我正在尝试在家中安装一个strongSwan服务器,并从另一个networking连接到它。 假设sun是VPN服务器, venus是客户端。 sun和venus都在NATnetworking之后。 sun不是我的家庭networking的门户。 但是,端口4500,500和50(UDP)被转发到sun 。 ipsec.conf(sun) # ipsec.conf – strongSwan IPsec configuration file # basic configuration config setup charonstart=yes plutostart=no conn venus left=%any leftcert=sunCert.pem right=%any leftsubnet=10.135.1.0/24 rightid="C=IL, O=KrustyKrab, CN=venus" keyexchange=ikev2 auto=add type=tunnel mobike=no include /var/lib/strongswan/ipsec.conf.inc ipsec.conf(venus) # ipsec.conf – strongSwan IPsec configuration file # basic configuration config setup charonstart=yes plutostart=no conn krustykrab left=%defaultroute […]
引用维基百科 : 它提供最小的安全性; MD5哈希函数容易遭受字典攻击,并且不支持密钥生成,这使得它不适合用于dynamicWEP或WPA / WPA2企业 但是,维基百科在无线authentication的背景下讨论了EAP-MD5。 如果我理解正确,这在strongSwan中不是安全风险,因为客户端和服务器之间的身份validation是encryption的。 我是对的吗?
我想为OSX台式机和笔记本电脑build立一个IPSec应答器(VPN服务器)。 似乎一切工作正常,除了我不能推动一个DNS服务器在发起者(VPN客户端)系统范围内使用。 我在StrongSwan 5.0.4中使用Charon的IKEv1支持,使用Unity扩展,OSX机器使用networking偏好设置中的“Cisco VPN”进行graphics化configuration。 我曾尝试改变客户端上的服务订单,将VPN放置在顶部,但这并没有帮助。 在scutils –dns ,parsing器仅在DNS configuration (for scoped queries)部分中显示为resolver #1 ,而不在第一部分DNS configuration 。 这里是相关的configuration文件: /etc/ipsec.conf: conn %default ikelifetime=24h keylife=1h rekeymargin=10m keyingtries=3 keyexchange=ikev1 left=%defaultroute auto=add conn main leftfirewall=yes leftsubnet=0.0.0.0/0 leftauth=psk right=%any rightauth=psk rightauth2=xauth-pam rightsourceip=172.17.0.0/22 /etc/strongswan.conf: charon { threads = 16 cisco_unity = yes plugins { attr { dns = 172.16.0.23 split-include = […]
我无法configurationstrongSwan 4.5.2与iOS 7和OS X Mavericks配合使用。 我遵循了这两个指南,但仍然遇到问题。 http://teebeenator.blogspot.com/2013/06/strongswan-for-raspberry-pi.html http://wiki.strongswan.org/projects/strongswan/wiki/IOS_(Apple) 我怀疑这个问题是和老版本的strongSwan有关的; 不幸的是,我的服务器是一个树莓派,我不认为有一个简单的方法可以在Pi上获得strongSwan 5.x。 这可能是一个红色的鲱鱼,但我怀疑我的/var/log/auth.log中的以下错误消息与我的问题有关: message ignored because it contains an unexpected payload type (ISAKMP_NEXT_SA) 我在网上找不到有关这个错误信息的任何帮助(至less没有英文,我在德文中看到了一些提及的东西)。 这里是/etc/strongswan.conf的内容 # strongswan.conf – strongSwan configuration file charon { # number of worker threads in charon threads = 16 # send strongswan vendor ID? # send_vendor_id = yes plugins { sql { […]
在谷歌,通过Serverfault,甚至在StrongSwan网站search了很多天后,我一直没有成功尝试在OS X 10.11.5和iOS 10上运行StrongSwan IPSec / IKEv2 VPN。我一直非常成功地获得它在Windows 10 Pro Insider Preview和Android上工作 – 这两者都与我的旅行安排无关,我只有一台Mac笔记本和iOS 10设备。 我有两个StrongSwan VPN服务器设置 – 一个在伦敦,一个在旧金山,两者的configuration几乎完全相同。 遵循https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html,我能够快速设置两台服务器,并为Windows 10 Pro Insider Preview和Android颁发一个客户端证书。 但是,当我将两台服务器的p12复制到OS X和iOS来创buildVPN时,出现了问题,我没有得到其他两个操作系统。 我似乎可以find关于什么是“ Remote ID ”和“ Local ID ”的明确答案,这与我如何build立一个基于证书的SwanStrong VPN服务器authentication连接有关? 从我所能find的东西中,我学到了以下几点: Local ID必须与证书中指定的CN或SAN相匹配(例如[email protected] ) Remote ID是OS X和iOS都需要的,但是我不知道在这个input字段中应该放什么东西 与Windows和Android与encryption无缝连接不同,OS X和iOS都被卡在“正在连接”中,或者会快速循环到“断开连接” 这是StrongSwan服务器configuration之一(我一直在testing): # ipsec.conf – strongSwan IPsec configuration file config setup charondebug="ike 2, […]
