我有一个VPN服务器启动并运行在Windows Server 2003上。所有的用户都能够连接到服务器和NAT他们的IP(使用服务器的IP和互联网)。 但我的问题是政府过滤我的Windows服务器,我需要一个隧道我的服务器路由所有与pptp和l2tp协议连接的VPN用户stream量到我的服务器到鱿鱼代理。 我有一个代理服务器地址和端口configuration。 我的问题是如何configurationRRAS路由通过这个代理服务器的所有stream量?
我有一个Windows 7 IPSec VPN设置。 在Wireshark中检查由Windows生成的IPSec数据包时,相应的有效负载按预期encryption。 有没有办法检查未encryption的有效载荷进行debugging?
场景: 我们有两个办事处之间的networking链接。 链路由第三方公司通过其networking上的VLAN提供,但对我们来说,它是完全透明的 – 就像我们有一根简单的以太网电缆从一个地方到另一个地方一样。 我们在链路的每一侧都有一个路由器,两个之间有三个VPN隧道。 testing: 使用的程序: LanSpeedTest 100MB传输设置。 我还用Teracopy转移了一个2GB的文件,并检查了平均速度(结果与LanSpeedTest相同)。 当我testingnetworking与路由器连接的速度时,一台笔记本电脑直接连接到路由器的两端,我一直得到〜30 / 35Mbps。 但是,如果我拿出路由器,并testing将笔记本电脑直接连接到每侧的以太网电缆的链路,我一直得到〜85 / 88Mbps。 这是一个相当大的性能影响,我倾向于认为VPN隧道负责减速。 这种configuration是否正常(两台路由器之间有三条VPN隧道)会带走很多带宽? 更多信息: VPNtypes为IPSec,encryptionalgorithm为AES128。 路由器型号是Zyxel USG200和Zyxel USG1000,其CPU,内存和存储使用率都在正常范围内。 ADP,IDP,防病毒,内容filter和反垃圾邮件在两台路由器上均被禁用。 networking链路的标称带宽为100Mbps。 有问题的networking链接由第三方公司提供(我们两个办公室之间的大楼)。 基本上,它通过networking作为一个VLAN,但是VLAN对我们来说是完全透明的(例如,我们这边没有configuration,就像端到端的单根电缆一样)。 不幸的是(或者幸运的是)我不能直接testing不同的路由器configuration,因为我不是负责人。
我有Debian稳定的VPN服务器。 LAN(灰色networking)中的人员使用此服务器访问互联网(WAN)。 但我也想使用这个VPN服务器,像“代理”(从互联网连接,浏览网页)。 我可以通过互联网连接到服务器,但互联网不工作:客户端从服务器获取IP,也可以ping其他客户端,但不能ping默认网关(这是GRE tun内的服务器的IP地址)。 添加默认路由到网关没有帮助。 我的PPTPDconfiguration: ─➤ grep -v '^$\|^\s*\#' /etc/pptpd.conf option /etc/ppp/pptpd-options logwtmp localip 192.168.4.1 remoteip 192.168.4.2-30 ─➤ grep -v '^$\|^\s*\#' pptpd-options name pptpd refuse-pap refuse-chap refuse-mschap require-mschap-v2 nodefaultroute debug lock nobsdcomp ─➤ sysctl -a | grep ip_forward net.ipv4.ip_forward = 1 iptables规则: iptables -t nat -I POSTROUTING -s 192.168.4.0/255.255.255.0 -j MASQUERADE iptables -I […]
我们正在考虑将60多个子域中的35k用户迁移到父域(root)域。 我们能够使用ADMT迁移用户。 用户可以随后使用其根域凭据login,一切正常。 但是,我们有很多用户只能通过VPN连接。 我们正在使用基于用户证书的VPN。 用户必须先使用来自传统域的caching凭据login到工作站,然后才能build立到公司networking的安全连接(通过用户证书对VPN端点进行身份validation)。 我们能够将用户迁移到父域。 只要客户端没有连接到DC,用户就可以使用他的caching凭据login,甚至可以启动VPN连接。 在这一点上,他将不得不注销,然后用他的新(根)域凭据login。 但是,一旦他注销VPN隧道终止,用户无法对根域的DC进行身份validation。 如果没有第一次身份validation,就没有可存储在客户端上的根域的caching凭据,我们又回到了开始阶段。 不幸的是,VPN客户端不能以允许用户注销并保持build立VPN隧道的方式进行configuration。 我们也试图做一个“runas”或“切换用户”,但它不会工作。 有什么build议么? 我希望我清楚,如果不让我知道,我会很乐意详细说明。
