这是我第一次尝试在站点到站点的VPN。 我select使用IPec,因为它似乎是我需要完成的最佳解决scheme。 上周我已经跟随了几个不同的教程,取得了一些成功。 现在,当ping相反的子网时,我似乎无法获得成功。 我知道我错过了什么,我只是不知道是什么。 最好我可以告诉,我应该在路线表中看到一些东西。 现在,stream向另一个子网的stream量不会被封装,而是被在不可路由的私有IP目的地上的第一个路由器丢弃。 我试过把MASQUERADE和RELATED,ESTABLISHED规则添加到iptables中,思考可能会有所帮助。 我最终冲淡了这个想法。 现在,iptables的默认策略是在两个Ubuntu盒子的所有链上接受。 当IPsec正在工作时,我会调整一些东西。 从“服务ipsec状态”输出 IPsec running – pluto pid: 1059 pluto pid 1059 1 tunnels up some eroutes exist /etc/ipsec.conf在这两个站点上 version 2 config setup dumpdir=/var/run/pluto/ nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v6:fd00::/8,%v6:fe80::/10 protostack=netkey force_keepalive=yes keep_alive=60 conn site1-site2 leftsubnets=10.248.248.64/16 rightsubnet=10.131.250.194/16 auto=start left=162.243.XXX.XXX right=178.62.YYY.YYY leftid=@site1 rightid=@site2 authby=secret ike=aes128-sha1;modp1024 phase2=esp phase2alg=aes128-sha1;modp1024 aggrmode=no ikelifetime=8h salifetime=1h dpddelay=10 […]
我已经成功build立了一个IPsec连接,但它只能部分工作。 一方不通过隧道发送数据包。 似乎networking拓扑结构对这方面还不清楚。 任何帮助,高度赞赏! 谢谢!! 这是networkingscheme: "office"(192.168.73.0/24) == "vpn"(192.168.73.1) == "router"(6.6.6.6) <====> "server"(7.7.7.7) == "VM_LAN"(192.168.133.0/24) 6.6.6.6和7.7.7.7是符号公共IP,即“路由器”和“服务器”都直接连接到互联网。 “vpn”和“server”都运行CentOS 6.“router”是一个电缆调制解调器,用来做NAT和端口转发。 连接build立。 在“VPN”我可以ping“服务器”的内部IP: [root@vpn]# ping 192.168.133.1 PING 192.168.133.1 (192.168.133.1) 56(84) bytes of data. 64 bytes from 192.168.133.1: icmp_seq=1 ttl=64 time=74.8 ms 在“服务器”我不能ping“vpn”,甚至没有发送一个数据包。 以下是来自“服务器”的一个转储,显示上面的ping数据包进来。我使用相同的命令来testing数据包是否从“服务器”发送到“vpn”,从“服务器”ping时,但没有数据包显示。 [root@server]# tcpdump port 500 or port 4500 tcpdump: verbose output suppressed, use -v or -vv […]
我最近configuration了一个AWS EC2托pipe的VPN服务器。 详细信息:Centos 6.4,openswan,xl2tpd,NAT遍历。 当只有一个用户连接到NAT后面的给定公共IP地址时,该configuration对于情况非常有用。 但是当同一个NAT后面有多个客户端时,每一个新的客户端连接都会丢弃旧的客户端 查看日志,我可以得出结论:l2tp将所有连接从同一个nat作为一个连接。 我错过了什么吗? 有解决scheme吗? 非常感谢您的帮助。
我在Ubuntu 12.04服务器上(在EC2上)configuration了openswan和xl2tpd,通过遵循各种 教程 / 文档 ,似乎在很大程度上说相同的东西,但最近这一个 。 但是,我尝试从Windows(我用共享密码和用户名/密码configuration)连接失败。 日志build议build立IPsec隧道,但没有任何反应。 这里是数据包转储和日志活动(没有发生在syslog中,所以没有iptables日志消息): $ sudo tcpdump -n host 64.236.139.254 and not port 22 21:00:49.843198 IP 64.236.139.254.26712 > 10.252.60.213.500: isakmp: phase 1 I ident 21:00:49.844815 IP 10.252.60.213.500 > 64.236.139.254.26712: isakmp: phase 1 R ident 21:00:49.928882 IP 64.236.139.254.26712 > 10.252.60.213.500: isakmp: phase 1 I ident 21:00:49.930819 IP 10.252.60.213.500 > 64.236.139.254.26712: […]
我正在尝试做的是在我的networking和我朋友的networking之间创build一个站点到站点的IPsec VPN。 我们在每台路由器上都有一台路由器和两台计算机,所有计算机都运行Linux。 所以我猜想拓扑看起来像这样 [myPC1 + myPC2] — myRouter ——互联网—– hisRouter — [hisPC1 + hisPC2] 两台路由器都很便宜,所以它们没有像OpenWRT那样的东西。 所以configuration – 我想这应该在Linux的双方完成。 到目前为止,我们已经尝试过使用RSA密钥和PSK的openSwan,但在命令之后 ipsec auto –up net-to-net 我们要么得到错误“没有连接命名为networking到networking”或错误“我们无法确定自己与这个连接的任何一端”。 我想我们正在configurationipsec.conf文件错误。 有人能解释一下,我们应该如何正确configuration它来实现这种拓扑结构? 编辑… 这里有一些事实可能会帮助你更好地理解我的情况。 这些都来自我们testing的PSK例子。 我的ifconfig: eth0 Link encap:Ethernet HWaddr 00:0C:29:1B:F5:1C inet addr:192.168.1.78 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::20c:29ff:fe1b:f51c/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:829 errors:0 dropped:0 overruns:0 […]
