我们有两个站点,一个大的南方站点和一个小的北方站点,两个Cisco PIX防火墙之间定义了一个VPN。 在此VPN上,Shoretel IP电话stream量以及所有其他networkingstream量。 我们最近将北方的小型办公室换成了Bt Infinity(纤维),所有的系统都运转良好,也就是说,直到上个星期,它们才完美运作。 请注意,那一天没有任何变化。 除了电话系统之外,来自曼彻斯特的VPNstream量都在各个方面都有作用。 Shoretel公司的驯服的电话工程师告诉我们,这是由于电话系统数据包的DF(不碎片)位在其业务上开启,所需有效载荷为1472,而IPSec开销1472不能满足行MTU。 如果我从我们的南部办公室到我们的北部办公室做MTUtesting,我会得到以下结果: C:\>ping <NorthernOfficeServerIP> -f -l 1472 Pinging <NorthernOfficeServerIP> with 1472 bytes of data: Reply from <OutsideInterfaceOfSourthernPixIP>: Packet needs to be fragmented but DF set. Packet needs to be fragmented but DF set. PIX上的VPN设置如下: sysopt connection permit-ipsec crypto ipsec transform-set chevelle esp-des esp-md5-hmac crypto map transam 1 […]
我正在使用OpenSWANbuild立一个networking到networking的VPN隧道。 我成功地configuration了一个testing场景如下: 关于test和test : 他们是使用ubuntu-vm-builder创build的Ubuntu 12.04虚拟机 他们使用桥接networking到主机的物理以太网(192.168.0.0/24子网)。 我安装了标准的openswan软件包。 每个虚拟接口都可以从VPN隧道的另一端访问。 这是我如何configuration隧道: /etc/ipsec.conf(左右相同): version 2.0 config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off protostack=netkey conn net-to-net authby=secret left=192.168.0.11 leftsubnet=10.1.0.0/16 leftsourceip=10.1.0.1 right=192.168.0.12 rightsubnet=10.2.0.0/16 rightsourceip=10.2.0.1 auto=start /etc/ipsec.secrets(左右相同): 192.168.0.11 192.168.0.12: PSK "mytestpassword" /etc/rc.local(左边): modprobe dummy ifconfig dummy0 10.1.0.1 netmask 255.255.0.0 iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.0/16 ! -d 10.2.0.0/16 -j […]
我有一台运行在Amazon EC2上的Ubuntu 12.04服务器,运行一个networking抓取过程。 我们遇到了一些问题,一些托pipe我们需要爬取的网站的networking服务器阻止了所有的EC2 IP地址。 我的精彩想法是通过VPN隧道传出HTTP请求。 我能够设置VPN,但它通过VPN路由所有stream量,这意味着我不能SSH进入机器,它不会响应任何传入的http请求。 (这个服务器还托pipe一个我们需要能够访问的Web服务) 真的,我只是想通过VPN“代理”所有传出的HTTP请求,所以我们可以访问所有EC2 IP被阻止的站点。 这很可能是我错误的方式,我欢迎任何其他可能更简单或更强大的build议。
我使用L2TP VPN连接到从家到总部的ASA5505。 然后,总部通过站点到站点IPSEC隧道连接到其他办公室。 当在总部(192.168.100.0/24)时,我可以ping /访问远程办公室(192.168.200.0/24)OK。 当远程连接到总部时,我可以从road-warrior笔记本电脑上ping /访问总部。 我的问题是,当从家中远程连接到总部时,我无法ping /访问其他办公室子网 在家用笔记本电脑上,L2TP VPN连接被设置为使用HQ作为互联网网关将所有stream量路由到VPN连接,我可以证实这一点。 我不能做traceroute(我得到超时),因为我的政策不允许,不知道如何在ASA上正确启用它。 任何想法是什么错,configuration如下: names name 192.168.200.0 othersite ! interface Vlan1 nameif inside security-level 100 ip address 192.168.100.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 34.35.36.3 255.255.255.252 ! same-security-traffic permit intra-interface access-list inside_nat0_outbound extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0 access-list inside_nat0_outbound extended […]
我在路由器上设置了一个xl2tpd vpn服务器,并将IP范围从192.168.191.2分配到192.168.191.244,并且路由器的局域网后面有一个192.168.1.0/24的ip范围,所以我想要vpn客户端从它的端口访问路由器,然后它可以与本地networking通信,所以我怎么能得到它? 我不知道如何设置路线规则来弥补,所以任何提示?
