服务器 Gind.cn

Articles of openswan

在AWS隧道上build立Openswan IPSec VPN,但没有stream量

我正在使用AWS / VPC / EC2 / Centos7 / Libreswan与电信公司build立隧道,并且一直停留数周。 感谢任何帮助! 我有192.168.16.73(VPN GW,EIP 52.76.xx)和192.168.16.116(encryption域服务器)。 隧道似乎已经起来,但无法得到任何ping响应。 我认为ping的stream量根本就没有通过隧道。 我已经做了这些。 1.在VPN GW上禁用源/目的地检查 2.在我的VPC路由表上,我添加了Target = VPN GW GW 192.100.86.0/24 tcpdump -n icmp (同时从192.168.16.116 ping到192.100.86.69) tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 17:32:04.926003 IP 192.168.16.116 > […]

OpenSwan IPSec日志说明

我正在尝试了解IPSec日志。 如果有人能够帮助我理解我所寻找的主要事情以及如何解决任何ipsec问题,那将是非常好的。 有人可以帮助我想象这个IPSec隧道是如何build立起来的 我非常想知道这个位:166.83.21.33 == [114.23.239.222] <4500> <—–> [210.54.48.233] == 166.83.0.0 SNAT:166.83.21.33 公开IP:114.23.239.222 公共ip的最后一个:210.54.48.233 166.83.0.0 – ?? Tunnel Id=35180 State=STATE_QUICK_R2 – ISAKMP Header, Connected Notification 166.83.21.33==[114.23.239.222]<4500><—–>[210.54.48.233]==166.83.0.0 Connection argument used: –name tun35180 –id 114.23.239.222 –host 114.23.239.222 –client 166.83.21.33/255.255.255.255 –nexthop 114.23.3.254 –updown /lib/ipsec/_updown –to –id 210.54.48.233 –host 210.54.48.233 –client 166.83.0.0/255.255.0.0 –pfs –pfsgroup=modp1024 –esp=aes128-sha1 –ipseclifetime=10800 –ikelifetime=14400 –keyingtries=5 –encrypt […]

到Azure网关的OpenSwan IPsec隧道已build立,但无法连接

我正在尝试在我的本地中心和Azure中的VPN之间build立一个IPsec隧道。 我在Ubuntu Lucid盒子上设置了OpenSwan 2.6.23,而我的盒子在NAT后面。 ipsec.conf文件 config setup nat_traversal=yes protostack=netkey interfaces=%defaultroute klipsdebug=none plutodebug=none conn to-azure authby=secret auto=start type=tunnel left=10.0.210.22 leftid=<my-public-ip> leftnexthop=%defaultroute leftsubnet=10.0.210.0/24 right=<azure-gateway-public-ip> rightsubnet=10.13.0.0/16 rightnexthop=%defaultroute ike=aes256-sha1-modp1024 ikev2=insist phase2=esp phase2alg=aes256-sha1 pfs=no ipsec.secrets <my-public-ip> <azure-gateway-public-ip>: PSK "supersecurepassword" 这是我启动ipsec时收到的信息,据我所知,它显示隧道已经build立。 000 "to-azure": 10.0.210.0/24===10.0.210.22<10.0.210.22>[<my-public-ip>,+S=C]—10.0.210.3…10.0.210.3—<azure-gateway-public-ip><<azure-gateway-public-ip>>[+S=C]===10.13.0.0/16; erouted; eroute owner: #2 000 "to-azure": myip=unset; hisip=unset; 000 "to-azure": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: […]

VPN iptables转发:networking到networking

我试图去看看这个网站的其他地方,但我找不到任何匹配这个问题的东西。 现在我的本地networking和远程networking之间有一条ipsec隧道。 目前,运行Openswan ipsec并打开隧道的本地盒可以ping远程ipsec盒和远程networking中的任何其他计算机。 login到远程计算机时,我可以ping任何本地networking中的盒子。 这是什么工作,这是什么不: 我不能通过不是ipsec框的本地机器ping任何远程计算机。 以下是我们的networking图: [local ipsec box] ———-\ \ [arbitrary local computer] –[local gateway/router] — [internet] — [remote ipsec box] — [arbitrary remote computer] 本地ipsec盒和任意本地计算机没有直接联系,而是通过网关/路由器进行通信。 路由器已经被设置为将来自本地计算机的远程子网的请求转发到ipsec框。 这工作。 问题是ipsec盒不转发任何东西。 每当任意一台本地计算机在远程子网上ping一些东西时,就是这样的回应: [user@localhost ~]# ping 172.16.53.12 PING 172.16.53.12 (172.16.53.12) 56(84) bytes of data. From 10.31.14.16 icmp_seq=1 Destination Host Prohibited From 10.31.14.16 icmp_seq=2 Destination Host […]

