我们使用Cisco ASA 5505作为我们networking上的防火墙和IPSec VPN端点。 我们使用拆分隧道来减less我们的互联网链接上的负载。 换句话说,当某人连接到VPN时,他们的DNS查询将通过我们的内部DNS服务器,并且通过隧道发送parsing为10.0.0.0/8的主机的所有stream量。 其他stream量通过其本地互联网网关发送。 这对IPv4stream量很有效。 我现在已经推出了IPv6连接(一个SixXS 6in4隧道)到局域网上的所有服务器和桌面。 我们的用户数量(有希望增长)在家里有自己的IPv6连接。 当我将内部服务器的IPv6地址添加到我们的内部Bind9 DNS时,一些外部用户无法正常连接到内部服务器。 我假设他们从我们的DNS及其应用程序获得AAAAlogging,并且具有对AAAA地址的偏好,试图通过IPv6直接连接到服务器,而不是使用IPSec隧道。 他们遇到我们的防火墙,最终超时并通过IPv4连接。 作为回应,我从DNS中删除了AAAAlogging。 根据这个论坛post ,Cisco IPSec客户端不支持IPv6,所以我不得不花费昂贵的升级到AnyConnect。 我想到的解决方法: 为LAN主机提供AAAAlogging的裂脑DNS,只有Alogging到VPN客户端。 VPN客户端在特定的IPv4范围内,但不知道如何设置裂脑DNS。 简单地不在内部DNS提供AAAAlogging。 这将限制我们的IPv6使用从内部客户端连接到发布AAAAlogging的互联网服务器。 内部stream量将保持IPv4。 请问您的想法? 有没有一种解决scheme可以让我继续使用IPSec VPN,还可以在服务器上通告IPv6?
我有CISCO 2921和Sonicwall NSA 3600 。 我正在尝试设置站点到站点VPN。 我正进入(状态: Received notify. NO_PROPOSAL_CHOSEN 在Sonicwall日志和VPN没有安装。 看起来像阶段1是好的,因为我得到: Info VPN IKE IKE Initiator: Start Quick Mode (Phase 2). SONIC_WALL_IP, 500 CISCO_IP, 500 VPN Policy: test 在NOON_PROPOSAL_CHOSEN消息之前的sonicwall日志中。 我检查过: 身份validation/授权algorithm在两端匹配(DES / SHA1) 在连接的两端都configuration了正确的子网(SonicWord侧的172.16.0.0和Cisco侧的172.19.0.0) 在cisco上debug crypto isakmp和debug crypto ipsec都不会给我任何输出。 由于WAN接口设置为/ 28,有一些自动设置,但我认为它不相关,所以我从下面的CISCOconfiguration示例中删除它,我会在请求时添加它。 连接到172.19.0.0的计算机使用正确的IP地址访问互联网,所以我认为nat-ing是无关紧要的。 有人可以帮我这个吗?我可能会错过一些configuration,或者我犯了一个愚蠢的错误。 相关的思科configuration: // Phase 1 crypto isakmp policy 1 authentication pre-share group […]
我的组织有一个Cisco ASA 5510,我已经作为我们办公室的防火墙/网关。 远程用户会寻找的大部分资源都存在于里面。 我已经实施了一般的交易 – 基本内部networking与出站NAT,一个主要的外部接口与公共服务的PAT池中的一些辅助公共IP,一对站点到另一个分支的站点到站点IPSec链接等。而我正在使用VPN。 我有WebVPN(无客户端SSL VPN)工作,甚至遍历站点到站点的链接。 目前,我正在离开一个传统的OpenVPN AS来实现胖客户端VPN。 我想要做的是对所有VPN的身份validation方法进行标准化,然后切换到Cisco的IPSec厚VPN服务器。 我想弄清楚这些VPN用户(胖客户端和无客户端)的身份validation的真正可能性。 我的组织使用Google Apps,我们已经使用dotnetopenauth来validation用户的内部服务。 我希望能够为瘦和厚的VPN做同样的事情。 或者,使用RSA公钥对(ssh-keygentypes)的基于签名的解决scheme将有助于识别用户@硬件。 我试图摆脱传统的用户名/密码身份validation,特别是如果它是思科内部(只是另一个密码设置pipe理,用户忘记)。 我知道我可以映射到现有的LDAP服务器上,但是我们只有大约10%的用户群(主要是Linux shell访问的开发者)创build了LDAP帐户。 我想我正在寻找的是一个中间件,思科认为它是一个LDAP服务器,但将与用户现有的OpenID标识接口。 我在思科看到的任何东西都表明它可以在本地完成这一任务。 但RSA公钥将是亚军,并且比独立的甚至LDAPauthentication要好得多。 这里真的有用吗?
