就像这个例子,我在两个网关之间有一个运行strongswan隧道。 moon可以平阳,反之亦然。 但alice不能ping通bob 。 /etc/firewall.user /usr/sbin/iptables -I INPUT -m policy –dir in –pol ipsec –proto esp -j ACCEPT /usr/sbin/iptables -I FORWARD -m policy –dir in –pol ipsec –proto esp -j ACCEPT /usr/sbin/iptables -I FORWARD -m policy –dir out –pol ipsec –proto esp -j ACCEPT /usr/sbin/iptables -I OUTPUT -m policy –dir out –pol ipsec –proto esp […]
我有VPN服务器,我有大约500个客户,他们都使用相同的用户名/密码凭证来连接我的VPN服务器,但连接问题开始后,将250个用户连接到VPN服务器。 我怎样才能增加并发连接的限制? (服务器上没有负载)
我已经在路由器(Debian Stretch)上设置了strongswan,并且strongswanconfiguration工作正常,但是仅适用于从路由器发出的连接。 但是,一旦隧道从路由器(下面的192.168.10.0/24)后面的客户端上去,完全失去所有连接。 这意味着它们不再能够访问Internet,也不能通过隧道,甚至ping / telnet / ssh路由器本身(192.168.10.1)。 目标是让这些客户能够通过ASA隧道传输所有stream量,从而访问互联网。 设置如下: networking(来自左侧局域网的客户端应该让他们的stream量通过隧道,并在右侧局域网上访问互联网): +—————+ +——————+ +———–+ +————+ | local LAN | | router | | Cisco ASA | | local LAN | |192.168.10.0/24+-+eth0:192.168.1.1 +-Network-+ 1.1.1.1 +-+10.10.0.0/24+-Internet | | |eth1:192.168.10.1 | | | | | +—————+ +——————+ +———–+ +————+ ipsec.conf文件: config setup conn tunnel authby=psk auto=start keyingtries=%forever rekey=yes […]
我只需要将stream量从客户端转发到VPN服务器,仅用于特定的子网,即10.10.10.0/24 例如,如果客户端发送请求到123.123.123.123那么他们将使用他们自己的互联网。 如果客户端向10.10.10.123发送请求,则他们将使用VPN连接。 是否可以configurationstrongswan? 目前来自客户端的所有stream量均通过VPN服务器进行代理。 这是我的strongswanconfiguration: config setup uniqueids=no charondebug = ike 3, cfg 3 conn %default dpdaction=clear dpddelay=35s dpdtimeout=2000s keyexchange=ikev2 auto=add rekey=no reauth=no fragmentation=yes compress=yes ### left – local (server) side # filename of certificate chain located in /etc/strongswan/ipsec.d/certs/ leftcert=fullchain.pem leftsendcert=always leftsubnet=0.0.0.0/0,::/0 ### right – remote (client) side eap_identity=%identity rightsourceip=10.10.11.0/24,2a00:1450:400c:c05::/112 rightdns=8.8.8.8,2001:4860:4860::8888 conn ikev2-mschapv2 rightauth=eap-mschapv2 […]
我成功地编译并安装了strongswan ipsec vpn,正如服务启动成功的事实表明的那样: as3:~# ipsec restart Stopping strongSwan IPsec… Starting strongSwan 5.0.4 IPsec [starter]… as3:~# 当我运行命令ipsec pki –gen –outform pem > caKey.pem我看到错误: as3:~# ipsec pki –gen –outform pem > caKey.pem openssl FIPS mode(0) unavailable as3:~# “openssl FIPS模式(0)不可用”是什么意思? 如何解决它?
我正在尝试使用strongSwan设置主机 – 主机configuration。 我确实设法使用证书,现在我想使用证书+ EAPauthentication来设置它。 我将这个configuration与我以前的证书configuration混合并成功连接。 但是,此configuration要求客户端将本地保存密码。 我必须说,我不明白为什么我应该使用密码,而不是证书,如果它本地保存。 我想要的是使用2因素身份validation – 没有有效证书的客户端即使知道密码也不应该能够进行身份validation,并且在尝试连接时应提示拥有有效证书的客户端input密码。 如果我理解正确,我的select是: 使用可以提示input密码的NetworkManager 使用md5-id-prompt 我不想被绑定到NetworkManager,如果我不必。 第二个选项不起作用,因为我的机器上的ipsec stroke命令没有user-creds子命令。 这可能是因为我使用strongSwan 4.x. 即使这样做,也有两个主要的问题: 必须在命令行中input密码,而不是通过ipsec进行交互式提示,这是一种不好的安全措施。 如果我理解正确,一旦input密码,ipsec守护进程将记住它,直到重新启动,而不是在每个连接中提示。 有什么办法可以在不使用NetworkManager的情况下完成我的目标?
有没有像local = left ,我可以在strongSwanconfiguration中使用? 我不想使用任何IP地址,因为它们可能会改变。 而且我不想让服务器猜测它,我想以毫无疑问的方式修复它。 在我所有的“客户端到站点”configuration中,我都无法将configuration复制到未经修改的另一端。 甚至没有单独的连接部分。 再加上似乎没有办法强行这个事实,这个左派/右派并不是我所喜欢的……
我终于能够在我的电脑(strongswan)和Zyxel Zywall 110之间build立起一条隧道并且正在运行。 我正在使用证书进行连接,并从日志中判断实际的VPN连接似乎已经build立。 May 4 14:14:49 user charon-nm: 10[IKE] authentication of 'remote.company.com' with RSA signature successful May 4 14:14:49 user charon-nm: 10[IKE] IKE_SA Company[1] established between 192.168.43.101[C=NO, CN=user]…XXXX[remote.company.com] May 4 14:14:49 user charon-nm: 10[IKE] scheduling rekeying in 35793s May 4 14:14:49 user charon-nm: 10[IKE] maximum IKE_SA lifetime 36393s May 4 14:14:49 user charon-nm: 10[CFG] […]
我已经安装了strongswan VPN服务器,并testing从Windows机器的连接。 它的工作正常。 但是无法使用Strongswan-network-manager从Ubuntu桌面客户端连接 。 有人请提出build议如何在Ubuntu上设置strongswan客户端,
我有网站,显示数据,从GSM调制解调器接收。 所以我试图连接我的网站到GSMnetworking提供商使用VPN。 供应商方面有一个思科3900,configuration为站点到站点VPN服务器和我的身边我有强大的安装在debian linux和configuration为客户端。 我正在使用本指南进行客户端configurationhttp://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html 在GSMnetworking提供商方面的configuration是这样的: VPN设备版本:Cisco 3900 VPN模块:DES + 3DES + AES VPN网关IP:“VpnGatewayIP” 主机使用VPN:10.248.64.0/20 隧道信息 阶段1(IKE) 身份validation方法:预共享密钥 encryption架构:IKE 完美的前向保密 – IKE:DH Group-5 encryptionalgorithm:AES256 散列algorithm:SHA1 每隔86400秒重新协商一次IKE SA 阶段2(IPSEC) IPSec:ESP 完善的前向保密 – IPSEC:DH Group-5 encryptionalgorithmIPSec:AES256 散列algorithmIPSec:SHA1 每3600秒重新协商IPSec SA 积极的模式:不使用 这是我的configuration文件/etc/ipsec.conf的内容 config setup strictcrlpolicy=no charondebug="ike 1, knl 2, cfg 0" conn %default ikelifetime=1440m keylife=60m rekeymargin=3m keyingtries=1 keyexchange=ikev1 […]