我有一个Ubuntu的服务器上运行的StrongSwan,我试图创build一个Cisco 2821路由器的IPSecencryption的VPN隧道。 连接不工作,我不明白为什么。 它似乎完成阶段1,但在阶段2失败。任何人都可以提供build议? 我很难过 顺便说一句,我的服务器是在亚马逊云。 这是我的configuration: conn my-conn type=tunnel authby=secret auth=esp ikelifetime=86400s keylife=3600s esp=3des-sha1 ike=3des-sha1-modp1024 keyexchange=ike pfs=no forceencaps=yes # Left security gateway, subnet behind it, nexthop toward right. left=10.0.0.4 leftsubnet=10.0.0.4/32 leftnexthop=%defaultroute # Right security gateway, subnet behind it, nexthop toward left. right=1.2.3.4 rightsubnet=1.2.3.5/32 rightnexthop=%defaultroute # To authorize this connection, but not actually start it, […]
我有以下设置继续。 服务器:configuration为AD,DHCP,DNS,CA和RRAS的Windows 2008服务器。 长话短说,RRAS可以接受SSTP连接,客户端连接正常。 客户获得IP地址。 客户端:Windows 7操作系统 组态: 我在外围有一个Linux防火墙。 该端口已打开,将443转发到RRAS服务器上的内部IP地址和端口。 专用networking位于10.100.0.0/16子网上。 RRAS服务器有2个网卡。 NIC1 = 10.100.85.15和NIC2 = 10.100.85.16。 NIC2正在接受来自公共互联网的SSTP连接。 NIC2上的适配器设置只有静态IP和子网。 NIC2上没有configuration网关和DNS服务器(这是基于我在Windows 2003上设置PPTP的某处所做的)。 NIC1具有2个NIC中的最高优先级。 已经为VPN设置了RRAS(没有NAT)。 IP地址分配是静态的,从10.100.77.250到10.100.77.254(与私网相同的子网)。 我已经允许ICMP任何方向在入站和出站filter。 Windows防火墙已被configuration为允许几乎所有 – 然后在这个configuration我已经closures了Windows防火墙服务。 我没有添加任何静态路由到RRAS。 如前所述,VPN客户端能够通过SSTP连接到RRAS并获得IP地址。 客户端能够ping通RRAS网关(10.100.77.250),NIC1和NIC2。 问题: 客户端无法ping到除RRAS服务器以外的任何计算机 更多debugging信息: 我在RRAS服务器上安装了Microsoftnetworking监视器来监视ICMP数据包。 我看到从客户端(比如说10.100.77.251)到RRAS到目的地服务器(比如说10.100.20.10)的ICMP请求,10.100.20.10响应ICMP回复到10.100.77.251和NIC1的以太网地址。 此时,这里是RRAS服务器的路由表。 =========================================================================== Interface List 12 …7a dd d0 eb af 8c …… Citrix PV Ethernet Adapter #0 13 …7e […]
我正在设置一个日志传送scheme,通过两个通过VPN连接的SQL服务器(Barracuda NG Firewall,为了什么值得)。 VPN使用UDP和数据包压缩,所以我没有“TCP over TCP”问题。 当然,我需要将实际的文件复制到一起,而且我希望SQL设置引用一个驱动器号(如L :)。 正如我所料,SMB在这方面已经失败了。 什么样的协议可以在高延迟,高带宽的链路上做得最好,从而使我可以将共享映射为“驱动器”?
问题是:build立IPsec VPN隧道后,所有的stream量都被路由到远程端点,而我只需要路由到内部networking的数据包,仍然可以在本地机器上访问互联网 。 目前,当启用相应的VPN连接时,所有的连接都会中断,这意味着无法通过LAN访问此计算机,也无法通过它访问互联网(远端有进一步的WAN转发限制)。 所以,只有VPN在这种情况下工作。 该拓扑结构: http : //i.imgur.com/9HEru.png 我在基于Debian的发行版上使用OpenSwan ,也在NAT后面(遍历已启用)。 以下是ipsec.conf的详细信息: 版本2.0 configuration设置 plutodebug = “无” plutoopts = “ – perpeerlog” plutoopts = “ – 接口= WLAN2” DUMPDIR =的/ var /运行/冥王星/ nat_traversal = YES virtual_private =%V4:10.196.0.0/17,%v4:192.168.1.0/24 OE =关 protostack = NETKEY 连接 authby =秘密 密钥有效期= 1H PFS = YES 汽车=添加 phase2alg = AES128-SHA1; modp1024 […]
我们的Windows 2003 Servernetworking服务器(我的责任)在另一个城市,通过VPN与我们局域网上的数据库服务器(局域网是别人的责任)进行对话。 VPN通过两端的硬件防火墙build立。 当局域网域控制器进行广播时,远程networking服务器会得到它们吗?
