Hello Server 错误 , 我为一家使用192.168.0.0/23(在我到达之前)build立networking的医院工作。 我们希望笔记本电脑和移动客户端使用VPN从远程位置连接,但医院networking与大多数家庭路由器相冲突。 我向pipe理层施加压力让我们有时间去改变它,但是到处都是服务器/设备等的医院,这是不可能安排的。 所以我们通过使用10.22.0.0/23的1:1 nat来“解决”这个问题。 问题:客户端可以使用10.22.0.0/23 IP连接和访问资源,但是如果他们查询DNS服务器,则会收到192.168.0.0/23响应。 如果查询起源于VPN子网,BIND中是否有正确的方法将这些dynamic地转换为10.22.0.0/23地址? 强调正确的,因为我有它通过在cron中使用以下BIND视图工作: sed -e 's/192.168.0./10.22.0./' -e 's/192.168.1./10.22.1./' /var/lib/bind/db.company.local > /var/lib/bind/db.company.local.ext && /usr/sbin/rndc reload company.local in extView 这很好,但由于BIND日志需要大约15分钟的时间才能写回db.company.local文件,所以会延迟15到20分钟。 我已经读了一些关于RPZ的信息,但是这些信息似乎很多。 任何人都可以指向正确的方向吗? 如果没有,你可以让我的解决scheme更优雅? 编辑:我只想说清楚,我已经使用BIND的意见,但我做了两个区域。 我从第一个生成第二个区域,通过sed发送它来更改IP,然后在该视图中的该区域执行rndc重新加载。 这有一个很大的延迟,有没有办法在两个视图中使用相同的区域文件,并在查询时改变DNS响应? 谢谢!
我有两个SonicWall(TZ170和Pro1260)的站点到站点VPN。 有人build议closuresencryption(所以VPN只是隧道)将提高性能。 (我不关心安全性,因为VPN运行在可信线路上。) 使用FTP和HTTP传输,我测量了大约130±10 kB / s的基线性能。 Ipsec(阶段2)encryption设置为3DES,所以我将其设置为“无”。 但是,效果却相反 – 性能下降到60±30kB / s,在传输任何数据之前传输失速约25秒。 我尝试了AES-128,吞吐量达到了160±5kB / s。 我的线的额定速度是193 kB / s(这是一个T1)。 相反,我认为,更强大的Ipsecencryption似乎可以提高吞吐量。 任何人都可以解释什么可能在这里? 为什么没有encryption导致性能差和变化很大,并导致转移失速? 为什么AES-128提高性能?
我期待着创build一个尽可能简单的OpenVPN设置。 我想用一个密码来保护通信,而不是一组密钥文件。 我怎么能这样设置呢?
我希望一个应用程序使用VPN连接,而另一个则不需要。 我使用的Xubuntu(从而XFCE),但我想要一个命令行/静态configuration解决scheme,如果可能的话。 有没有可能做到这一点,如果是的话如何?
我的理解是,networking地址转换(NATing)会消失于IPv6。 我们如何将networking资源与其他互联网上需要的networking资源隔离开来? 我正在考虑允许访问内部networking资源(如文件服务器或VM主机)到远程用户,如在家工作的用户。 IPv4今天也出现类似的情况。 在包括我自己在内的许多大学里,每个networking设备都有一个可公开路由的IP。 我想运行一个文件服务器,但并不真正需要公开访问。 理想情况下,它也将有一个公共的IP和VPN将不是必要的。 注释?
我的一位朋友在我们的LAMP开发服务器上安装了VPN。 以前,我们只是使用SSH和有时SSH公钥来避免密码提示。 我的问题是,使用VPN而不是使用SSH公钥的好处是什么? 我可以利用哪些新function? 为什么VPN可能是必要的?
我在Ubuntu 12.04服务器上(在EC2上)configuration了openswan和xl2tpd,通过遵循各种 教程 / 文档 ,似乎在很大程度上说相同的东西,但最近这一个 。 但是,我尝试从Windows(我用共享密码和用户名/密码configuration)连接失败。 日志build议build立IPsec隧道,但没有任何反应。 这里是数据包转储和日志活动(没有发生在syslog中,所以没有iptables日志消息): $ sudo tcpdump -n host 64.236.139.254 and not port 22 21:00:49.843198 IP 64.236.139.254.26712 > 10.252.60.213.500: isakmp: phase 1 I ident 21:00:49.844815 IP 10.252.60.213.500 > 64.236.139.254.26712: isakmp: phase 1 R ident 21:00:49.928882 IP 64.236.139.254.26712 > 10.252.60.213.500: isakmp: phase 1 I ident 21:00:49.930819 IP 10.252.60.213.500 > 64.236.139.254.26712: […]
安装程序:我有一个openvpn客户端/服务器设置(底部的configuration文件),并MULTI: bad source address from client [192.168.xx], packet dropped得到臭名昭着的MULTI: bad source address from client [192.168.xx], packet dropped在服务器MULTI: bad source address from client [192.168.xx], packet dropped 。 服务器有一个公共IP地址,而客户端在NAT后面。 先前提出的解决scheme的缺点:服务器configuration中定义的client-config-dir目前是空的。 以前的post(这里和openvpn支持论坛)build议在client-config-dir添加一个名为DEFAULT的文件,或者添加一个用户文件来解决这个问题。 但是,这似乎不是一个长期的解决scheme,因为这些规则是特定于客户端的。 所以,我可以添加一个规则来允许来自192.168.x.0客户端连接。 但是,如果他们从另一个使用192.168.y.0networking连接NAT,则需要新的规则。 问题: 所需的规则是否可以用通用/一次性的方式写成? 有人可以解释为什么这个问题首先发生? 服务器configuration: port 1234 proto tcp dev tun ca ca.crt cert openvpn.crt key openvpn.key dh dh2048.pem server 10.78.96.0 255.255.255.0 keepalive 10 […]
业务合作伙伴要求build立一个站点到站点的VPN,以便less数服务器可以通过HTTPS相互通信。 我相信这是没有必要的,甚至是不可取的。 公平地说,它必须是更广泛政策的一部分,甚至可能是法律要求。 不过,我想说服他们仅仅向我们(和我们)提供一个IP,并为他们select一个HTTPS端口。 有没有人有类似的经验,或不得不拿出一个反对VPN的铸铁论点? 请允许我稍微扩展一下 – 我们有一个Web服务,它使用encryption的HTTP连接启动与伙伴相应服务的连接。 连接使用客户端证书进行身份validation。 连接是防火墙,所以只有我们的IP可以联系服务。 那么为什么VPN是必要的?
在我连接到我的工作/无论什么之后,我现在必须进入命令提示符并手动添加路由。 例如。 ROUTE ADD 10.1.0.0 255.255.0.0 172.16.3.0 METRIC 1或任何命令。 成功build立VPN连接后,是否有可能自动发生这种情况?