我正在尝试做的是build立一个公共的networking应用程序,但调用内部networking上的数据库。 我一直在试图build立一个公有子网,私有子网和硬件VPN访问的AWS VPC,但我似乎无法使它工作。 有人能帮我理解这里的stream程应该是什么吗? 我的理解是,我需要一个公共的子网来处理网站的请求,然后一个私人的子网连接到VPN,但我不明白的是如何发送请求下链并得到响应。 基本上我问的是如何通过该公共网站的VPN查询数据库? 我在尝试转发时尝试过,但无法成功完成此过程。 有没有人有任何build议,我可以阅读关于这个问题或关于设置这样的问题的常见问题? 这甚至有可能吗? 我在这里脱离了联盟,这不是我的专业领域,但我被要求解决这个问题。 任何帮助,将不胜感激。 谢谢
我有一个运行Debian 6的专用Web服务器,以及一些Apache,Tomcat,Asterisk和Mail-stuff。 现在我们需要为特殊的程序添加VPN支持。 我们安装了OpenVPN并向VPN提供商注册。 连接运行良好,我们有一个虚拟tun0接口用于隧道。 为了将通过VPN隧道传输单个程序的目标归档,我们用程序启动程序 sudo -u username -g groupname命令 并添加了一个iptables规则来标记来自groupname的所有stream量 iptables -t mangle -A OUTPUT -m owner –gid-owner groupname -j MARK –set-mark 42 之后我们把iptables告诉一些SNAT,并告诉ip路由使用特殊的路由表来标记stream量数据包。 问题:如果VPN失效,那么特殊的待通过隧道的程序有可能通过正常的eth0接口进行通信。 期望的解决scheme:所有标记的stream量不应该直接通过eth0,必须先通过tun0。 我尝试了以下不起作用的命令: iptables -A OUTPUT -m owner –gid-owner groupname! -o tun0 -j拒绝 iptables -A OUTPUT -m owner –gid-owner groupname -o eth0 -j REJECT 这可能是问题,上面的iptable规则不起作用,因为数据包首先被标记,然后放入tun0,然后通过eth0传输,而他们仍然被标记。我不知道如何在tun0之后去掉它们,或者告诉iptables,所有标记的数据包可能会通过eth0,如果它们在tun0之前,或者它们去了我的VPN提供商的网关。 有人有任何想法解决scheme吗? 一些configuration信息: iptables -nL […]
上图显示了我在OpenVPN连接过程中发生的事情。 主机A和B通过1.2.3.4:1194的VPN服务器连接到VPN。 我的问题是:如果主机A希望向主机B发送一个数据包(如ICMP回显数据包),那么数据包如何遍历到达B? 我最初的想法是: 该进程创build目的地为10.20.0.6,源为192.168.0.x的数据包(源IP为192.168.0.x,考虑到应用程序不知道VPN连接)。 从推送到应用程序计算机的路由表中,数据包被发送到虚拟接口。 主机A的虚拟接口将数据包封装为主机B面向广域网的地址(3.4.5.6)。 这到目前为止是正确的吗? B的路由器如何知道这个数据包是发往主机B? 主机A是否把1.2.3.4作为目的地(而不是3.4.5.6),让VPN服务器通过服务器与Bbuild立的连接重新路由? B的路由器是否必须进行预先设置才能允许任何types的VPN连接?
背景:我正在作为一个小型网站devise机构的承包商。 我们有一个特定的项目/客户端要求所有执行的更新/开发都是通过VPN完成的。 客户端VPN需要一个静态IP地址,并使用Cisco AnyConnect连接。 他们规定,所做的任何工作必须在网站devise机构的现场,或者我们必须VPN进入网页devise机构的位置。 作为一个小型devise机构,我工作的人没有VPN或静态IP地址。 所以,在我个人的Linode上,我使用OpenVPN Access Serverbuild立了一个VPN。 我可以连接到我安装好的VPN服务器。 我也可以访问客户端VPN的networkinglogin很好。 但是,一旦Cisco Anyconnect尝试连接到客户端VPN,我会收到错误消息“VPN客户端无法修改IP转发表,VPN连接将不会build立,请重新启动计算机或设备,然后重试。 我在另外一台电脑上试了一下,得到同样的问题。 以前,我们有客户端白名单我的家庭IP(这不再是一个选项)和VPN连接就好了。 除了OpenVPN现在在中间,没有什么改变了。 我在这里错过了什么? 这是可能的和/或平常的东西吗? 我想要使用Cisco Anyconnect将家庭计算机> Linode与OpenVPN>客户端VPN连接起来。 任何帮助和见解将不胜感激。 谢谢。
我们正在改变互联网服务提供商,在最后一刻,新公司拒绝build立我们目前拥有的关键VPN隧道。 数据通过一条线路进入我们的办公室,进入ISP控制的防火墙,然后从那里进入我们的交换机。 目前,防火墙具有VPN设置,可以创build到第三方办公室的隧道,而第三方办公室则托pipe我们的网站服务器,从而使本地networking中的任何计算机都可以与Web服务器进行通信,而无需在每台服务器上进行任何设置。 新的ISP拒绝创buildVPN,除非他们两端都有自己的硬件。 有没有办法让我从防火墙的“内部”设置VPN,以便我们可以拥有相同的function?