我正在build立一个将在美国和欧洲有用户的网站。 我在美国东部地区build立了亚马逊虚拟私有云 (VPC),在欧洲西部地区build立了另一个VPC。 我还为Amazon Route 53 DNSconfiguration了基于延迟的选项,以便将用户引导到最近的VPC。 大多数请求将在本地提供,但对于某些请求,应用程序服务器将需要在其他区域提取一些数据。 更确切地说,我的网站将允许用户互相发送消息,虽然大多数消息可能会停留在同一个区域,但有些用户偶尔会向其他地区的用户发送消息。 所以需要在VPC之间进行一些沟通。 我可以看到4个选项: 如果亚马逊有一个select,通过VPN透明和安全地连接不同地区的VPC,这将是理想的。 但是我没有看到这个select在任何地方(这是2013年3月)。 我错过了什么吗? 这是他们的路线图吗? 我可以在两个VPC之间build立自己的VPN连接。 为了实现冗余,我需要在美国至less有两台虚拟机,在欧洲需要两台虚拟机,并在这些虚拟机上设置OpenVPN。 我担心吞吐量和延迟会受到影响,另外4台虚拟机pipe理(和支付)。 我可以configuration我的应用程序服务器来打开Internet上的数据库连接。 我将不得不使用SSL连接的安全性和设置一些身份validation和防火墙。 恐怕SSL连接对性能不利,除非我使用一些池塘来保持它们的活性。 我可以实现web服务,并让应用服务器通过这些web服务获取所需的数据。 通信必须是HTTPS。 这看起来比scheme3更清洁,但同时又复杂得多。 坦率地说,我不确定这是否值得麻烦。 你会推荐什么解决scheme? 任何其他的想法? 谢谢
我正在一个不同的国家与承包商合作。 我们需要一些方法使用点对点VPN将他的机器添加到本地networking。 不幸的是,Hamachi虽然使用非常简单,但在使用Windows 7时会产生稳定性问题。 什么是我们使用最好的方法?
请原谅我的缺乏经验。 我设法build立一个单一的客户端和服务器之间的VPN连接。 目前我正在运行Server 2008 R2的虚拟机中进行testing(暂时因为我已经安装了磁盘)。 每台虚拟机都在远程位置,并拥有自己的IP地址。 (我正在远程)。 现在发生的事情就是我能够毫无问题地从客户端Ping VPN Server。 一旦我尝试pingnetworking上的其他设备(比如服务器是192.168.1.2,其他设备是192.168.1.3),我正在请求超时。 tracert将数据包通过VPN路由到10.8.0.1的虚拟网关。 另外我无法从服务器ping到客户端。 即ping 192.168.2.3 以下是一个简单的拓扑。 [networking1]在192.168.1.2 192.168.1.0 |上承载服务器 255.255.255.0 [Network 2] client 192.168.2.3 192.168.2.0 | 255.255.255.0 [VPN Server] 10.8.0.1 10.8.0.0 | 255.255.255.0 所以基本上从客户端运行tracert我越来越… 1 30ms 40ms 20ms首页[10.8.0.1] 2 * * *请求超时。 等等… 这意味着数据包到达服务器,但不在同一networking上从服务器路由到机器。 我意识到可能有几个问题,所以即使方向将不胜感激。 openvpn日志只是显示ipv6路由警告,但我不使用ipv6,所以我假设这可以被忽略。 我使用本教程来设置服务器和客户端http://www.smallnetbuilder.com/security/security-howto/30353-how-to-set-up-a-site-to-site-vpn-with-openvpn? SHOWALL =&开始= 1
我们有一个服务器,是运行在一个单一的公共IP地址的VPS的Windows 2008。 我configuration了防火墙,允许在远程站点上与我们的Draytek路由器build立IPSEC VPN连接,并且VPS将其专用IP地址作为NIC上的备用IP地址添加。 从terminal位置(192.168.160.x),我可以ping通VPS 192.168.180.10的内部IP地址,没有任何问题,但是除非设置了源标志,否则从VPS发出的任何ping都不能通过VPN正确路由。 因此,ping 192.168.160.10无法正常工作(路由表明它将通过公共IP而不是selectVPN),但“ping -S 192.168.180.10 192.168.160.10”完全按照预期工作。 试图build立一个静态路由,但是这只是因为只有一个接口可以select。 也尝试通过回送适配器添加服务器的私有IP地址,但是我无法使用ping -S 192.168.180.10 8.8.8.8(例如)获得任何stream量到互联网。 有没有人有任何build议让Win2008正确设置隧道连接的源IP?