我面临的问题是在pfSense(2.0.1版)和SonicWall Pro2040增强版(固件版本:SonicOS增强版4.2.1.4-7e)之间build立站点到站点VPN。 所有的configuration都正确完成,我仍然在sonicwall中出现以下错误 – “有效负载处理失败” 阶段1和2正常通过,但与“有效负载处理”的问题,我发现它可能是共享密钥不匹配,但我仔细检查,没有与两个防火墙共享密钥不匹配。 它也在sonicwall中显示隧道是活跃的 pfSense的日志低于 –
我为我的组织build立了一个OpenVPN服务器,并且正在阅读客户端密钥工作的不同方式。 我对这些客户端密钥和帐户authentication背后的所有概念还是有点陌生。 使用./build-key-pass和./build-key生成客户端密钥有什么好处? 这与保护SSH密码的密码类似吗? 并不是所有的员工都需要技术支持,所以值得引入另外一个设置步骤? 我现在看到,使用客户端密钥时,有一个选项不需要典型的用户名/密码authentication。 我的计划是为每个客户端在服务器上做一个useradd。 如果我不使用用户身份validation设置,那么我将如何撤消对特定客户端的访问? 我怎样才能将这些客户证书安全地交付给我们所有需要账户的员工? 我相信client.key文件应该是私人的,发送电子邮件似乎是不安全的。
我通过ssh使用PPTP时遇到一些错误: sudo ssh -L 1723:127.0.0.1:1723 vpn-server@$192.168.1.1 192.168.1.1是vpn服务器的ip。 当我启动pppd(客户端)whith下面的命令: sudo pppd call tun nomagic logfd 2 nodetach debug dump tun是带有以下内容的pppd设置文件: pty "pptp 127.0.0.1 –nolaunchpppd" name myname password mypassword remotename myremotename #require-mppe-128 refuse-eap file /etc/ppp/options ipparam vpn 第一次,我在服务器日志消息中有这个错误: peer refused to authenticate : terminating link 在这之后,当我重新启动pppd时,我在客户端有这个消息: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <pcomp> <accomp>] 此消息重复x次… 我的pptp服务器没有SSH工作。 有什么build议么?
我正在尝试在家中安装一个strongSwan服务器,并从另一个networking连接到它。 假设sun是VPN服务器, venus是客户端。 sun和venus都在NATnetworking之后。 sun不是我的家庭networking的门户。 但是,端口4500,500和50(UDP)被转发到sun 。 ipsec.conf(sun) # ipsec.conf – strongSwan IPsec configuration file # basic configuration config setup charonstart=yes plutostart=no conn venus left=%any leftcert=sunCert.pem right=%any leftsubnet=10.135.1.0/24 rightid="C=IL, O=KrustyKrab, CN=venus" keyexchange=ikev2 auto=add type=tunnel mobike=no include /var/lib/strongswan/ipsec.conf.inc ipsec.conf(venus) # ipsec.conf – strongSwan IPsec configuration file # basic configuration config setup charonstart=yes plutostart=no conn krustykrab left=%defaultroute […]
我有一个桥接OpenVPN的设置。 这是我的服务器configuration: port 1194 proto udp dev tap0 ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh2048.pem # brtctl upscript script-security 2 up /etc/openvpn/up.sh tls-server server-bridge keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 服务器运行在运行在networkingA中的Debian机器上,客户机运行在networkingB中的OpenWRT路由器上。在networkingA中,tap0接口与本地networking桥接,包含DHCP服务器和通往因特网的网关。 在networkingB上,tap0接口与不具有DHCP服务器或互联网接入的独立networking桥接。 这个想法是,OpenVPN隧道为networkingB提供了互联网访问。 在这个设置中,OpenVPN服务器不分配IP地址供客户端使用。 相反,它只是让本地networking中的DHCP服务器来处理这个问题。 这是有效的,因为这是一个桥接(TAP),而不是路由(TUN)设置。 所以,DHCP在隧道上工作。 networkingB侧的客户端直接从networkingA的DHCP服务器获取IP地址。 问题是它看起来像缺省网关从DHCP答复中被剥离,因为它在networkingB上的机器上是空的。 例如,这是我在连接到networkingB的Windows客户端上得到的: Ethernet adapter Ethernet: DHCP Enabled. . . . . . […]