使用openswan在Centos 6上configurationipsec vpn隧道(networking与带有预共享密钥的IKEnetworking)

我将Cisco Linksys路由器configuration为VPN网关(networking到networking): 现在我想用openswan在Centos 6上同样configurationipsec VPN。 我在互联网上看,但没有运气(有一些教程,但它们不类似于我的情况,或过时的ipsec工具和centos 4)。 阅读openswan的人只会给我头痛()。 在远程站点有一些检查点设备(我所知道的关于configuration的这个截图是来自Linksys面板的,已经configuration好的VPN隧道)。 我不是谷歌黑客,但知道如何使用它,也许有一些教程,将帮助我,但没有find它自己。 我已经安装openswan,但如果有更好的软件和解决scheme(在Centos上),我不介意使用它。 编辑1:阅读MadHatter的answare后,我开始combinig与不同的configuration…我迷路了…我想我给了less量的信息。 所以首先从Linksys Manager VPN gatwey截图到gatey站点: 在“本地组设置”一节中:IP为灰色框(IP地址d.168.1.67)为ip,我认为Linksys从远端的Checkpoint获取,不可能更改该参数。 接下来是白色框中的IP地址(e.199.1.0 / 24),这是我的本地networking。 在“远程组设置”一节中:IP地址abc4是远端检查点的公共IP。 在第三部分有ipsec隧道连接的参数。 这是第二个屏幕,我不知道这是重要的,但我粘贴它无论如何: 广域网1的IP是一个检查站给我的。 局域网是本地networking中Linksys的简单地址。 使用这些屏幕和Mad的answare,我在/etc/ipsec.conf中写下这个ipsecconfiguration: #/etc/ipsec.conf – Openswan IPsecconfiguration文件 # #手动:ipsec.conf.5 # #请将您自己的configuration文件放在/etc/ipsec.d/结尾以.conf结尾 # #version 2.0#符合ipsec.conf规范的第二个版本 #基本configuration configuration设置 #debugging日志logging控件:“无”为(几乎)没有,“全部”为很多。 #klipsdebug =无 #plutodebug =“控制分析” ##对于Red Hat Enterprise Linux和Fedora,请保留protostack = netkey #protostack = netkey #nat_traversal =是 […]

Openswan ipsec传输隧道不上去

在ClusterA和BI上,在Debian Squeeze上安装了“openswan”软件​​包。 ClusterA ip是172.16.0.107,B是172.16.0.108 当他们互相ping通时,它不会到达目的地。 /etc/ipsec.conf: version 2.0 # conforms to second version of ipsec.conf specification config setup protostack=netkey oe=off conn L2TP-PSK-CLUSTER type=transport left=172.16.0.107 right=172.16.0.108 auto=start ike=aes128-sha1-modp2048 authby=secret compress=yes /etc/ipsec.secrets: 172.16.0.107 172.16.0.108 : PSK "L2TPKEY" 172.16.0.108 172.16.0.107 : PSK "L2TPKEY" 这是两台机器上的ipsecvalidation结果: root@cluster2:~# ipsec verify Checking your system to see if IPsec got installed and started […]

如何为Openswan和RouterOS之间的IPSEC隧道configuration路由

我试图在运行openswan和shorewall (主机A ,服务子网10.10.0.0/16)的Linux路由器和运行RouterOS 6.3 (主机B ,服务192.168.88.0/24)的MikroTek RouterBoard之间创build站点到站点VPN )。 主持人A说:IPSEC隧道本身似乎是起来的, # service ipsec status IPsec running – pluto pid: 4292 pluto pid 4292 1 tunnels up some eroutes exist 和: #ipsec auto –status <SNIP> 000 #2: "office-connect":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 27422s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate 000 #2: […]

