我试图在ubuntu服务器上使用StrongSwan创build一个ikev2 VPN。 现在,在Windows 10客户端, use default gateway on remote networkclosuresuse default gateway on remote network选项; 所以当我连接到服务器时,stream量将完全绕过VPN,除非手动启用该选项。 但是,Windows 10 Mobile没有这个选项。 在StrongSwan网站上 ,有一段关于这个问题以及如何解决这个问题: Microsoft为新的VPN连接更改了Windows 10桌面和移动VPN路由行为。 VPN连接的高级TCP / IP设置中的选项“在远程networking选项上使用默认网关”现在默认处于禁用状态。 您可以在桌面上启用此选项,但无法在移动设备上执行此操作。 幸运的是,Windows在连接时发送DHCP请求,并添加DHCP答复选项249中提供的路由。 (然后是一个示例dnsmasqconfiguration文件) 但目前还不清楚如何configurationStrongSwan,我找不到任何明确的资源。 所以问题是,我怎么能configurationStrongSwan告诉Windows 10通过VPN移动整个互联网stream量(ipv4)? 这是我的ipsec.conf : # ipsec.conf – strongSwan IPsec configuration file config setup uniqueids=never charondebug="cfg 2, dmn 2, ike 2, net 2" conn %default keyexchange=ikev2 […]
我已经在我的服务器上安装了ikev2 vpn,但没有像openvpn(tun0)那样的通道接口。 所以我不能使用tc来限制ikev2 vpn速度。 下面的openvpn(tun0)的stream量分布示例。 tc qdisc del dev tun0 root tc qdisc add dev tun0 root handle 1: htb tc class add dev tun0 parent 1:1 classid 1:10 htb rate 1mbit ceil 1mbit tc class add dev tun0 parent 1:1 classid 1:20 htb rate 1mbit ceil 1mbit tc qdisc add dev tun0 parent 1:10 […]
我们开发业务的客户已经提供了访问他们的IPSec VPN的权限(匿名): 网关:example.fake 组:MYGROUP 用户:MYUSER 密码:MYPASSWORD PSK:MYPSK 他们还提供了configuration的参数: 阶段1 身份validation:SHA1 encryption:AES 256 SA寿命:1小时 重点组:迪菲·赫尔曼组2 NAT Traversal&DPD已启用 保持活动时间间隔:20秒 阶段2 types:ESP 身份validation:SHA1 encryption:AES 256 强制密钥过期:1小时 连接types为IKEv1,并且只通过特定IP 1.2.3.4通过VPN隧道configuration访问权限,因为这是我们必须达到的唯一一台机器。 目标和尝试 我想弄清楚如何configurationStrongSwan连接到他们的VPN。 我需要这个与Ubuntu服务器16.04 VPS的工作。 我试图按照一堆指南,但有些是为了StrongSwan的旧版本,所以他们没有工作。 最后我编辑了/etc/ipsec.conf并进行了以下尝试的configuration: config setup conn myconn authby=xauthpsk dpdaction=restart esp=aes256-sha1 ike=aes256-sha1-dh2 ikelifetime=1h keyexchange=ikev1 leftauth=psk leftauth2=xauth leftgroups=MYGROUP leftid=@MYUSER right=example.fake rightsubnet=1.2.3.4/32 我创build了/etc/ipsec.secrets : : PSK "MYPSK" MYUSER: XAUTH "MYPASSWORD" […]
我的Roadwarriors通常使用与我公司networking相同的networking地址(192.168.0.0/24)。 默认情况下,Windows客户端会安装一条新的路由,将所有目的地的stream量路由到192.168.0.0/24到VPNnetworking。 所以他们自己的本地networking设备无法访问。 为了避免这种情况,我禁用了这个默认行为。 所以根本没有安装客户端路由。 出于这个原因,我必须自己安装路线。 我试图通过VPN DHCP服务器(选项121)和StrongSwan DHCPplugin实现。 但似乎DHCPplugin只推送给客户端分配的IP地址,而不是DHCP服务器提供的路由。 有谁知道如何解决这个问题? 我需要strongswan服务器将DHCP路由推送到客户端。
我正在使用ArchLinux系统尝试连接到由Juniper SRX100H提供服务的公司VPN。 我试图连接Strongswan(5.5.3-3),它似乎是成功的: Starting strongSwan 5.5.3 IPsec [starter]… generating QUICK_MODE request 2638887156 [ HASH SA No KE ID ID ] sending packet: from 192.168.1.204[4500] to 10.0.0.1[4500] (396 bytes) received packet: from 10.0.0.1[4500] to 192.168.1.204[4500] (364 bytes) parsed QUICK_MODE response 2638887156 [ HASH SA No KE ID ID ] CHILD_SA test{2} established with SPIs cad5681f_i 4015b7bd_o […]
