组态 根据Microsoft KB816514中的说明,我在Windows Server 2003(SBS)机器和Netgear FVG318之间build立了“原始”IPSec隧道。 configuration如下(使用与文章相同的约定): NetA | SBS2003 | FVG318 | NetB 10.0.0.0/24 | 216.xxx | 69.yyy | 10.0.254.0/24 主模式和快速模式安全关联都已成功完成并出现在IP安全监视器中。 我也能够从NetB上的任何计算机上的私人地址ping SBS2003服务器。 问题 从NetA到NetB上的计算机或从SBS2003到NetB(不包括ICMP Ping 响应 )的任何stream量都会在IPSec隧道之外的公共networking接口上发送(不进行encryption或标头validation,就好像隧道不在那里一样) 。 从NetB上的计算机发送到NetA上的计算机的ping成功地到达NetA上的计算机,但是响应被SBS2003悄悄地丢弃(它们不会清晰地出去,不会产生任何encryption的通信量)。 可能的解决scheme 错误的configuration 我本来可能错误的键入了某个地方,或者KB816514在某些方面可能不正确。 我非常努力的去消除第一个选项。 已经多次重新创buildconfiguration,尝试调整和调整所有设置,我可以没有成功(最防止build立安全联盟)。 NAT / RRAS 我看到其他地方的多个post提示这可能是由于NAT和IPSecfilter之间的交互。 在与Quick Mode IPSecfilter进行比较之前,NetA专用地址可能会被重写为216.xxx,并且由于不匹配而不会被隧道传输。 事实上,从2005年6月的“TCP / IP数据包处理path”中的Cable Guy文章就暗示了这种情况(参见Transit Trafficpath的步骤2和4)。 如果是这种情况,有没有办法从NAT中排除NetA-> NetBstream量? 任何想法,想法,build议,和/或意见,赞赏。 更新(2011-06-26) 在未能解决问题之后,我诉诸了有偿的微软支持。 他们无法解决问题。 从那以后,我实施了一个基于Linux的解决scheme,运行得非常好。 […]
有谁知道在哪里可以下载最新版本的SonicWALL SSL-VPN NetExtender for Windows 7的64位版本?
我有两个Pfsense机器之间的IPSec隧道。 两台机器都连接到一个100mbps的对称连接。 两台路由器之间的延迟是〜70ms。 我正在使用AES-GCM-128和SHA1,两台机器都支持AES的硬件加速,CPU使用率仍然<5%。 但是我有最奇怪的问题 带宽峰值在6MB / s左右,然后逐渐下降到2MB / s,然后再逐渐增加到6MB / s。 这是一个可预测的正弦波。 我怎样才能让我的带宽更一致? 我尝试启用/禁用压缩(目前禁用),玩MSS钳和MTU设置(分别为1500/1460),似乎没有区别。 当我通过公共互联网直接下载文件时,我得到了11MB / s,这接近我最大的100mbps。 我可以尝试什么?
上周末,我完成了思科ASA 5512的安装和testing,以取代我们的旧路由器/防火墙。 今天,我一直在摔angular浏览器不一致通过SSL连接通过VPN交换OWA的问题。 有时电脑会启动正常,连接到VPN,并连接到交换OWA就好了,有时他们不会连接。 一旦他们连接或不连接,他们似乎一直工作,直到计算机重新启动。 在ASA上运行数据包捕获似乎表明,当它成功使用之前build立的SSL会话,并且在失败时似乎在会话build立期间,但是我不得不承认我的networking诊断技能并不是完美无缺的。 失败期间的数据包捕获不会显示服务器发出的数据包的任何确认。 但是,服务器正在发送客户端数据包的ACK。 包含成功的连接和失败的连接的简单pcap文件可以在这里find。 我对事业的评估是否准确? 什么可能导致这个问题,并可能是解决问题的进一步步骤的解决scheme? 编辑:第二天更新。 问题出现与MTU大小,VPN和ASA不相关,当需要分片数据但不能传输ICMP不可达分组时。 使用“不分片段”位设置各种大小的ping并在面向端口的Internet上更改为ASA的MTU,我发现了以下内容: 我可以ping通互联网和VPN连接的计算机就可以很好地用小包。 当路由器的面向互联网的端口设置为1500的MTU时,我可以使用高达1472的数据包在互联网上ping计算机,在此之上,我的计算机(也设置为1500的MTU)告诉我必须分组。 这正如我所期望的那样。 当路由器的面向Internet的端口设置为1500的MTU时,我只能ping通连接到VPN的计算机,数据包高达1356,之后数据包超时。 这不是我所期望的。 即使数据包的大小很大,我也应该得到一个ICMP响应,说明数据包被丢弃了,因为它需要被分割,并且DF位被设置。 一旦我把路由器的面向互联网的端口降低到1400的MTU,我就可以用互联网上的电脑ping到1372的数据包,然后数据包超时。 我们再次遇到问题。 我希望只能发送数据包高达1372,但在1373(我们低于我的电脑的MTU,但低于路由器的MTU与28字节的标题)路由器应该送我一个回应说,数据包需要被分割,但是DF位被设置。 当试图通过VPN连接ping计算机时,也会相应地降低到1256,并且没有响应具有更多字节的ping。 当ASA不能转发数据包时,是否应该使用ICMP数据包进行回复? 在设置路由器的过程中是否有一个设置,我意外启动,禁用此function?