我有一个运行SQL 2008 EXPRESS实例的开发服务器。 该域名为DEVAD,实例为共享内存,命名pipe道和TCP / IP启用。 我的工作站PC位于不同的域名为AD。 我在AD和DEVAD之间build立了域信任关系,并且可以使用我的AD凭证通过SSMS或.NET程序连接到DEVAD实例。 不幸的是,当我连接到另一个networking通过VPN使用不同域的凭据,我得到以下错误“login失败。login是从一个不受信任的域,不能用于Windows身份validation。(Microsoft SQL Server,错误: 18452)”。 对于IPv4和IPv6,我的VPN连接可以select“在远程networking上使用默认网关”。 有关如何防止VPN连接打破信任的任何想法? 更新:我有一个额外的VPN,我偶尔连接到,并没有问题连接到SQL在同一时间,这一个是积极的。 我在SQL主机上进行了一些nslookuptesting,testing了各种已连接且未连接的VPN。 我的问题VPN结束了一个DNS超时,这可能意味着VPN上的DNSconfiguration错误,并提出请求,而不是给一个不存在的域响应(如我的其他VPN一样),并让系统上查询一个知道它的DNS。
我想实现对我们公司服务器(Windows / ADS)的VPN访问。 问题是我们有我们想保护的机密知识产权,我们担心工程师不是创造硬密码的最有创造力的人。 我们使用sonicwall防火墙。 有没有办法要求双重身份validation有VPN访问? 我的意思是,当某个用户尝试通过VPNlogin时,VPN服务器会向需要input的用户发送SMS(或通过智能手机应用程序 – android或iphone)以获得完全的VPN访问权限?
我的老板有些偏执狂,要我为他组织一些VPN链接。 我提出了以下计划: Client VPN1 VPN2 10.0.1.x[tun0]——10.0.1.1[tun0] [1.1.1.1][eth0] 10.0.2.x[tun1]———-10.0.2.1[tun0] 2.2.2.2[eth0] 3.3.3.3[eth0]——internet 我可以通过iptables转发从客户端使用VPN1,如下所示: vpn1 # iptables -A FORWARD -s 10.0.1.0/24 -j ACCEPT vpn1 # iptables -A FORWARD -d 10.0.1.0/24 -m state –state ESTABLISHED,RELATED -j ACCEPT vpn1 # iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -j SNAT –to-source 2.2.2.2 如果我使用默认网关,或者如果select指定的主机,我可以使用VPN1中的VPN2,如下所示: vpn1 # route add -host 8.8.8.8 dev tun1 […]
我有一个反向ssh隧道到辅助服务器的服务器。 辅助服务器然后充当到内部服务器的“桥”(外部服务器的IP地址是我连接的)。 这适用于大多数服务(文件,SSH等),但不适用于L2TP VPN。 我已经隧道端口500和4500.但是,我所困扰的是“ESP值50”,这显然是L2TP所需要的。我如何通过隧道来完成VPN数据path? 或者,如果这不是问题,什么会导致VPN无法在反向隧道下连接?
引用维基百科 : 它提供最小的安全性; MD5哈希函数容易遭受字典攻击,并且不支持密钥生成,这使得它不适合用于dynamicWEP或WPA / WPA2企业 但是,维基百科在无线authentication的背景下讨论了EAP-MD5。 如果我理解正确,这在strongSwan中不是安全风险,因为客户端和服务器之间的身份validation是encryption的。 我是对的吗?