我已经用Win10 Pro敏捷VPN客户端和Linux StrongSwan服务器成功build立了VPN Ikev2隧道。 客户端可以ping通strongswan服务器(192.168.0.11)和192.168.0.0/24networking中的其他任何机器。 但是,StrongSwan服务器不能ping / arping连接的RoadWarrior。 所以一些程序因为无法到达客户而失败。 我的networking设置: Win10(192.168.0.10/VirtualIP:192.168.0.100)===(192.168.0.1)Fritz Router#1(ISP的91.13.xx)=== INTERNET ===(ISP的217.94.xx)Fritz Router#2 192.168.0.1)===(192.168.0.11)StrongSwan服务器 ipsec.conf文件: conn %default ikelifetime = 60m keylife = 20m rekeymargin = 3m keyingentries = 1 keyexchange = ikev2 rekey = no conn vpn left = 192.168.0.11 leftsubnet = 192.168.0.0/24 leftauth = pubkey leftcert = server1_Host_cert.pem right = %any rightauth […]
我有一个新的IPsec安装问题,在两个节点之间进行testing。 Eveery节点使用静态IP连接到互联网,日志显示了ipsec.secrets有什么问题,但我看不到在哪里。 节点A:具有公共IP的服务器 节点B服务器私有IP与外部NAT configuration/etc/ipsec.conf/usr/share/applications/thunderbird.desktop config setup charondebug="all" uniqueids=yes strictcrlpolicy=no conn %default conn ipsec-test left=MyPublicIPA leftid=MyPublicIPA leftsourceip=MyPublicIPA right=MyPublicIPB rightid=MyPublicIPB rightsubnet=10.0.1.0/24 ike=aes256-sha2_256-modp1024! esp=aes256-sha2_256! keyingtries=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=clear authby=secret auto=start keyexchange=ikev2 type=tunnel /etc/ipsec.secrets MyPublicIPA MyPublicIPB : PSK "test1234" 日志: Jul 13 15:30:06 vpnserver2 charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.2.1, Linux 3.16.0-4-amd64, x86_64) Jul […]
我试图build立X(左)和Y(右)之间的VPN隧道。 A.情况 X = 34.XXX(Ubuntu 16.04 with strongswan)Y = 198.YYY(Cisco ASA) 通过查看来自X的日志,预共享密钥被成功validation,并且第一阶段IKE_SA被build立。 然后IKEv2进入第二阶段,但由于NO_PROPOSAL_CHOSEN,CHILD_SA(IPSec SA)失败。 在从Y的日志中,它说组IKEv2未启用(?) B.问题 这是否意味着IKEv2在X或Y上未启用? 在X中的ipsec.conf有一个行keyexchange:ikev2所以它不能是X …对吗? NO_PROPOSAL_CHOSEN看起来像X和Y之间的encryption方法不匹配…或者只是IKEv2没有启用? C. X-side IPSec日志: initiating IKE_SA buysignal-ice[4] to 198.YYY generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) ] sending packet: from 172.30.1.8[500] to 198.YYY[500] (952 bytes) received packet: from 198.YYY[500] to 172.30.1.8[500] (453 […]
我创build了一个L2TP / IPSec隧道,而且我正在努力使用路由,我无法SSH连接到远程networking中的一台机器。 我的本地系统是Debian buter(当前testing)。 这是我的本地networkgconfiguration; 接口ppp0是隧道接口。 #ip a 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether fc:aa:14:27:3a:bf brd ff:ff:ff:ff:ff:ff inet 192.168.1.13/24 brd 192.168.1.255 scope global dynamic enp1s0 valid_lft 71692sec preferred_lft 71692sec inet6 fe80::feaa:14ff:fe27:3abf/64 scope link valid_lft forever preferred_lft forever 14: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1410 qdisc pfifo_fast state UNKNOWN […]
[root@vrouter-ovs ~]# strongswan statusall Status of IKE charon daemon (strongSwan 5.5.3, Linux 3.10.0-327.36.3.el7.x86_64, x86_64): uptime: 5 hours, since Jul 26 01:22:51 2017 malloc: sbrk 1699840, mmap 0, used 536928, free 1162912 worker threads: 7 of 16 idle, 5/0/4/0 working, job queue: 0/0/0/0, scheduled: 5 loaded plugins: charon aes des rc2 sha2 sha1 md4 md5 random […]