目前,我正在使用的项目的代码库位于公司服务器上。 它必须保持那样。 远程git仓库也不能公开。 我目前的设置是: 连接到VPN 运行sshfs来挂载代码的副本 开始编写代码 当我完成: ssh到远程服务器,并在那里运行git命令 这个问题是,VPN时常下降,所以我的sshfs挂起,我的IDE冻结。 我所做的是手动重新连接VPN,然后再次运行sshfs ,然后重新开始工作。 但是随着VPN越来越频繁地变得烦人。 所以我想知道是否有某种cachingsshfs设置,这将允许我工作,并且只有当VPN恢复时才同步更改。 这可能是没有意义的,因为如果远程驱动程序不可用,则无法写入。 那么如何设置一个不同的设置,使用某种types的事物,并使用rsync以双向方式移动更改(当我保存一个文件,或者当我做git pull ) 我不能只是克隆克隆,因为我不能重现整个环境工作“本地”(数据库和东西) 代码必须在他们的服务器上,为了让我testing/看到我的工作,我必须访问一个URL,那就是我的沙箱。 每次我想看到我的变化,我都无法推动。
我的IT主pipe正在通过设置Server 2012 VPN / RA服务器来引导我。 我们在testing环境中没有这样做,现在我想删除它。 我知道,当安装这个服务器时,它会进行域更改,如创build组策略等,我想确保何时删除它,我做得很好。 我能从Microsoftfind的唯一文档是关于Uninstall-RemoteAccess的powershell命令。 将正确运行此删除angular色,并撤消对域和组策略的任何更改?
通过IPSec(Debiantesting中的Strongswan)连接到存储守护进程(“B”)的我的一台服务器(“A”)的备份(通过Bacula)不能完成95%的运行时间。 显然发生的是: Bacula打开与存储守护程序的VPN IP的TCP连接。 (A→B) 由于默认设置了内核设置net.ipv4.ip_no_pmtu_disc=0 ,所以明文数据包中设置了IP Do not Fragment位。 将数据包路由到IPSec隧道时,有效载荷的DF位被复制到ESP数据包的IP报头。 经过一段时间(通常大约20分钟)以及高达数千兆字节的数据发送之后,发送稍大于ESP数据包的数据包。 (A→B) 由于存储守护程序接口的MTU比发送主机的MTU低,因此沿途的路由器向主机发送ICMPtypes3(代码为“需要分片且不分片”)ICMPtypes3。 (一些路由器→A) 连接暂停,由于某种原因,主机A将大量100个空的重复ACK发送给B(在〜20ms内)。 (ICMP数据包到达主机A,并且没有阻止ICMP的iptables规则。) 这种情况发生的可能原因,我可以想到: 内核bug(Debian 3.13.7-1) Linux的IPSec实现故意忽略PMTU消息作为安全措施,因为它不受保护,会影响现有的SA。 (根据RFC 4301 8.2.1似乎是有效的行为) 必须与PMTU老化( RFC 4301 8.2.2 ) 什么是解决这个问题的最好方法,而不是全局禁用PMTU发现或降低接口MTU? 也许像FreeBSD一样,清除DF位与ipsec.dfbit = 0 ?
最近我一直在玩StrongSwan,作为替代昂贵的亚马逊VPN。 我在运行StrongSwan的远程服务器和Ubuntu EC2计算机之间完全configurationIPSec隧道时遇到了问题。 我的目标是让我们的远程服务器能够VPN到我们的VPC,并在AWS上的私有子网之间进行双向访问。 目前,我可以build立一个隧道。 我可以从EC2机器(运行StrongSwan)到远程OSX服务器。 我可以在我的VPC中的公共和专用子网中的机器之间进行ping操作。 目前,我无法从我的OSX服务器ping AWS上运行强大天鹅的EC2实例。 我没有任何iptables设置来转发来自EC2(StrongSwan)机器的stream量到我私有子网中的其他机器。 AWS VPC: 10.0.0.0/16 Public Subnet: 10.0.1.0/24 Private Subnet: 10.0.2.0/24 Web EIP: 77.77.77.77 (default for VPC IGW) VPN EIP: 66.66.66.66 AWS StrongSwan EC2 Ubuntu running StrongSwan 5.2.2 IP: 10.0.1.233 远程客户端网关 (带静态IP的蜂窝调制解调器+网关组合) Running StrongSwan 5.2.2 internally for IPSec Public (static) IP: 55.55.55.55 LAN: 10.1.1.0/24 (DHCP Server) 远程客户端服务器 […]
我有一个桌面机,目前设置为SVN服务器。 目前我已经设置为可通过http访问(使用Apache),但仅限于本地networking,因为我对处理涉及到的安全问题没有把握。 正如我所见,我的两个选项是SVN over SSH,并在维护SVN的“本地networking”configuration的同时设置VPN。 有没有人对这两个装置的利弊有一个强烈的想法? 特别是,我从来没有尝试build立一个个人VPN,所以我不知道OpenVPN等通常涉及多less痛苦和费用。 [旁白:我不知道这是否更适合超级用户,因为它是个人使用的服务器 – 如果是的话,是否有人可以移动它? 谢谢!]