两个与StrongSWAN / OpenSWAN具有相同的权限的隧道

我正在尝试为Google Cloud VPN设置“Option 3”configuration,左边是两个Google Cloud VPN网关,右边是StrongSWAN或OpenSWAN: 如果您有两个对等VPN网关和两个计算引擎VPN网关,则每个计算引擎VPN网关都可以有一个指向每个对等VPN网关公共IP的隧道,从而为您提供VPN网关之间的四个负载均衡隧道,从而可能增加4倍的带宽。 问题是,据我所知,在主动/主动configuration(两个服务通道的隧道)中都要求这两个对等网关具有相同的rightsubnet ,这导致第二个隧道与“正在使用的路由”一起被rightsubnet : Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google1" Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google2" Sep 14 15:44:02 test-vpn ipsec: 003 "google2": cannot route — route already in use for "google1" Sep 14 15:44:02 test-vpn ipsec: 025 "google2": could not […]

FortiGate IPsec VPN:configuration多个2阶段连接(多个子网)

我正在尝试使用OpenSwan与FortiGate路由器进行IPsec连接。 FortiGate位于两个不同的子网上,我需要访问它们两个。 在FortiGate中,我定义了一个阶段1连接和一个阶段2连接。 这使我能够成功连接到其中一个子网。 我需要能够同时访问两个子网。 接收到的看法似乎是在OpenSwan中创build两个独立的连接(每个子网一个),并在build立额外的连接时自动尝试重新使用现有的第1阶段隧道(为其他连接创build新的第2阶段隧道时)。 当我调出两个连接时,根据日志,OpenSwan似乎陷入了连续循环,试图依次重新协商每个连接(我一次只能ping一个子网)。 我猜测这是因为FortiGate在尝试新的连接时会丢弃现有的连接。 我有以下问题: 我应该如何configurationFortiGate允许来自同一个IPsec发起者的两个并发连接(每个子网一个连接)? 这甚至有可能吗? (这个文件似乎有点模糊。) 我是否需要将FortiGate中的第二阶段连接专门关联到特定的子网?如果是的话,我该怎么做呢? 在同一端点之间进行多个IPsec VPN连接时,是否有任何问题/疑难杂症?

openswan多个子网路由问题

我试图在CentOS 6.5(最后)上安装一个OpenSwan(2.6.32)来连接Amazon云上的远程VPC网关。 我得到了隧道。 但是,只有来自/到达在leftsubnets中定义的最后一个ip范围的stream量才被路由。 第一个短暂的工作(也许在第二个隧道之前),然后没有更多的路由。 以下是我的configuration。 conn aws-vpc leftsubnets={10.43.4.0/24 10.43.6.0/24} rightsubnet=10.43.7.0/24 auto=start left=206.191.2.xxx right=72.21.209.xxx rightid=72.21.209.xxx leftid=206.191.2.xxx leftsourceip=10.43.6.128 authby=secret ike=aes128-sha1;modp1024 phase2=esp phase2alg=aes128-sha1;modp1024 aggrmode=no ikelifetime=8h salifetime=1h dpddelay=10 dpdtimeout=40 dpdaction=restart type=tunnel forceencaps=yes 启动IPsec服务后: # service ipsec status IPsec running – pluto pid: 8601 pluto pid 8601 2 tunnels up some eroutes exist # ip xfrm policy src 10.43.6.0/24 […]
Intereting Posts
为什么DNS服务器不能parsing任何以.io结尾的域? 哪台机器要备份Active Directory? SQL服务器端口在客户机上被阻塞 权限被拒绝根改变max_user_watches,怎么解决这个问题? 数百万个小文件的块大小 跨不同媒体的多WAN键合 服务器每隔5分钟发送一次垃圾邮件 – 无法find导致此问题的任务/ cron 是否有像Gmail一样的用户体验的邮件服务器/客户端软件? 为什么我的SSL证书在Android上不受信任? Bash脚本创build大量的目录系列 傀儡服务不停止服务 Vmware ESXi安装错误“多重引导无法设置video子系统” Unix命令从我的服务器下载文件? Zend Framework的mod_pagespeed提供了404 使用BIND实现辅助DNS服务器的最佳方法