站点到站点的IPSEC vpn是否需要一直保持与keepalive的连接/隧道,还是有可能只在需要的时候encryption数据包(当它匹配路由或类似的东西时)?
我有一个运行pptpd和dnsmasq的ubuntu 14服务器。 我在configurationufw遇到问题,允许pptp客户端使用本地dnsmasq服务器来parsing他们的DNS查询。 我已经正确configuration了pptpd和dnsmasq(在服务器上使用dnsmasq还有一些其他的服务),当pptp-options直接设置到Google的公共dns时, pptpd客户端能够parsing网站: ms-dns 8.8.8.8 。 如果我将ms-dns为127.0.0.1 ,则无法parsing。 我也尝试了许多不同的NATconfiguration和不同的内部IP(我意识到将DNS设置为127.0.0.1将导致客户端尝试将DNSparsing到其本地计算机,并尝试将其设置为服务器公共IP地址同样,但自然这被UFW封锁)。 我试图不让 dnsmasq向世界开放。 我如何configurationufw正确地允许连接pptp客户端使用本地主机parsing? 我已经按照这个指南configuration了pptpd: https ://askubuntu.com/questions/119534/easiest-way-to-setup-ubuntu-as-a-vpn-server 感谢您的任何指导/build议/支持!
我有一个使用10.10.0.0/16networking的VPC和公有子网( 10.10.0.0/24 )中的VPN服务器。 VPN使用10.11.254.0/24范围内的地址。 当我连接到VPN时,我可以访问公有子网和私有子网( 10.10.1.0/24 )中的主机,所以我相信我已经正确地build立了路由表,以便通过VPN发回绑定到VPN的数据包服务器。 我禁用了VPN服务器上的源/目标检查(也需要能够访问networking中的其他主机)。 AmazonProvidedDNS服务器似乎在VPC内正常工作; 我可以从VPC中的主机运行dig @10.10.0.2 ip-10-10-1-215.ec2.internal ,并获得预期的响应。 但是,如果我运行从可能笔记本电脑,连接到VPN相同的dig命令,我没有得到任何回应。 从在vpn服务器上运行tcpdump,我看到A? 数据包来自我的VPN地址,去10.10.0.2 ,但我没有看到任何回应回来。 有什么我需要做的,使DNS服务器回答来自VPC地址范围外的请求?
这里有一个有挑战性的问题 我们有一台Fortigate 620B,我们正尝试使用它来将一些stream量通过VPN隧道发送给客户。 我们希望stream量通过我们的一个公共IP(我们将它设置为使用特定公共IP地址的NAT地址)与我们的接口连接到客户端上的公共IP。 我有一个configuration,我相信应该工作,除了stream量,因为它击中链接说,它来自我们的内部IP地址( 192.168.XX ),而不是公共IP地址( xxxx )。 我们在日志中得到的错误: id=13 trace_id=368 msg="vd-root received a packet(proto=6, 192.168.XX.XX:50470->XX.XX.183.94:443) from port8. flag [S], seq 342573222, ack 0, win 8192" id=13 trace_id=368 msg="Find an existing session, id-0a2bb411, original direction" id=13 trace_id=368 msg="enter IPsec interface-XXX_P2P" id=13 trace_id=368 msg="No matching IPsec selector, drop" 它会丢弃数据包,因为VPN上的快速模式select器被设置为使用我们的公共IP而不是我们的私有IP。 这里的挑战是我们和我们的客户端使用相同的私有IP空间,所以我们必须在stream量的两端都进行NAT。 为了解决这个问题,我有一个阶段1提案和两个阶段2提案。 路由规则起作用是因为静态路由引导数据包到VPN接口,并且策略规则工作,但由于某种原因,NAT不能正常工作。 我很乐意提供任何可以帮助解决问题的信息。
我在一家数字电视广播公司(有线电视)工作,我们有两个首端,一个在美国,另一个在加勒比海地区,我们目前在两个站点之间使用思科L2TPv3伪线VPN连接两个站点,但是,因为我们正在运行在多播地址上使用RTP(UDP)在此伪线上的videostream; 如果/当数据包通过互联网采取不同的路由并且按顺序到达接收端时,我的MPEG传输stream将具有连续性计数错误(并且它们中的PID可能使客户影响伪像)。 由于上述问题,我打算用一些其他的VPN技术取代伪线,这些技术对不按顺序发送的数据包进行重新sorting,但是我不确定有什么替代scheme可用(如果有的话)。 那么我的问题是,我可以用什么策略或技术来最小化上述问题的影响?
