我在云虚拟机上configuration了一个小型networking。 这个虚拟机有一个分配给eth0接口的静态IP地址,我将叫$ EXTIP。 mydomain.com指向$ EXTIP。 里面,我有一些Linux容器,通过在子网10.0.0.0/24(我称为虚拟接口nat )通过DHCP获得他们的IP。 他们运行一些可以通过DNAT达到的服务。 然后我想通过IPSec隧道连接到这些容器,所以我configuration了StrongSwan。 ipsec.conf文件: conn %default dpdaction=none rekey=no conn remote keyexchange=ikev2 ike=######## left=[$EXTIP] leftsubnet=10.0.1.0/24,10.0.0.0/24 leftauth=pubkey lefthostaccess=yes leftcert=########.pem leftfirewall=yes leftid="#########" right=%any rightsourceip=10.0.1.0/24 rightauth=######## rightid=%any rightsendcert=never eap_identity=%any auto=add type=tunnel 一切工作正常,IPSec客户端获得10.0.1.0/24子网的IP,并可以到达容器子网。 我的问题是,我无法通过隧道获得SSH连接。 它根本不工作,SSH客户端不会产生任何输出。 用tcpdump嗅探给出: tcpdump的: 09:50:29.648206 ARP, Request who-has 10.0.0.1 tell mydomain.com, length 28 09:50:29.648246 ARP, Reply 10.0.0.1 is-at 00:ff:aa:00:00:01 (oui Unknown), […]
我试图用iPhone连接到我的局域网,使用思科IPsec VPN连接。 我可以连接到VPN,但我无法访问任何LAN设备。 硬件软件: Strongswan 5.0.4,在路由器上运行 – 华硕RT-AC66U固件:3.0.0.4.374.34_2(Merlin build),asuswrt软件 iPhone(客户端) networking信息: 路由器(=服务器)公网IP:86.xxx,私网ip:192.168.2.1 iPhone公共IP:46.xxx networkingscheme,请参阅图像: https : //dl.dropboxusercontent.com/u/2261256/forums/ipsec/IPsec_diagram.png(我已经将虚拟IP更改为10.11.0.0/24) ipsec.conf文件: conn %default keyexchange=ikev1 authby=xauthrsasig xauth=server conn ios left=%defaultroute leftsubnet=0.0.0.0/0 leftcert=serverLupoCert.pem leftfirewall=yes right=%any rightsubnet=10.11.0.0/24 rightsourceip=10.11.0.0/24 auto=add rightcert=clientLupoCert.pem ip -4为: 1: lo: <LOOPBACK,MULTICAST,UP,10000> mtu 16436 qdisc noqueue inet 127.0.0.1/8 brd 127.255.255.255 scope host lo 2: eth0: <BROADCAST,MULTICAST,UP,10000> mtu 1500 […]
我使用的是strongswan 4.6.4将公路战士连接到我的服务器(ubuntu 13.10),这是在防火墙后面。 left=%defaultroute leftsubnet=10.10.1.0/24 right=%any rightsubnet=10.11.1.0/24 rightsourceip=10.11.1.0/24 “leftsubnet”10.10.1.0/24也是专用的VPN服务networking,服务器本身在networking192.168.1.0/24上,并且在两个networking(192.168.1.2和10.10.1.2)中都有IP地址。 %defaultroute指向192.168.1.1。 vpn本身正在工作,如果ufw防火墙没有运行,那么从road warrior客户端访问服务器正在工作。 tcpdump显示从10.11.1.1到10.10.1.2的stream量。 现在ufw防火墙启动的时候,隧道创build仍然有效,但是来自路由器的交通是源和目的地。 这意味着tcpdump将客户端的公有IP显示为源IP而不是虚拟IP 10.11.1.1,而将目标IP显示为192.168.1.2而不是10.10.1.2。 当然,iptables中没有nat规则。 我怎样才能确定这个问题? AFAIK ufw只是维护iptables规则。 当ufw处于活动状态时,nat在哪里发生? 非常感谢!
我想用PKIauthentication来设置Strongswan / Libreswan。 现在我已经search,只发现如何configuration特定的接受客户端证书,如: http : //technikenity.blogspot.com/2013/06/howto-windows-8-ikev2-vpn-with.html 我想要做的事情就像是rightCA = companyCA.pem这将使Strongswan接受任何可以build立对CA的信任的客户端证书。 编辑:我也想有一个授权的身份validation的客户端(例如对LDAP)
在我的最后,我有一个StrongSwan安装,连接到一个运行库存isakmpd的OpenBSD盒子托pipe的IPSec VPN。 OpenBSD中已经包含了多个其他的关联,但是StrongSwan框是一个新的客户端。 我拥有的证书(一个x509证书)已成功地用在TheGreenBow作为客户端的Windows机器上,而且我几乎可以使用StrongSwan。 它成功地build立了联系并组织一个安全协会。 然而,没有stream量实际上stream过它 – 它似乎没有使用leftsourceip下设置的值。 ipsec statusall给出了以下内容: vpn{1}: AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying in 25 minutes vpn{1}: 192.168.1.6/32 === 172.17.1.0/24 192.168.1.6是我的本地IP。 leftsourceip设置为172.18.1.97 。 我的理解是,由状态命令显示的192.168.1.6/32实际上应该是172.18.1.97/32 – 几乎就像它忽略了值集? 还有什么可能会导致一个问题?
