我们在Ubuntu 14.04上运行strongswan 5.3.2。 我们使用厨师,所以它重新启动ipsec,如果有什么改变,如添加radius服务器。 另外我们有每天08:00重新启动ipsec的cron。 很久以前,因为ipsec正在停止接收新的连接,所以已经完成了。 我们在每个服务器上运行两个charon进程 root 4980 4929 0 Sep04 ? 00:00:00 /usr/libexec/ipsec/starter –daemon charon root 4981 4980 0 Sep04 ? 00:00:00 /usr/libexec/ipsec/charon –use-syslog root 20798 1 0 08:00 ? 00:00:00 /usr/libexec/ipsec/starter –daemon charon root 20799 20798 0 08:00 ? 00:00:04 /usr/libexec/ipsec/charon –use-syslog 如果我们运行ipsec restart,那么新的进程就会被终止,并且新的PID会启动。 但更旧的过程依然存在 旧进程的date等于服务器正常运行时间。 我们有testing服务器与Ubuntu 16.04相同的strongswan版本,只有一个进程。 初始化脚本是一样的。 什么可能是错的? Strongswan从属性来源安装 default['strongswan']['prefix_dir'] […]
我们有2个站点,我们的主要站点在东部(IAD),我们的“远程”站点在西部(SFO)。 这是我们的设置: IAD: IAD-堡垒 IAD-S2S SFO: SFO-堡垒 SFO-S2S 目前,我们使用堡垒主机连接到我们的SFO网站,它对我们来说工作正常。 我按照这里的步骤https://aws.amazon.com/articles/5472675506466066和这里https://www.zeitgeist.se/2013/11/22/strongswan-howto-create-your-own-vpn/设置build立一个S2S VPNpipe道。 我能够获得连接build立使用本地IP(通过堡垒主机)和公共IP,并能够从一个实例到另一个SSH。 然而,一旦连接完成,我们就失去了从IAD到SFO的连接。 我已经检查了安全组,并确认我仍然能够在没有VPNpipe道的情况下连接。 一旦我发出ipsec stop ,我可以再次连接。 这种行为告诉我分裂隧道有什么问题,但是我一直在这个几个小时没有运气。 我究竟做错了什么? 下面是configuration文件和日志。 实际的端点已被编辑。 [site1] conn vpc-sfo-b leftcert=leftcert.pem leftid=site1.example.com leftsubnet=10.10.0.0/16 right=%site2.example.com rightid=site2.example.com rightsubnet=10.20.0.0/16 auto=start authby=pubkey mobike=no type=tunnel [site2] conn vpc-iad-a leftcert=rightcert.pem [email protected] leftsubnet=10.20.0.0/16 right=%site1.example.com rightid=site1.example.com rightsubnet=10.10.0.0/16 auto=add authby=pubkey mobike=no [log] Sep 8 21:25:28 iad-a-s2s-1 charon: 00[DMN] Starting IKE […]
我们正在运行一个strongSwan VPN,并遇到任何Windows客户端似乎在一小时后停止发送任何新数据的问题,但保持VPN连接打开,使其看起来像打开。 我连接后检查路由表,一小时后,它停止工作,它是相同的。 我试着在两边运行一个ping来查看是否是某种NAT /保持活动的问题,但是它仍然会默默地停止发送数据包。 我在其中一台Windows客户端上运行Wireshark,看不到任何奇怪的事情。 我在运行ipsec status时注意到了这一点: ikev2-pubkey[722]: ESTABLISHED 10 minutes ago, xxxx[xxxx]…xxxx[X – OSx client] ikev2-pubkey{1684}: INSTALLED, TUNNEL, reqid 36, ESP in UDP SPIs: XX ikev2-pubkey{1684}: xxxx/x === xxxx/x ikev2-pubkey[714]: ESTABLISHED 73 minutes ago, xxxx[xxxx]…xxxx[X – Windows client] 由于某种原因,Windows客户端不再有隧道信息?
