我有问题与所有的Windowsstream量彻底的OpenVPN隧道,并试图解决这个问题几个小时。 然而,大多数意见并没有帮助我的情况。 我在两台Windows机器上成功安装了OpenVPN。 服务器和客户端networking之间通过静态路由相连,并可以相互ping通。 Windows防火墙已closures。 连接成功build立(我可以从OpenVPN GUI看到它)。 问题是通过OpenVPN隧道路由所有stream量。 当我尝试从VPN客户端访问服务器(不是OpenVPN服务器,只是另一个用于testing连接的networking中的服务器)时,可以看到客户端的Wiresharkstream量不通过OpenVPN服务器,只是直接去所需的服务器。 所以,在wireshark看起来这样: 192.168.3.10 – 192.168.4.10 HTTP 192.168.4.10 – 192.168.3.10 HTTP 据我了解,如果我从客户端的物理接口捕获,我应该看到stream量不是从物理接口ip(192.168.3.10)发送到所需的服务器(192.168.4.10),而是发送到VPN服务器(10.8.0.1)。 所以,这个输出可能意味着路由不能正常工作。 在客户端的vpn接口中,我只能看到llmnr数据包,这可能意味着隧道不能用于真正的stream量。 我可以成功地从VPN服务器ping到客户端,并以相反的方式思考VPN隧道。 我已经尝试build议添加推“redirect网关def1”和服务器,以取代它只是redirect网关def1 。 另外我试图将这添加到客户端的configuration,但它也没有工作。 另外我在这个问题上使用了官方的OpenVPN指南,但也没有帮助。 我的服务器configuration是这样的: # Which local IP address should OpenVPN # listen on? (optional) ;local abcd # Which TCP/UDP port should OpenVPN listen on? # If you want to run multiple […]
我很抱歉,如果我的问题标题看起来像别人/转发,但我已经find相同的问题,并没有find解决办法。 我只是购买GeoTrust QuickSSL,我想在我的Amazon EC2 Instance上设置SSL。 这里是我的configuration001-mysite-ssl.conf ,保存在/etc/apache2/sites-available ,然后使符号链接到/etc/apache2/sites-enabled/ : <IfModule mod_ssl.c> <VirtualHost mysite.com:443> ServerAdmin [email protected] DocumentRoot /var/www/html #LogLevel info ssl:warn ErrorLog ${APACHE_LOG_DIR}/error-mysite-ssl.log CustomLog ${APACHE_LOG_DIR}/access-mysite-ssl.log combined SSLEngine on # MySite SSL & Key File SSLCertificateFile "/usr/local/ssl/certs/mysite_com.crt" SSLCertificateKeyFile "/usr/local/private/mysite.com.key" # Certificate Authority (CA): SSLCACertificateFile "/usr/local/certs/mysite_com.ca-bundle" SSLProtocol TLSv1 TLSv1.1 TLSv1.2 SSLCipherSuite "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4" <Directory "/var/www/html"> Options Indexes FollowSymlinks MultiViews […]
我build立了authentication助手的鱿鱼跟随在这里指导http://www.freesoftwaremagazine.com/articles/authentication_with_squid唯一的区别是,我的用户连同NTLM密码哈希存储在一个MySQL数据库。 计算ntlm哈希的php函数如下所示。 function ntlm_hash($txt) { $txt = iconv('UTF-8', 'UTF-16LE', $txt); $md4 = bin2hex(mhash(MHASH_MD4, $txt)); return strtoupper($md4); } 现在我有点担心安全性,我不想使用基本的HTTP身份validation。 我知道一个解决scheme是在squid上使用SSL,但默认情况下,debian上的squid是没有SSL支持的。 我在想的另一个解决scheme是使用NTLM身份validation助手; 这里描述的协议是http://squid.sourceforge.net/ntlm/squid_helper_protocol.html 不幸的是,我没有发现任何有趣的东西来引导我(除了链接的规范),有没有人知道一个可能的实现可能是如何工作的? 例如,我不清楚我是否只能用NTLM密码哈希来实现协议。 有没有人有其他build议来加强用户authentication? 考虑到我只能使用密码的NTLM哈希值。
不久,我打算安装新的networking服务器,我想多用户一点。 我已经有域,(虚拟)服务器和其他一切configuration服务器的重要。 基本上这个将被用作我们家庭成员的个人存储的networking服务器,所以我们可以独立于我们当前的位置而彼此共享文档。 因为他们对技术和东西不是很熟悉,所以我想确保连接更多。 除了networking应用程序的文件存储,我会创build一些简单的网站,在未来,我认为networking服务器也将举办博客。 我决定像这样构build网站: storage.domain.tld – 用于我们的个人存储 domain.tld – 会有一些简单的网站(带有CSS和JS文件的HTML文件) domain.tld / blog – 经过一段时间,我认为这个地址将被用于博客 我将使用StartSSL签署将安装在Web服务器上的证书。 由于HPKP需要备份证书,我将在未来出现任何故障的情况下创build附加证书。 我认为在读完一段文字之后,我已经正确理解了如何configurationHPKP,但是我仍然不确定如何处理子域,如果configuration错误的HPKP头还有什么问题。 所以首先关于子域名…我们的大多数家庭成员将只使用storage.domain.tld 。 StartSSL启用主域和一个子域的证书签名。 如果我只在domain.tld上设置它,并在其中添加includeSubdomains,浏览器是否可以识别子域上的domain.tld ? 如果浏览器仅在您实际访问的域上识别HPKP标头,该怎么办? 我也想看看这个话题的一些build议,因为我不知道该怎么做。 第二件关于configuration错误的HPKP。 当我设置所有东西时,我想将HPKP标题的最大年龄设置为60左右(1分钟就足以testingHPKP是否正常工作)。 成功后,我认为将最大年龄延长到半年。 如果我理解正确,浏览器只检查HPKP头中的公钥是否与web服务器中的相同。 如果有一场比赛,一切都应该没问题。 那么没有任何其他服务连接检查HPKP的正确设置? 如果我在私人模式下使用浏览器,并且访问我的网站时configuration错误的HPKP,如果我删除HPKP标题并以非私人模式再次访问网站,此问题是否会消失? 我会感谢所有的build议和意见,我的问题。 先谢谢你!