有什么办法可以configurationstrongswan自动开始encryption给定的子网,而不是特定的主机? 例如,如果我知道在wxyz/28主机将具有相同的PSKconfiguration。 我想一次性configuration所有这些: conn protected left=%any right=%any rightsubnet=wxyz/28 auto=route forceencaps=no type=transport mobike=no authby=psk 或类似的。 我想避免分别指定每一个。 我期望路线上的陷阱根据需要做必要的启动。 但strongswan拒绝这样的工作,并声称installing trap failed, remote address unknown 。 这种情况有可能吗?
我正在尝试使用StrongSwan解决站点到站点的VPNconfiguration问题,这将允许远程站点连接到我们的AWS VPC。 值得注意的是,远程网关可能会使用与VPC相同的子网,并且它们将无法在其端点上执行任何NAT,因此都必须在AWS网关上完成。 我遇到了IKEV2和StrongSwan的“虚拟IP”支持,我认为结合IPTable规则可以解决这个问题。 虽然我有几个关于这个架构的问题,你可以在下面的图中看到。 我们在VPC中为映射的远程VPN设备定义了一个特殊的子网,这是为了确保我们有足够的空间,因为在VPC的其他地方会有很多自动缩放。 最终,我select的架构将需要能够支持所有连接到我们的VPC的多个远程站点。 首先,在这种情况下,这种架构看起来是否合理,还是有更好的方法来完成这一点? 假设问题1的答案是肯定的, 我很容易确定一个虚拟子网,使其不会与我的VPC(10.0.0.0/16)或远程站点(10.0.0.0/16)重叠,例如我手动select11.0.0.0/24。 我如何跟踪虚拟池中的谁是谁? 地址是否简单映射为1对1,例如10.0.0.15 – > 11.0.0.15? 跟踪这个映射的最好方法是什么? 我喜欢特殊子网“Mapped VPN Subnet”的想法,因为我可以跟踪我的可用空间。 然而,你认为这种方法只是使拓扑过于复杂? 另一种select是废弃该子网并简单地使用虚拟IP池。 假设问题#3的答案是肯定的, 实施NAT IPTable规则的最佳方式是如何在虚拟池中寻址PRE / POST路由到“映射的VPN子网”。 像这样的东西? 规则 iptables -t nat -A PREROUTING -d <virtual address> -j DNAT –to-destination <mapped vpc address> iptables -t nat -A POSTROUTING -d <mapped vpc address> -j SNAT –to-source <virtual […]
我已经实施了一个StrongSwan VPN服务器,并希望将其configuration为dynamic分配IP到最终客户端。 如果我给它一个IP范围的VPN工作,但不是如果我把它设置为DHCP。 这是我的dhcp.conf文件: dhcp { # Always use the configured server address. force_server_address = yes # Derive user-defined MAC address from hash of IKE identity. # identity_lease = yes # Interface name the plugin uses for address allocation. # interface = # Whether to load the plugin. Can also be an integer to increase […]
我想将我的Ubuntu 14.04服务器与Strongswan连接到Microsoft Azure网关。 我只想在Azure和Ubuntu服务器之间build立连接。 在Azure中,我configuration了一个dynamic网关。 Azure的: 虚拟networking: 10.0.1.0/24(整个虚拟networking) 10.0.1.0/27(VM的子网) 10.0.1.32/29(网关的子网) 1.1.1.1(网关IP) 本地networking: 10.0.2.15/32(networking) 2.2.2.2(网关地址) 带有Strongswan的Ubuntu Server 14.04: StrongSwan:Linux strongSwan U5.1.2 / K3.16.0-49-generic networking: 10.0.2.15(与strongswan Ubuntu的服务器) 2.2.2.2(带NAT的网关) CONFIGS: /etc/ipsec.conf: conn azure type=tunnel closeaction=restart dpdaction=restart ike=aes256-sha1-modp1024 esp=aes256-sha1 reauth=no keyexchange=ikev2 mobike=no ikelifetime=28800s keylife=3600s keyingtries=%forever leftauth=psk left=10.0.2.15 # local instance ip (strongswan) leftsubnet=0.0.0.0/0 leftid=10.0.2.15 # local instance ip (strongswan) […]
我已经在strongswan服务器和Windows 10客户端上configuration了ikev2 vpn,并且工作正常。 授权方法是leftauth=pubkey和rightauth=eap-mschapv2 。 由于左侧授权服务器是自签名的,所以我必须在机器上导入CA cert,这有点棘手。 然后我想知道我是否可以使用来自公共CA的证书,这样我就不需要在客户机上导入。 我试图在服务器上的ipsec.d/cacerts放入根CA证书和中级CA证书,但客户端一直收到13801错误 。 在客户端机器上安装中级证书后,它工作得很好。 显然,13801错误是由于中间证书没有导入。 有什么办法来configuration服务器,以便客户端不需要导入中间证书?