我将在pfSense 2.3-RELEASE框中部署一个IKEv2 VPN,用于对RADIUS服务进行身份validation。 但是当RADIUS服务器closures时,我担心这种方法的复杂性。 由于RADIUS位于pfSense盒子的后面,万一出现故障,我将失去连接到IKEv2 VPN的能力,而无法进入LAN。 我可以在pfSense框中使用本地用户帐户的一些备用模式做一个简单的解决方法,但问题是这种“备用模式”。 这甚至存在? 在这种情况下有什么select?
我build立了一个Linux服务器(现在是VirtualBox VM) 在该服务器中,我运行一个包含两件事的Docker container : 某个端口上带有Web界面的应用程序 打开VPN客户端 我可以访问该应用程序(从我的主机,因为Linux是VM guest),一切正常,直到我连接VPN。 VPN的作品 – stream量通过它,但我无法连接到我的应用程序(ERR_CONNECTION_TIMED_OUT)。 所以我的目标是: 在Docker容器中有一台服务器,所有stream量都通过VPN 能够访问我的本地networking中的服务器/容器(就像我现在在VPN没有连接时那样) 我怎样才能做到这一点? 这是我的.ovpn文件的样子 client auth-user-pass ping 5 dev tun resolv-retry infinite nobind persist-key persist-tun ns-cert-type server verb 3 route-metric 1 proto udp ping-exit 30 cipher AES-256-CBC // cetrificate here remote <remote-host-ip>
我工作的公司使用FortiClient for Windows提供VPN访问。 这对于运行Windows的人来说非常棒,但是我也希望使用OS X进行连接。 据我可以告诉VPN连接使用IPX为OS X可以创build一个连接。 应该是可能的,或者是FortiClient使用某些专有的? 如果可能,我需要在OS X上build立连接? 对于Windows,我们的IT部门提供了一个configuration文件,但是这是针对FortiClient的。
我现在有一个这样的networking。 基本上,两个XenServer通过一个以太网电缆连接到我们的托pipe服务提供商的交换机。 每个服务器当前都有一个存储连接到(iSCSI)的第二个以太网卡。 每个VM(和Xen主机)都有一个公共IP。 所有的虚拟机通过公共IP进行通信。 我想设置的是这样的情况,每个虚拟机至less有一个私人地址,只有面向公众的服务器将具有公共IP。 而且,存储将连接到交换机而不是直接连接。 由于私人networking将无法访问外部世界,我想要VPN,所以我可以连接和pipe理私人networking。 这就是说,我不太了解networking(就设置这一切而言) 所以问题是: 1)我如何虚拟networking多个虚拟机(在单独的主机)在一起(专用networking)? 2)如何在Xen中设置虚拟networking? 3)最好是获得一个支持VLaning的交换机,并将networking分割出来? 听到社区对这些事情的任何build议,我将不胜感激。 提前致谢。
我将为一个小办公室翻新IT基础设施,但我不确定要使用哪个VPN服务器。 在你看来,内置的Windows Server 2008 VPN服务器是否足够,或者是否有任何特定的问题,而不是像OpenVPN? 我宁愿运行一个Windows本地VPN服务器,但是如果有很less的(最好是免费的)替代品,我可以安装VMware ESXi并虚拟化Windows和OpenVPN服务器。 顺便说一下,由于预算不足,这个办公室只运行一个物理服务器的解决scheme。 任何build议将是伟大的,以帮助我把握这个领域,我是一个相当新手。 谢谢!
简短的问题:我通常是一个Linuxpipe理员,但需要为学生项目设置一个Win2k8 R2服务器。 服务器在根服务器上作为虚拟机运行,并分配有公共互联网IP。 此外,我需要一个VPN服务器来访问服务器上运行的一些服务。 我设法build立一个工作的VPN网关通过路由和RAS服务,分配给私人子网192.168.88.0/24与接口“内部”在192.168.88.1侦听客户端IP。 另外我设置了外部接口作为NAT接口。 所以我可以连接到VPN服务器,获得一个IP分配,服务器另外做NAT,我可以通过VPN连接访问互联网。 我另外需要的唯一的事情是,我可以通过内部IP访问服务器本身(例如客户端192.168.88.2,服务器192.168.88.1),因为我想访问一些我不喜欢暴露给互联网的服务,限制它们连接到VPN客户端。 有没有人有提示,我错过了哪些configuration能够通过VPN连接访问服务器? 编辑:VPN客户端得到分配私人子网与子网掩码255.255.255.255 IP,我想这可能是我不能访问私人IP地址的服务器,虽然它在相同的networking范围内的原因。 任何想法如何改变这一点? 我在路由和RAS服务中定义了一个静态地址池,但是我不能在那里更改networking掩码。 编辑2:我无法从客户端访问服务器,但我可以从服务器(ping,HTTP)完全访问客户端。 我想这与防火墙configuration有关。 在此先感谢,Mathias