我已经build立了linux(debian)和mikrotik路由器之间的站点到站点ipsec连接。 隧道已经到了 linuxconfiguration: config setup interfaces=%defaultroute keep_alive=60 plutodebug=all plutostderrlog=/var/log/pluto.log nat_traversal=yes protostack=netkey oe=off conn sitetosite left=10.0.0.249 #local gateway leftsubnets=10.0.0.0/24 leftid=xxx.xxx.xxx.xxx #linux external IP leftsourceip=10.0.0.249 right=yyy.yyy.yyy.yyy #mikrotik external IP rightsubnets=10.111.11.0/24 rightid=yyy.yyy.yyy.yyy pfs=yes type=tunnel forceencaps=yes authby=secret auto=start Linux防火墙规则不能在这两个子网之间伪装: iptables -t nat -A -s 10.0.0.0/24 ! -d 10.111.11.0/24 -j MASQUERADE 在mikrotik我有类似的规则。 问题是我无法从Mikrotik LAN客户端ping 10.0.0.249(Linux局域网网关) 有任何想法吗 ?
我正在使用libreswan在两台Centos 7服务器之间configuration一个“子网到子网VPN”。 每个服务器都有两个nic,如下图所示。 我会允许子网172.18.0.0/16和172.19.0.0/16之间使用172.17.0.0/16networkingbuild立一个VPN的安全通信,但我有问题,允许这两个子网之间的stream量。 我遵循https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Securing_Virtual_Private_Networks.html#Site-To-Site_VPN_Using_Libreswan中的redhat官方文档 其实我在两个节点上都停止了firewalld。 我检查了IPSec的先决条件: [root@node2 ~]# ipsec verify Verifying installed system and configuration files Version check and ipsec on-path [OK] Libreswan 3.8 (netkey) on 3.10.0-123.el7.x86_64 Checking for IPsec support in kernel [OK] NETKEY: Testing XFRM related proc values ICMP default/send_redirects [OK] ICMP default/accept_redirects [OK] XFRM larval drop [OK] Pluto ipsec.conf syntax [OK] […]
我们希望在DataCentre中放置一个文件服务器,允许用户在家时上传/下载文件。 由于我们有数百个用户,并希望让用户使用我们办公室中的现有广告进行身份validation。 基本上,我将设置IIS服务器,以允许用户根据用户组列出文件服务器中的各个目录。 例如,组A将具有D:\ Files \ A列表,并且组B将具有D:\ Files \ B …等列表。 经过一些初步的研究,我发现基于PPTP的站点到站点VPN可能适合我们做authentication部分的需要,但我仍然不知道如何让他们上传文件到服务器。 是否有任何build议,如更好的select(authentication或上传部分)或任何我需要小心的地方? 先谢谢你。
我试图find一种方法来设置一个双向的L2L IPSec隧道,但对于双方都有不同的组策略filterACL。 我有以下过滤ACL设置,应用,并在我的隧道组: access-list ACME_FILTER extended permit tcp host 10.0.0.254 host 192.168.0.20 eq 22 access-list ACME_FILTER extended permit icmp host 10.0.0.254 host 192.168.0.20 根据文档,VPNfilter是双向的,您总是首先指定远程主机(10.0.0.254),然后根据文档指定本地主机和(可选)端口号。 但是,我不希望远程主机能够访问我的本地主机的TCP端口22(SSH),因为不需要这样做 – 只有主机访问远程主机的SFTP服务器的要求,反之亦然。 但是由于这些filterACL是双向的,因此第1行也允许远程主机访问我的主机的 SSH服务器。 我正在阅读的文件似乎并不清楚,如果这是可能的; 帮助/澄清非常赞赏。
如何解决通过MPLS电路的站点到站点VPN隧道性能低下的问题? 我应该看的是什么相关的报告/统计数据? 背景:我支持用于连接过程控制networking(PCN)两端的站点到站点VPN的一端。 PCN通过也提供VPN端点的瞻博networkingSRX / SSG防火墙与企业/企业networking分离。 最初网站之间的业务networking连接到一个AT&T GigaMAN连接,据我所知这是一个城域以太网服务的品牌名称。 一个站点是主站点(我的)的一个子站点,任何stream量都需要从该子站点通过主站点前往另一个公司站点,然后再路由到公司的其他站点。 部分原因在于成本,另一部分是为了获得更高的可靠性,城域以太网被分支networking中与公司MPLS相连的T3电路所取代。 主要网站已经与公司其他部门进行了MPLS。 VPN的一个用途是在站点之间调度文件传输,并且由于在子站点切换到MPLS,我们将会有传输间歇超时。 我不控制公司局域网或广域网,只是PCN,所以我必须通过另一个小组来find根源,但不知道正确的问题。
站点到站点的IPSEC vpn是否需要一直保持与keepalive的连接/隧道,还是有可能只在需要的时候encryption数据包(当它匹配路由或类似的东西时)?