我尝试使用strongswan来设置一个站点到站点的VPN,让两个远程子网相互通信。 服务器作为strongswan客户端和服务器都在防火墙路由器后面。 两台服务器不在公网IP上,路由器为这两台服务器做NAT。 networking如下:server A(192.168.0.3) – server B(ppp0 192.168.1.1,eth0:192.168.0.11)— router / nap ——(internet)—— – (router / nat)—-服务器C(ppp0:192.168.1.128,eth0:192.168.2.100)—服务器D(192.168.2.50) 我尝试让子网192.168.0.0/24上的任何服务器(如服务器A)与子网192.168.2.0/24(如服务器D)通信。 我跟着strongswan站点2站点configuration。 服务器B和服务器C可以ping通。 但是不pipe我怎么设置服务器A和服务器D都不能通信。 服务器B和服务器C只是不路由。 我禁用服务器B和服务器C上的iptable / firewalld,并设置以下networkingconfiguration:net.ipv4.ip_forward = 1 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.default.rp_filter = 0 net .ipv4.conf.all.send_redirects = 1 net.ipv4.conf.default.send_redirects = 1 net.ipv4.conf.all.accept_redirects = 1 net.ipv4.conf.default.accept_redirects = 1 net.ipv4.conf.default .accept_source_route = 1 服务器B上的strongswanconfiguration:/etc/ipsec.conf # Add connections here. […]
我有一个Strongswan IKEv2 VPN,我使用eap-mschapv2作为权限validation。 只要我使用ipsec.secrets文件存储用户凭据,它工作正常。 # ipsec.secrets file : RSA vpn-server-key.pem arav %any : EAP "accessit" 但是我想改变它来将这些秘密存储在MySQL数据库中。 我连接了sql.conf文件中的mysql数据库,我只是想知道如何在MySQL表中插入这些用户凭据。 在参考本指南: https : //wiki.strongswan.org/projects/strongswan/wiki/SQLite 它不以纯文本存储秘密,但它使用任何forms的encryption来做到这一点。 谁能告诉我该怎么做? 任何帮助将不胜感激
TL; DR:我希望Windows RAS服务器允许Linux客户端通过现代和强大的密码套件进行连接。 长版本:我已经设置了我的Windows Server 2016与RAS。 因为我读到PPTP和3DES被认为是不安全的,所以我设置了服务器来使用L2TP-PSK,目标是使用AES128或AES256encryption。 这里有一个RAS属性的截图: 在NPS( https://support.microsoft.com/en-us/help/954394/routing-and-remote-access-services-encryption-options-for-the-l2tp-ips )我没有安装最强大的encryption在networking政策。 我不确定这个NPS政策是否有必要。 我还在网上发现了一些build议,说我应该在RAS服务器上设置防火墙高级安全选项。 所以我也这样做了。 那里我实际上删除了3DES支持。 密钥交换选项: 安全选项: 现在一切运行良好与其他Windows客户端。 当我build立到RAS服务器的VPN连接时,vpn状态属性告诉我,他们使用AES256进行encryption: 接下来,我想使用strongswan将我们的Linux服务器连接到公司networking。 我遵循的教程build议我执行一个ike-scan来查找我的Windows RAS服务器支持的密码。 当我的其他Windows客户端成功连接AES256encryption时,我感到惊讶的是,ike-scan只显示了对3DES的支持。 有些东西删除/replace为X的隐私。 Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/) 82.XX.XX.XX Main Mode Handshake returned HDR=XXXXXXX SA= (Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration(4)=0x00007080) … Ending ike-scan 1.9: 1 hosts scanned in 0.020 seconds (49.34 […]
Linux Ubuntu 16.03 我只是下载最新的strongswan版本[strongswan-5.6.0] 我用默认值来编译和制作strongswan ./configure 这是我的ipsec.conf conn xxxx_NFederal authby=secret auto=start type=tunnel left=10.0.0.97 leftsubnet=10.0.0.0/8 rightid=%any right=xxxx rightsubnet=192.168.1.0/24 ike=aes256-sha-modp1024,aes128-sha-modp1024,3des-sha1-modp1024 ipsec状态表示: root@ubuntu:/usr/local/etc# ipsec status Security Associations (0 up, 0 connecting): none 以下是日志中的行 Aug 20 19:16:04 ubuntu charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.5.1, Linux 4.4.0-92-generic, x86_64) Aug 20 19:16:05 ubuntu charon: 00[NET] could not open socket: […]
我想在CentOS 7上使用IKEv2 VPN。*虚拟机,我想用我们的RADIUS服务器validation用户。 目前,我使用yum install strongswan命令来安装strongswan repo,但是默认情况下它不会加载eap-radius插件。 有什么方法可以使用编译方法加载eap-radius插件。 谢谢 !