尝试设置坐在Amazon VPC群集中的基于openswan的服务器。 我们的目标是为了让我们可以VPN到VPC,并让我们的工作站就像在networking上一样,更像是一个roadwarriorconfiguration。 我们的VPN客户端selectEquinux VPN Tracker( http://equinux.com/us/products/vpntracker/ )用于Mac OS X.我们已经使用它来通过基于硬件的VPN连接到我们现有的networking,并希望只是继续用它连接到我们的VPCnetworking。 到目前为止,我已经设置了可以成功连接到在VPC中运行的openswan服务器的位置,但是我只能ping到openswan服务器的内部IP。 我无法与networking上的其他任何人交谈。 我可以运行tcpdump并看到ping请求显示,但是他们从来没有把它交给另一个主机。 我的第一个想法是,它与EC2实例只有一个networking接口有关,但是我已经build立了一个OpenVPN连接,但没有问题,尽pipe他们通常使用隧道设备,但我还没有真正find与隧道或单个界面openswan。 任何帮助将不胜感激。 一些configuration: VPC Subnet: 10.10.1.0/24 VPC Gateweay: 10.10.1.1 Openswan Private IP: 10.10.1.11 Openswan Public IP: xxx.xxx.xxx.xxx Openswanconfiguration: version 2.0 config setup interfaces=%defaultroute klipsdebug=none plutodebug=none dumpdir=/var/log nat_traversal=yes virtual_private=%v4:10.10.1.0/24 conn vpntracker-psk left=%any leftsubnet=vhost:%no,%priv right=10.10.1.11 rightid=xxx.xxx.xxx.xxx rightsubnet=10.10.1.0/24 rightnexthop=10.10.1.1 auto=add authby=secret dpddelay=40 dpdtimeout=130 dpdaction=clear pfs=yes […]
问题 我在Linux服务器(Ubuntu 12.04)上configurationOpenSWAN以连接到ISA Server 2004 IPSec VPN相当困难。 在configuration上显然有些问题阻碍了隧道的工作。 看起来我的一些数据包在某处丢了? 我不确定。 对方说他们身边的日志没有错。 我身边没有防火墙。 下面是/var/log/auth.log的冒犯部分(下面的更长的版本)。 Jan 29 17:28:11 P-INV-SD07 pluto[5821]: "myconn" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3 Jan 29 17:28:11 P-INV-SD07 pluto[5821]: "myconn" #1: STATE_MAIN_I3: sent MI3, expecting MR3 Jan 29 17:28:12 P-INV-SD07 pluto[5821]: "myconn" #1: discarding duplicate packet; already STATE_MAIN_I3 Jan 29 17:28:34 pluto[5821]: […]
背景 我现在有一个可以正常工作的OpenVPN设置,用户可以在家里用他们的电脑连接私人networking。 然而,大多数手机只支持IPSec,所以我想为IPSec手机提供相同的服务,就像我使用OpenVPN的计算机一样。 问题 我找不到任何教程介绍如何configurationOpenSWAN为客户端提供私有IP。 使用我的OpenVPN,客户端必须提供密钥和密码才能访问。 题 OpenSWAN可以configuration为给客户端一个私有IP,类似于我的OpenVPN设置? OpenVPNconfiguration port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/secrets/server.crt key /etc/openvpn/secrets/server.key dh /etc/openvpn/secrets/dh1024.pem server 192.168.240.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 10.10.64.0 255.255.252.0" push "dhcp-option DNS xxx.xxx.xxx.xxx" duplicate-cn keepalive 10 120 comp-lzo user openvpn group openvpn persist-key persist-tun status /var/log/openvpn-status.log log-append /var/log/openvpn.log verb 4 mute 20 […]
searchIPSec和Linux不可避免地会遇到不同的解决scheme(见下文),这些解决scheme看起来都很相似。 问题是: 区别在哪里? 我find了这些项目。 他们都是开源的,都是主动的(在过去3个月内都有发布),他们似乎都提供了非常相似的东西。 strongSwan Openswan也 Libreswan 另外:还有其他项目,我没有遇到? ( strongswan vs openswan是一样的,但显然已经过时了。)