您好我正在运行的障碍破坏者版本的OpenWRT,我已经build立一个VPN根据: http ://wiki.openwrt.org/inbox/strongswan.howto我可以连接到我的iPhone或Mac的VPN(到10.10.1.0 / 24networking)。 我也可以从Windows 7连接。使用DHCP成功地将IP分配给客户端。 一旦连接,我无法访问networking上的任何东西。 /etc/firewall.user包含: # This file is interpreted as shell script. # Put your custom iptables rules here, they will # be executed with each firewall (re-)start. iptables -I INPUT -m policy –dir in –pol ipsec –proto esp -j ACCEPT iptables -I FORWARD -m policy –dir in –pol ipsec […]
通过IPSec(Debiantesting中的Strongswan)连接到存储守护进程(“B”)的我的一台服务器(“A”)的备份(通过Bacula)不能完成95%的运行时间。 显然发生的是: Bacula打开与存储守护程序的VPN IP的TCP连接。 (A→B) 由于默认设置了内核设置net.ipv4.ip_no_pmtu_disc=0 ,所以明文数据包中设置了IP Do not Fragment位。 将数据包路由到IPSec隧道时,有效载荷的DF位被复制到ESP数据包的IP报头。 经过一段时间(通常大约20分钟)以及高达数千兆字节的数据发送之后,发送稍大于ESP数据包的数据包。 (A→B) 由于存储守护程序接口的MTU比发送主机的MTU低,因此沿途的路由器向主机发送ICMPtypes3(代码为“需要分片且不分片”)ICMPtypes3。 (一些路由器→A) 连接暂停,由于某种原因,主机A将大量100个空的重复ACK发送给B(在〜20ms内)。 (ICMP数据包到达主机A,并且没有阻止ICMP的iptables规则。) 这种情况发生的可能原因,我可以想到: 内核bug(Debian 3.13.7-1) Linux的IPSec实现故意忽略PMTU消息作为安全措施,因为它不受保护,会影响现有的SA。 (根据RFC 4301 8.2.1似乎是有效的行为) 必须与PMTU老化( RFC 4301 8.2.2 ) 什么是解决这个问题的最好方法,而不是全局禁用PMTU发现或降低接口MTU? 也许像FreeBSD一样,清除DF位与ipsec.dfbit = 0 ?
最近我一直在玩StrongSwan,作为替代昂贵的亚马逊VPN。 我在运行StrongSwan的远程服务器和Ubuntu EC2计算机之间完全configurationIPSec隧道时遇到了问题。 我的目标是让我们的远程服务器能够VPN到我们的VPC,并在AWS上的私有子网之间进行双向访问。 目前,我可以build立一个隧道。 我可以从EC2机器(运行StrongSwan)到远程OSX服务器。 我可以在我的VPC中的公共和专用子网中的机器之间进行ping操作。 目前,我无法从我的OSX服务器ping AWS上运行强大天鹅的EC2实例。 我没有任何iptables设置来转发来自EC2(StrongSwan)机器的stream量到我私有子网中的其他机器。 AWS VPC: 10.0.0.0/16 Public Subnet: 10.0.1.0/24 Private Subnet: 10.0.2.0/24 Web EIP: 77.77.77.77 (default for VPC IGW) VPN EIP: 66.66.66.66 AWS StrongSwan EC2 Ubuntu running StrongSwan 5.2.2 IP: 10.0.1.233 远程客户端网关 (带静态IP的蜂窝调制解调器+网关组合) Running StrongSwan 5.2.2 internally for IPSec Public (static) IP: 55.55.55.55 LAN: 10.1.1.0/24 (DHCP Server) 远程客户端服务器 […]
我之前已经看过几次这样的问题,但到目前为止,他们都没有解决我的问题。 我正在尝试在我的Ubuntu服务器上设置一个IKEv2 VPN,以使用我的Windows Phone使用Strongswan。 连接似乎设置正确,但没有数据包路由,我无法ping VPN客户端的IP地址。 我的服务器的内部networking是192.168.1.0/24,我的服务器的IP是192.168.1.110,在NAT之后。 在/ var / log / syslog的 May 8 09:50:01 seanco-server charon: 16[NET] received packet: from 166.147.118.120[13919] to 192.168.1.110[500] May 8 09:50:01 seanco-server charon: 16[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) VVVV ] May 8 09:50:01 seanco-server charon: 16[ENC] received unknown vendor id: 1e:2b:51:69:05:99:1c:7d:7c:96:fc:bf:b5:87:e4:61:00:00:00:09 May […]
我正在使用Strongswan来处理IPsec连接,并且需要一种支持Windows(IKEv2)和OS X(IKEv1)客户端的方法。 除非有令人信服的理由使用L2TP / IPsec,否则我宁愿使用纯粹的IPsec(即避免设置L2TP)。 我知道你可以在ipsec.conf中configurationStrongswan,让一些连接使用IKEv1,而另一些连接使用IKEv2。 但是,在我的情况下,我不能轻松地为每个用户设置单独的连接configuration,因为他们将连接的IP地址将不会提前知道。 我只为所有用户使用单一的连接configuration。 是否有可能通过IKEv1连接configuration通过IKEv1连接configuration连接其他用户,还是通过IKEv2连接configuration连接其他用户,还是设置可处理IKEv1和IKEv2连接的单个连接configuration? 如果不是,支持Windows和OS X内置IPsec客户端(使用Strongswan或其他IPsec软件包)最简单的方法是什么?