的“ networking”面板中build立VPN连接。 在Google上search后从Debian连接; 我结束了一个“Openswan(IpSec)+ XL2TP”解决scheme(如果你有更好的select,我也可以尝试)。 然而,从Debian(通过使用openswan + xl2tp)连接涉及configuration数十个参数,不幸的是,VPN的系统pipe理员对我所要求的参数没有任何的想法。 他拼命地声称,“它在iphone / android / osx上工作,所以它应该在Linux上工作。” 不幸的是他是对的。 我想问的是: openswan + xl2tp是用于此目的的最简单有效的解决scheme吗? 由于从OSX计算机连接成功,有没有人可以突出未显示但使用的OSX VPN连接参数? 或者有什么方法可以展示他们?
我目前正在尝试设置一个VPN,以便login到AWS上托pipe的私有子网。 目标主机有Ubuntu 14.04并安装了OpenSwan。 我已经安装了ipsec.conf,ipsec.secrets,xl2tpd.conf,options.xl2tpd和chap-secrets,目前ipsec和xl2tpd正在服务器上运行。 ipsecvalidation将不会返回错误。 我在Mac OS X上创build了一个指向弹性IP(连接到VPN实例的54.187.107)的PSK会话,粘贴了共享密钥,但是当试图用我的用户和密码login时,我将得到一个“ L2TP-VPN服务器没有回应“ 当检查日志时,我会得到这些: Myterminal#tail /var/log/ppp.log 5月16日15:46:22 2014:L2TP连接到服务器'54。187.107.160'(54.187.107.160)… 5月16日星期五15:46:22 2014:启动IPSec连接 5月16日星期五15:46:23 2014:build立IPSec连接 5月16日星期五15:46:43 2014:L2TP无法连接到服务器 Myterminal#tail /var/log/system.log 浣熊[530]:IKEv1信息 – 通知:传输成功。 (删除ISAKMP-SA) racoon [530]:glob找不到匹配的path“/var/run/racoon/*.conf” racoon [530]:pfkey DELETE失败:没有这样的文件或目录 浣熊[530]:连接。 浣熊[530]:未知收到信息交换。 此外,我已经使用tcpdump和检查端口1701,4500和500.只有1701没有收到数据包/数据。 如果您需要configuration文件的更多信息,请让我知道,已经过了几天,仍然无法访问服务器。 我的道歉,如果该职位缺乏一个适当的代码格式,我目前正在学习如何做到这一点。 问候
我在openswanconfiguration中遇到问题。 在路由表中,在连接到服务器之后,在客户端上创build以下行: Dest mask Gateway Conn Metric 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.102 4245 0.0.0.0 0.0.0.0 Kapcsolaton belüli 172.22.1.10 21 Server: Public IP: 100.100.100.100 DHCP Pool: 172.22.1.10-172.22.1.20 Client: behind router : – router WAN IP: 200.200.200.200 – router LAN IP: 192.168.1.1 – client IP: 192.168.1.102 “ipsecvalidation”无处不在说好,除了:机会encryption支持[禁用](但我不相信这是问题…) 日志logging在debugging模式下运行。 这是我的auth.log。 这些线路是在连接正在进行时创build的。 May 23 21:19:12 <server hostname> pluto[10384]: "L2TP-PSK-NAT"[2] 200.200.200.200 […]
我有一个安装了openswan的linux(netkey)实例,实例有两个连接到相同的IPSec对等体,需要充当冗余连接。 两个连接的属性是相同的(除了对方的IP地址和正确的ID)… ipsec版本是Linux Openswan U2.6.37 / K3.2.0-65-generic(netkey) conn con1 dpdtimeout=25 salifetime=28800s overlapip=yes ike=aes128-sha1 rightsubnets=172.28.0.0/24 dpddelay=30 leftid=<linux box id> pfs=no rightid=<peer's id> leftsubnets=172.28.2.0/24 phase2alg=aes128-sha1 dpdaction=restart_by_peer auto=ignore forceencaps=yes keyingtries=3 left=<linux ip> ikelifetime=86400s right=<peer's public IP A> conn con2 dpdtimeout=25 salifetime=28800s overlapip=yes ike=aes128-sha1 rightsubnets=172.28.0.0/24 dpddelay=30 leftid=<linux box id> pfs=no rightid=<peer's id> leftsubnets=172.28.2.0/24 phase2alg=aes128-sha1 dpdaction=restart_by_peer auto=ignore forceencaps=yes keyingtries=3 left=<linux […]
我正在使用libreswan在两台Centos 7服务器之间configuration一个“子网到子网VPN”。 每个服务器都有两个nic,如下图所示。 我会允许子网172.18.0.0/16和172.19.0.0/16之间使用172.17.0.0/16networkingbuild立一个VPN的安全通信,但我有问题,允许这两个子网之间的stream量。 我遵循https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Securing_Virtual_Private_Networks.html#Site-To-Site_VPN_Using_Libreswan中的redhat官方文档 其实我在两个节点上都停止了firewalld。 我检查了IPSec的先决条件: [root@node2 ~]# ipsec verify Verifying installed system and configuration files Version check and ipsec on-path [OK] Libreswan 3.8 (netkey) on 3.10.0-123.el7.x86_64 Checking for IPsec support in kernel [OK] NETKEY: Testing XFRM related proc values ICMP default/send_redirects [OK] ICMP default/accept_redirects [OK] XFRM larval drop [OK] Pluto ipsec.conf syntax [OK] […]
有一个典型的主机来托pipe传输模式ipsecconfiguration, conn appserver01-to-swift01 [email protected] left=10.133.176.246 leftrsasigkey=xxxxxxxxxxxxxxxxxxxxxxxx [email protected] right=10.133.176.111 authby=rsasig rightrsasigkey=xxxxxxxxxxxxxxxxxxxxxxx # load and initiate automatically auto=start 有没有办法使这个多对一/多对多的连接? 我在同一局域网上有多台主机,我用这个来获得两台主机之间的encryptionstream量,如果我添加更多的主机,我是否需要添加更多的主机到主机或是否可以这样做: conn mytunnel left=192.168.56.120 leftcert=leftcert.pem right=%any rightrsasigkey=%cert rightca="C=KE, O=Mycompany, OU=mydepartment, CN=*" auto=add 使用证书authentication? 我尝试了这样的事情,但是正确的说 We cannot identify ourselves with either end of this connection. 左边说: cannot initiate connection without knowing peer IP address 从我看到的一些文档(见右=%任何 ),我认为这是可能的,但经过尝试和失败,即时通讯认为它不可能, 红帽 ,所以有可能让单个configuration接受任何客户端呈现有效的X .509证书不pipe其IP地址如何? […]