我试图启用这个Apache模块。 我做了这个来自Google的所有文档:https:// developers.google.com/speed/spdy/mod_spdy/ 但是,如果我使用“SPDY指标”铬扩展来检查它是否工作,它表明它不。 我用来检查是否有效的另一个工具是https://spdycheck.org/结果很奇怪。 如果我检查“www.example.com”它说它支持SPDY。 但是,如果我检查“example.com”,它说不。 最后, https : //www.h2check.org/说,当我检查“www.example.com”时,它不支持HTTP / 2,但是如果我插入我的IP地址,它说它支持它。 我迷路了,因为它似乎不起作用,但是这些工具中的一些却说(在不同的情况下)。 为什么我从不同的testing中获得不同的结果,以及如何才能使SPDY正常工作?
这是我第一次尝试安装一个nginx反向代理。 我想要的是我有一个在端口44801上运行http的Subversion服务器。 现在我想用nginx来监听端口80,转发,而且在443上监听,做ssl终止然后转发。 这是我的conf文件: server { # Port 80 only on local network listen 80; server_name freundx; location /svn { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://freundx:44801/svn; } } server { # ssl is local and external listen 443 ssl; server_name freundx some.domain.com; ssl_certificate /etc/niginx/ssl/mycert.crt; ssl_certificate_key /etc/niginx/ssl/mycert.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; location […]
我configuration了一个AWS负载平衡器。 它正在寻找HTTP,但是当我尝试通过HTTPS时,我得到一个504网关超时错误。 我尝试了AWS的帮助页面上的所有build议(增加空闲超时),但没有运气。 任何想法,为什么它不能通过HTTPS,但仍然通过HTTP工作? 实例和负载平衡器安全组都启用了HTTP和HTTPS 负载均衡器具有HTTP和HTTPS侦听器(注意,LB不终止SSL证书,在前端和后端端口上有443个) 如果我改变它是443/80(前/后)它的作品。 我确实希望它是443/443。 但是当我这样设置时,我得到了504错误。
我在Amazon EC2上运行Ubuntu 14.04.3和Nginx 1.4.6。 我试图在8000端口上为我的应用程序设置一个反向代理,当我访问www.mywebsite.com:8000时,我可以看到它正在运行。 反向代理应将所有httpstream量redirect到https,然后为该应用程序提供服务。 这是我的网站启用configuration: server { listen 80; server_name mywebsite.com return 301 https://$host$request_uri; } server { listen 443 ssl; server_name mywebsite.com access_log /var/log/nginx/access.log; error_log /var/log/nginx/error.log; ssl on; ssl_certificate /etc/nginx/ssl/certificate.crt; ssl_certificate_key /etc/nginx/ssl/key.key; keepalive_timeout 60; ssl_ciphers HIGH:!ADH:!MD5; ssl_protocols TLSv1; ssl_prefer_server_ciphers on; proxy_buffers 16 64k; proxy_buffer_size 128k; location / { proxy_pass http://IPADDRESS:8000; proxy_next_upstream error timeout […]
我想在HAproxy-1.5.2中禁用安全重新协商,但在官方文档中找不到任何有关它的信息: http : //www.haproxy.org/download/1.5/doc/configuration.txt 我的SSL HAproxy conf: tune.ssl.default-dh-param 2048 ssl-default-bind-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:… bind :443 ssl crt ./cert.pem no-sslv3 其实: root# openssl s_client -connect xxxx:443 |grep "Secure" Secure Renegotiation IS supported 我想要: root# openssl s_client -connect xxxx:443 |grep "Secure" Secure Renegotiation NOT supported 任何人都可以帮助我?
我正在设置一个NPS服务器作为我公司雇主的Wifinetworking的RADIUS服务器。 所有移动设备都可以使用其域用户/通行证连接到此networking。 我的问题是让Windows电脑(不在域!)使用这个networking,因为我从NPS日志中得到这个错误: "SERVERNAME", "IAS", 09/28/2015, 09:00:44, 3, … "WIFI_STAFF_Policy", 265 使用日志规范,我发现这个数据包是一个“访问拒绝” ,并且“原因代码”是265 (没有在MS日志规范中声明)。 Googoling我发现“265原因码”是一个证书错误,但我不明白,如果这是一个客户端错误或服务器错误。 很明显,我不能为所有非域名计算机添加证书,而且我也不想为我的NPS购买证书。 如果这是一个客户端错误,我知道我可以设置PEAP身份validation来不validation证书,但这是一个非常困难的select,因为我应该手动设置每台计算机。 有没有办法不使用证书validation从NPSnetworking策略configuration?