我有一个IKEV2 VPN设置(包括证书),在Windows 7上运行良好。在Windows 10上,相同的configuration失败,'IKE身份validation凭据是不可接受的'。 服务器是StrongSwan。 日志中连接尝试的最后一行是: 2016-02-11T12:34:57.457606+00:00 e01pfw01 charon: [info] 05[IKE] assigning virtual IP 10.7.220.6 to peer '**<removed>**' 2016-02-11T12:34:57.461904+00:00 e01pfw01 charon: [info] 05[IKE] CHILD_SA rw-ops{5592} established with SPIs c221e19b_i 29212c9e_o and TS 10.6.75.0/24 10.7.240.0/20 === 10.7.220.6/32 2016-02-11T12:34:57.518381+00:00 e01pfw01 vpn: [notice] + **<removed>** 10.7.220.6/32 == 212.159.106.131 — 62.23.139.70 == 10.6.75.0/24 2016-02-11T12:34:57.580529+00:00 e01pfw01 vpn: [notice] + **<removed>** […]
我正在尝试build立到网关的IPSec安全连接。 有三个主机: A: eth1 – fec0:1::1/64 B: eth1 – fec0:1::2/64 eth2 – fec0:2::2/64 which is gateway between A and C; forwarding is set to 1 in sysctl C: eth1 – fec0:2:3/64 我想在A和B之间build立IPsec连接,这将在B和C之间不安全地转发。 ipsec.conf文件: config setup charondebug="ike 2, knl 2, cfg 1" ca strongswan cacert=ca.crt auto=add conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 mobike=no keyexchange=ikev2 conn host-host […]
我有一个强大的实施,并遇到了一个问题,当有两个用户在同一个NAT后面,第二个“踢开”第一个。 我能够解决这个问题使用: 机器证书。 EAP-MSCHAPv2具有唯一的用户名。 EAP的问题是,用户名必须是唯一的。 “Bob”和“Bill”在NAT后面工作正常,但是以“Bob”login的两台设备互相踢开(第二台设备工作,但第一台设备停止ping出)。 每个用户都从池中分配一个唯一的虚拟地址 这是一个问题,因为我想用一个通用的用户名\密码来提供数百个设备。 我确定也可以使用PSK,但是上次我尝试过PSK时,两个具有相同PSK的设备将会相互启动。 我更喜欢使用IKEv2,但如果需要的话,可以使用IKEv1 \ L2TP。 我认为这是可能的,因为Strongswan可以找出如何使用SPI重新encryption返回数据包。
Auth使用证书制作 Ubuntu 16.04 + strongswan。 从win7连接的客户端,像在strongswan Wiki中说的那样添加了证书。 configuration也像在strongswan维基,但我得到错误:'plutostart不赞成,所以我删除它。 所以我的ipsec.conf : config setup #plutostart=no conn win7 left=%defaultroute leftcert=vpnHostCert.der leftsubnet=0.0.0.0/0 right=%any rightsendcert=never rightsourceip=10.42.42.0/24,2002:25f7:7489:3::/112 keyexchange=ikev2 auto=add 日志: Jun 28 03:20:26 myserver charon: 12[IKE] IKE_SA (unnamed)[2] state change: CONNECTING => DESTROYING Jun 28 03:20:30 myserver charon: 13[NET] received packet: from MYIP[500] to SERVERIP[500] (528 bytes) Jun 28 03:20:30 myserver […]
我在Debian Jessie上使用strongSwan 5.2.1,并且无法configuration它来执行我想要的操作。 前提 在testing环境中,我试图在Linux虚拟机和configuration为活动模式下的FTP服务器的Windows虚拟机之间使用传输模式IPsec。 IPsec将仅适用于FTPstream量; 也就是在Windows VM上的TCP端口20和21的stream量。 两个主机之间的所有其他stream量(例如ping)应该是未encryption的。 在现实世界的情况下,我这样做,FTP服务器的IP地址会有所不同,因此我希望我的strongSwanconfiguration不必引用特定的远程IP。 Linux上的ipsec.conf文件 内容如下: # ipsec.conf – strongSwan IPsec configuration file # basic configuration config setup # strictcrlpolicy=yes # uniqueid = no # Add connections here. include /var/lib/strongswan/ipsec.conf.inc conn main type=transport left=%any right=10.1.1.2 leftauth=psk rightauth=psk ike=3des-sha1-modp1024 esp=3des-sha1 keyexchange=ikev1 conn data also=main rightsubnet=%dynamic[6/20] auto=route conn command also=main rightsubnet=%dynamic[6/21] […]
我在ServerA和ServerB上configuration了strongswan,并通过本教程成功地将它们隧道化了: http ://linoxide.com/how-tos/ipsec-vpn-gateway-gateway-using-strongswan/但是我想运行这个senario: 客户端[IKEV2 VPN连接] ———–>服务器A — [Strongswan隧道] ——->服务器B ——->客户端的Internet访问服务器B的IP地址 服务器具有公共IP,客户端应连接到服务器A,然后他的stream量将从服务器Aredirect到服务器B,客户端将使用服务器B IP地址访问互联网。 有人能帮我吗我该怎么办? 谢谢
我希望我的服务器为每个尝试连接的客户端设置一个vpn连接,其中客户端通常具有dynamic地址。 最重要的是,是否有可能在不使用证书的情况下为每个客户提供独特的psk?