我有一个Cisco 877路由器,它使用ADSL线路,单个公共IP地址和NAT将我的networking连接到Internet; IOS版本是15。 一切正常,但我想configuration此路由器是一个VPN服务器,能够从外部连接到networking。 我试过寻找文档,但是我能find的所有东西都与877充当VPN 客户端 ,或者站点到站点的VPN有关; 我找不到任何有关让单个远程计算机访问内部networking的事情,这是我可以使用Windows的RRAS或ISA Server轻松完成的。 Cisco 877可以作为远程客户端计算机的VPN服务器吗? (看起来应该,但只是为了…) 它支持哪种types的VPN? 他们是否需要在客户端计算机上安装一些特殊的软件,或者是否可以使用标准的开箱即用的Windows计算机? 最后,如何设置这个? 编辑: 我知道877是SOHO路由器,并不是VPN服务器的最佳select, 但是这是我的家庭networking,我只有一台电脑(现在),我是唯一的用户。 我绝对不会购买企业级路由器,只是为了能够在工作时接触到我的电脑:-p 编辑2: 我真的坚持这一点,经过很多testing,我从来没有得到它的工作。 我为这个问题增加了一个奖励,这个奖励将被授予一个完全可行的解决scheme (而不是一些指向隐藏的思科文档或无关情景的指针)。 为了让人们帮助,这里是我目前的路由器configuration(剥夺了不相关的和私人的细节)。 让我们希望有人终于可以帮助我做到这一点。 要点: 四个以太网接口全部分配给VLAN 1。 内部networking是192.168.42.0/24,路由器的IP地址是192.168.42.1。 外部IP地址由ISP提供; 它是一个公共和静态的,完全可路由的。 NAT(当然)启用。 ADSL连接工作正常。 路由器是内部networking的DNS服务器,将查询转发给ISP的DNS。 networking中没有DHCP服务器。 有一个特权级别为15的单个用户帐户。 我想要的是: 路由器充当VPN服务器,使外部客户端能够访问内部networking。 L2TP将是首选,但即使是PPTP也可以。 如果可能的话,我希望这可以与Windows内置的VPN客户端(支持PPTP和L2TP)协同工作。 我不想在外部计算机上安装Cisco VPN客户端或类似的东西,以便他们能够连接。 这是configuration: version 15.0 service password-encryption hostname Cisco877 aaa new-model aaa authentication login default […]
后面的故事: 我在IT部门工作的时候是一家从十年前刚开始创业的公司开始就有了仓库, 从那以后,我公司的老板就给仓库的老板提供了“好处”。 问题 仓库有一个旧的,devise不佳的Microsoft Access 2003应用程序,这个应用程序已经在我公司的服务器上托pipe了很长时间了。 他们通过RDP连接到它。 我们正在升级我们的服务器(和软件),并且希望它们完全脱离我们的networking,这是因为它们支持他们缺乏科技知识,他们的旧Windows Vista计算机,以及networking打印不断为他们打破。 我正在努力解决scheme,为他们移动他们的Access数据库。 其中一个需求是仓库主人可以从她的房子(外面)连接到它。 我们的业主仍然不想放弃他们,所以这里是我们的解决scheme:提供一个新的桌面计算机将托pipeMicrosoft Access数据库的仓库。 拿出他们的家庭级路由器,然后放入Cisco ASA 5505(免费延期贷款)。 使用文件共享(所以其他每台计算机也将需要Access 2003),以便每个人都可以得到它。 但是,我仍然试图找出允许用户从外部连接到Access资源的最佳方法。 我已经build立了本地接口,完成工作DHCP并指向OpenDNS的DNS服务器。 我没有他们的公共IP地址(虽然我知道它的静态),所以我也会build立公共int。 我已经build立了访问列表,允许来自仓库所有者的家(在静态IP)的stream量,以及来自我公司的stream量,因为我们将继续支持他们。 我对思科并不是很熟悉,但是一直在研究(想着很快就拿到CCNA),并且玩了ASA,我们最终会部署到他们的位置。 我的理解是,ASA可以支持VPN,这是正确的吗? 为了让外部用户连接到内部,在ASA中构buildVPNfunction是否最有意义? 有什么需要注意的吗? 或者你能想出更好的解决scheme吗?