我有一个与MySQL工作的RADIUS服务器,我使用这个RADIUS为2个不同的服务的AAA, Service1使用Auth-Type作为“PAP”,Service2使用“EAP” radcheck table +—–+———-+——————–+—-+————–+ | id | username | attribute | op | value | +—–+———-+——————–+—-+————–+ | 474 | varun | Cleartext-Password | := | sunshine3003 | +—–+———-+——————–+—-+————–+ radreply table +—-+———-+————–+—-+——-+ | id | username | attribute | op | value | +—-+———-+————–+—-+——-+ | 1 | varun | Fall-Through | = | Yes | […]
我必须build立VPN隧道,在这个隧道中,对方已经发送了我的公有IP(yyyy)而没有子网。 我正在使用Strongswan 5.3.5。 我知道连接是可能的没有rightsubnet感谢可能IPSec VPN隧道公共IP地址? 。 阶段1被设置,但在阶段2中出现错误。 错误是越来越是: parsingCREATE_CHILD_SA响应13 [N(TS_UNACCEPT)]收到TS_UNACCEPTABLE通知,未build立CHILD_SA 以下是我的configuration conn vpn-2 left=192.168.0.5 leftsubnet=192.168.0.0/28 leftid=xxxx right=yyyy rightsubnet=%any rightid=%any keyexchange=ikev2 ike=3des-md5-modp1024 esp=aes256-sha1 type=tunnel 我还是一个新的VPN连接,但我已经build立了一个之前有的子网,但在这种情况下,没有正确的子网。 我被困在这个好几天了。
我设法在两个(虚拟)主机之间以传输模式build立IPsec连接,现在我希望服务器使用OCSP来validation客户端的证书。 在第三台主机上,我运行了一个OCSP应答器( openssl ocsp -port 80 … )。 我可以看到服务器如何能够到达OCSP,发送查询并得到答复,但最后validation失败。 以下是日志在服务器(IPsec响应者)中所说的内容: charon: 01[CFG] checking certificate status of "C=ES, ST=Gipuzkoa, L=Donostia-San Sebastian, O=Tecnalia, CN=client@localhost" charon: 01[CFG] requesting ocsp status from 'http://ocsp.localhost' … charon: 01[CFG] using trusted ca certificate "C=ES, ST=Gipuzkoa, L=Donostia-San Sebastian, O=Tecnalia, CN=Tecnalia Root CA" charon: 01[CFG] reached self-signed root ca with a path length of […]
我正在尝试构build一个VPN设置,其中有几个Road-Warriors(各种操作系统)想要与VPN网关后面的内部networking进行通信。 关键事实是: 内部networking是10.254.0.0/24 没有DHCP 内部主机都是RHEL / CentOS 6 Road-Warriors在10.2.0.0/24内分配虚拟地址 VPN网关是RHEL 6盒,其中包含: 内部地址10.254.0.111 外部地址XXXX VPN网关不是内部主机的默认网关 VPN是使用Strongswan实现的 到目前为止,Road-Warriors成功连接到VPN网关。 问题是,在每个内部主机上,如果我希望它们可以访问RW,就必须设置路由表来发送10.2.0.0/24stream量到10.254.0.111。 什么是其他选项? 如何集中pipe理路由信息,以便内部主机自动发现?
我相信我已经遵循了所有的指示,而我的胜利7确实被连接了,但是没有互联网。 背景: 服务器操作系统 :在linode xen VPS上的Ubuntu 12.04 strongSwan版本 :4.6.4 /etc/ipsec.conf中的configuration: config setup charonstart=yes plutostart=yes nat_traversal=yes uniqueids=yes conn ios keyexchange=ikev1 authby=xauthpsk xauth=server left=%defaultroute leftsubnet=0.0.0.0/0 leftfirewall=yes right=%any rightsubnet=10.11.0.0/24 rightsourceip=10.11.0.0/24 pfs=no auto=add conn win7 keyexchange=ikev2 ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=clear dpddelay=300s rekey=no left=%defaultroute leftsubnet=0.0.0.0/0 leftauth=pubkey leftcert=serverCert.pem leftid="C=CH, O=strongSwan, CN=VPS ip" right=%any rightsourceip=10.11.1.0/24 rightauth=eap-mschapv2 rightsendcert=never eap_identity=%any auto=add 在/etc/strongswan.conf中添加了dns: charon { dns1 […]