我怎么能configurationstrongSwan要求除了SSH连接的所有连接IPSec? 我试图创build两个连接: 使用直通模式(left =%any / right =%any)和leftsubnet =%dynamic [tcp / 22]为SSH创build一个“连接” 使用传输模式保护所有stream量(左=%任何/右=任何) 但是,当我重新启动strongSwan时,我无法SSH进入服务器。 在我看来,我必须优先考虑这些关系,但是我没有办法做到这一点。 任何帮助将不胜感激。 问候,乔臣
我已经在AWS的一个区域和使用OpenStack实现的数据中心之间build立了一个VPN连接: |—AWS——————| |—–OpenStack———-| Private IP EIP Float. IP Private IP 10.2.10.250 <-> 35.x.255.x TUNNEL 75.x.65.x <-> 172.16.0.156 如果我尝试从OpenStack中的主机ping到AWS中的另一个主机,我没有得到答复。 这是从10.2.10.250 VPN服务器中运行的tcpdump的一行: 3:04:01.523351 IP 172.16.0.156 > 10.2.10.27: ICMP echo request, id 9407, seq 8, length 64 问题是,我正在ping的服务器不是172.16.0.156,而是类似于172.16.0.125。 所以我认为在OpenStacknetworking中有一些东西是强制SNAT的。 我刷新了两台主机上的所有iptables。 我在两个AWS区域复制了环境,并且ping工作,源IP是正确的。 这是/etc/ipsec.conf文件: config setup charondebug="all" uniqueids=yes strictcrlpolicy=no conn %default ike=aes256-sha2_256-modp1024! esp=aes256-sha2_256! keyingtries=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=restart auto=start […]
基本上我试图通过IPsec site2site连接一个pfSense到EdgeRouter。 (由'1.2'混淆的公共ipnetworking) [pfsense] <-> [edgerouter] public: 1.2.156.229/30 <-> 1.2.112.249/30 tunnel: 10.5.44.100/24 <-> 10.20.30.100/24 两个站点上的IPsec设置: 阶段1:IKEv2 PSK AES128 SHA1 DH2 阶段2:ESP AES128 SHA1 EdgeRouter通过网状路由OLSR可以访问Internet,因此它的网关通常是非本地的,如果网状networking发生变化,它也会发生变化。 这是OLSR这样devise的,所以在这个设置中它没有错,网关不在同一个子网上。 隧道/连接已经启动,但是没有stream量通过它,所以在两个站点上提高了strongswan内核日志级别和在charon.log中挖掘之后,我在EdgeRouter上发现了一个设置路由的问题: charon.log在edgerouter上: Mar 4 23:27:27 12[KNL] <peer-1.2.156.229-tunnel-1|1> getting a local address in traffic selector 10.20.30.0/24 Mar 4 23:27:27 12[KNL] <peer-1.2.156.229-tunnel-1|1> using host 10.20.30.100 Mar 4 23:27:27 12[KNL] <peer-1.2.156.229-tunnel-1|1> sending RTM_GETROUTE […]