我目前在Cisco ASA 5550和Cisco ASA5506-X之间build立了站点到站点VPN隧道。 我可以看到vpn隧道在两端都通了,但是没有stream量通过。 Cisco ASA 5550正在接收数据包,但不发送任何数据包。 我试图检查所有设置,但无法find任何解决scheme。 我已经重置了Crypto ikev1&ikev2&ipsec sa思科ASA5506-X还设置了三个到思科ASA 5505的VPN通道,它们都按照应有的方式工作。 我们以前有Cisco PIX防火墙与vpn隧道到思科ASA 5550,最近由思科ASA 5506-X取代它应该为它的工作3天。 在Core防火墙中发布L2L vpn会话的结果: Core-ASA5550(config)#show vpn-sessiondb l2l filter ipaddress 151.XXX 会话types:LAN到LAN IKEv2:(1)AES256 IPsec:(1)3DES哈希值:IKEv2:(1)SHA1 IPsec:(1)SHA1字节数Tx:0 Bytes Rx:9124login时间:11:40:05 GMT / BDT星期一2015年6月22日Duration:0h:05m:10s 目前,我无法从任何一方ping通防火墙后面的任何服务器/ PC。
我在我的工作室的办公室build立了一个networking,使用Raspberry Pi作为VPN服务器,让远程客户端访问局域网资源。 路由器端口转发1194端口到RPi,所以它可以从互联网访问。 一段时间后,我成功地使用Shorewall设置了OpenVPN,以授予VPN客户端访问选定的局域网服务器的权限。 但由于某种原因,VPN客户端根本无法访问Internet。 这是我的Shorewall设置: 我在区域 , 接口和主机文件中设置了三个区域。 区 #ZONE TYPE fw firewall net ipv4 loc:net ipv4 vpn ipv4 接口 #ZONE INTERFACE OPTIONS net eth0 dhcp,tcpflags,nosmurfs,routefilter,logmartians,sourceroute=0 vpn tun0 主机 #ZONE HOSTS loc eth0:192.168.200.0/24 (LAN subnet) OpenVPN服务器的隧道文件中有一个条目: 隧道 #TYPE ZONE GATEWAY openvpnserver net 0.0.0.0/0 从VPN到eth0的数据包被伪装,因为LAN客户端的默认网关是路由器,而不是RPi。 伪装 #INTERFACE SOURCE ADDRESS eth0 10.8.0.0/24 (VPN subnet) 192.168.200.54 (local […]
我试图通过从OS X 10.10连接来testing一个新的(正在进行的)StrongSwan IPSec VPN服务器。 这是非常令人沮丧的,因为这些日志显示了一系列的“成功”信息,但是随后系统爆炸了。 我也很疑惑为什么安全协会是“ (unnamed)[3] “。 这个页面通过如何捕获racoonconfiguration,看起来像这样: remote myvpc.mydomain.com { doi ipsec_doi; situation identity_only; exchange_mode main; verify_identifier off; shared_secret keychain "SOME-HASH.SS"; local_address 10.0.0.149; nonce_size 16; dpd_delay 20; dpd_retry 5; dpd_maxfail 5; dpd_algorithm dpd_blackhole_detect; initial_contact on; support_proxy on; proposal_check obey; xauth_login "staff"; mode_cfg on; proposal { authentication_method xauth_psk_client; hash_algorithm sha1; encryption_algorithm aes 256; […]
我有两个客户端通过vpn连接到vpn服务器,另一个没有vpn。 我可以从我的服务器ping两个客户端,但我不能直接使用一个客户端到另一个。 我正在为所有这些客户端和服务器添加路由表。 请注意10.10.0.2和10.10.0.1是vpn私有ip。 所有这三个路由表是: 内核IP路由表为10.30.0.190 VPN客户端 目标网关Genmask标志度量参考使用Iface 0.0.0.0 10.30.0.1 0.0.0.0 UG 0 0 0 eth0 10.10.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0 10.20.0.0 10.10.0.1 255.255.0.0 UG 0 0 0 tun0 10.30.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.20.0.180专用子网连接到vpn的路由表 目标网关Genmask标志度量参考使用Iface 0.0.0.0 10.20.0.1 0.0.0.0 UG 0 0 0 eth0 10.20.0.0 0.0.0.0 255.255.255.0 U 0 […]
我试图连接客户端到一个VPNnetworking没有openvpn转发所有的stream量到networking。 问题的关键是我想能够连接和沟通所有其他连接的VPN机器和他们的服务,但我希望我所有的常规stream量(HTTP等)离开,并通过我的默认路由/networking进入,就像它通常会没有连接到VPN。 这里是我的configuration和路线,如果他们帮助任何(所有与tun0相关的路由都被openvpn添加): user@machine:~# ip route 0.0.0.0/1 via 10.8.0.9 dev tun0 default via 192.168.0.1 dev wlan0 proto static 10.8.0.1 via 10.8.0.9 dev tun0 10.8.0.9 dev tun0 proto kernel scope link src 10.8.0.10 xx.xx.xx.xx via 192.168.0.1 dev wlan0 128.0.0.0/1 via 10.8.0.9 dev tun0 192.168.0.0/24 dev wlan0 proto kernel scope link src 192.168.0.187 192.168.80.0/24 dev wlan0-1 proto […]