我一直在试图解决一个网站到现场的VPN问题几天。 我连接到一个公司的VPN,我没有控制或访问的设置。 我正在运行一台Digitalocean VPS(不知道DO的具体基础设施在这里扮演一个angular色)运行Ubuntu 16.04和使用Strongswan 5.3.5 我已经尽可能地获得了networking工程师为此确认的与VPN成功连接的情况。 他们不能看到我的任何stream量,我无法从他们的子网上的服务器获得ping答复。 请帮忙。 不是networking专家,欢迎(也是鼓励)像我一样向我解释5.我没有安装Strongswan的VPS附加服务器。 我需要从同一VPS与公司服务器通信 ME (VPS) <<<>>> internet <<<>>> CORPORATE VPN <<<>>> CORP SERVERS 138.xx.xx.xx <> internet <> 41.yy.yy.yy <> 172.zz.zz.zz 以下所有信息都是在VPN隧道启动时进行的。 ipsec状态 $: ipsec statusall Status of IKE charon daemon (strongSwan 5.3.5, Linux 4.4.0-96-generic, x86_64): uptime: 20 minutes, since Sep 28 10:30:07 2017 malloc: sbrk 1634304, mmap […]
+———-+ +——-+ Client 1 | +————–+ +—————+ +———-+ +————+ | +———-+ | Web Server +————-+ Cisco ASA5585 +———+ Internet +———–+ StrongSwan +——–+ IP: 10.2.0.1 +————–+ +—————+ +———-+ +————+ | | +———-+ +——-+ Client 2 | Internal Web server External IP: 1.1.1.1 External IP: 2.2.2.2 +———-+ https://some.webservice.net Internal IP: 10.1.0.1 IP: 10.3.0.1 192.168.0.1:443 客户端1和客户端2位于不同的/ 20个子网中,需要通过主机访问远端的内网服务器,以承载StrongSwan服务器和远端Cisco ASA设备之间的IPSEC […]
我正在使用strongswan作为vpn服务器的公路战士。 我有两台机器运行这个软件,一个是raspbian,另一个是CentOS 7.这个raspbian机器工作正常,但不是CentOS。 CentOS的问题似乎是数据包没有隧道。 这是来自tshark的输出。 88 6.655929830 67.22.27.75 → 10.202.121.120 ESP 146 ESP (SPI=0xc542d5c5) 89 6.655929830 192.168.3.1 → 8.8.4.4 DNS 71 Standard query 0x26a6 A dealsea.com 67.22.27.75是roadwar的ip,192.168.3.1是strongswan分配的虚拟ip。 在raspbian的工作实例中,tshark输出如下所示: 45 3.318470851 104.38.166.37 → 10.111.58.102 ESP 146 ESP (SPI=0xc7ca8886) 46 3.318470851 10.202.122.1 → 8.8.4.4 DNS 67 Standard query 0x10af A psu.edu 47 3.318656688 10.111.58.102 → 8.8.4.4 DNS […]
我想在iOS设备上连接Strongswan IKEv2 VPN。 它使用FreeRADIUS服务器为用户的AAA。 它已经在Android和Windows设备上完美运行。 但是当我尝试使用iOS设备进行连接时,会显示下面的日志。 我手动制作VPNconfiguration文件并手动安装.p12证书以进行服务器身份validation server hostname: nas.example.com server ip: 89.89.89.89 client ip: 99.99.99.99 ipsec.conf文件 config setup charondebug="all" uniqueids=no conn ikev2-vpn auto=add compress=yes type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024,3des-sha1-modp1024! esp=aes256-sha1,3des-sha1! dpdaction=clear dpddelay=3600s dpdtimeout=5s rekey=no left=%any leftid=89.89.89.89 leftcert=vpn-server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-radius #rightauth=eap-mschapv2 rightdns=8.8.8.8,8.8.4.4 rightsourceip=10.10.10.0/24 rightsendcert=never eap_identity=%identity 服务器端日志 Oct 06 02:14:43 nas.example.com charon[3607]: 13[NET] […]
我在CentOS7上使用strongswan 5.6.0&Freeradius 3.0.13作为vpn服务器 – Strongswan发送半径请求给freeradius – freeradius将所有请求代理到另一台不支持EAP挑战的Radius服务器 所有来自freeradius代理的非eap请求都被Radius Server(非eap)成功接受,但所有eap请求都失败! 我认为来自Strongswan的请求是eap-mschapv2(IKEv2 Connections) 如何将eap请求代理到非eap Radius服务器 技术上我不知道应该是什么,但我认为有3个想法: 1-Freeradius进程全部自动启动,只需询问非Eap Radius服务器上的纯文本用户/传递 2- Freeradius将eap-mschapv2转换为mschapv2(非eap),然后将其发送到非eap Radius服务器 3- Strongswan做转换或palin文本的工作 我读了很多的问题和教程,但不是他们的作品 请帮帮我 谢谢
我需要通过VPN连接到我们的API提供程序。 我们在Centos7上使用Strongswan作为站点到站点的连接,它正在工作。 在我们的networking体系结构中,与strongswan连接的主机与调用API的主机相同。 (149.204.89.66) 问题是提供者不回答我们的请求(HTTPS),因为我们的源IP不是正确的。 我们的提供商告诉我们,我们必须使用其他接口在正确范围(10.1.51.0/24)中使用虚拟IP。 我们已经创build了一个接口,但我们没有设法使用该接口和正确的IP来调用Web服务,所以它不工作。 请在下面findVPN状态,以及我们的configuration: &strongswan状态 Routed Connections: gw2{277}: ROUTED, TUNNEL, reqid 26 gw2{277}: 10.1.51.0/24 === 1.2.3.37/32 Security Associations (1 up, 0 connecting): gw2[73]: ESTABLISHED 27 minutes ago, 149.204.89.66[149.204.89.66]…1.2.3.36[1.2.3.36] gw2{278}: INSTALLED, TUNNEL, reqid 26, ESP in UDP SPIs: c82d1560_i 8b42986e_o gw2{278}: 10.1.51.0/24 === 1.2.3.37/32 &> cat /etc/strongswan/ipsec.conf conn gw2 # OUR SIDE […]
我们想testing客户端是否能够连接到openvpn和strongswan服务器,并有客户端连接统计。 我们有openvpn 2.4.3和strongswan 5.6.0版本的Ubuntu 16.04服务器。 到目前为止,我们只有openvpn CollectUserCount统计与openvpn collectd插件。 我还没有find任何strongswan / ipsec / charon插件。 我错过了什么,或者我们必须写我们自己的插件? 提前致谢。