我想configurationWindows Server 2012及其Windows 7和Windows 8 VPN客户端,使用拆分隧道和子网外寻址的SSTP VPN,但我遇到了一个问题:RRAS服务器不会发送数据包到VPN来自任何机器以外的客户。 我的VPN服务器在亚马逊的“虚拟私有云”上运行,所以它只有一个网卡,在一个专用的,与我所有其他Amazon VPC服务器共享的RFC1918networking上有一个IP地址,以及一个将所有通信转发到该私有地址的公共IP通过NAT(亚马逊称之为“弹性IP”)。 我已经安装了RRAS并build立了一个VPN。 亚马逊的私有子网是172.16.0.0/17(这就是我所说的“亚马逊LAN”),但我希望所有的VPN客户端使用范围10.128.0.0/20(我称之为“ VPN LAN“)。 在我的亚马逊控制面板中,我做了以下操作: 禁用VPN服务器的源/目标检查 为指向VPN服务器的networking接口的10.128.0.0/20池添加了一个入口路由表。 在路由和远程访问MMC内,在服务器名称的属性菜单中,我已经完成了以下操作: “常规”选项卡 – >“IPv4路由器(选中)”,启用LAN和请求拨号路由 常规选项卡 – > IPv4远程访问服务器(选中) IPv4选项卡 – >启用IPv4转发(选中) IPv4选项卡 – >静态地址池,并指定10.128.0.1-10.128.15.154 在我的客户端和我的所有服务器上,我确定防火墙明确允许使用ICMP,或者完全禁用防火墙(当然不是永久计划)。 在客户端,为了启用拆分隧道,我已经去了VPN连接的属性 – >networking – > IPv4 – > Propeties – >高级 – > IP设置选项卡,并取消选中“在远程networking上使用默认网关”选中“禁用基于类的路由添加”。 此时,我的客户可以使用Windows 7/8 VPN客户端进行连接。 他们被分配了来自10.128.0.0/20池的IP,但由于他们没有自动设置任何路由,他们不能与远程networking通话。 我可以设置路由到远程networking和VPNnetworking,就像这样(在客户端上): route add 172.16.0.0/17 <VPN IP […]
我有一个VirtualBox VM(主机和来宾Ubuntu Maverick)。 我的VPN提供商使用OpenVPN来设置TUN。 我想设置一些东西,这样来自虚拟机的stream量只能通过VPN,而且如果虚拟专用网(VPN)发生故障,它就会被丢弃(发生)。 build议? 我的iptables-fu有点弱 我尝试过的:使用VirtualBox的“主机专用networking”,它给主机上的vboxnet0环回接口给客户端,但是无法获得iptables / routes权限。 我想避免虚拟机上的NAT,因为我已经双重NAT(ISP和家庭路由器),一个级别将让我的头stream行。 其他可能性:切换到TAP(如何?)和桥接到VM。 在虚拟机内部创buildVPN,并过滤除VPN之外的所有eth0stream量连接iptables(如下所示) 奖励要点:如果您可以告诉我如何在主机和客户机上使用不同的VPN出口点,而无需通过主机的VPN对来宾进行双重隧道传输。
我试图从坐在具有相同子网(也是192.168.1.0/24)的networking上的客户端打开办公networking(192.168.1.0/24)。 这是一个Linux(Ubuntu 9.10)服务器和Windows客户端。 我跟着这个Ubuntu的openvpn社区文档指南 ,从我可以告诉基地连接工作正常。 当然,我得到了一堆有关IP地址冲突的错误/警告。 然后,我试图按照“肮脏的NAT技巧,以获得一个VPN与私人地址空间中编号的客户端一起工作,但尚未成功”本指南。 虽然我对路由/伪装有理论上的理解,但我的实际经验相对较less,不确定哪里出了问题。 到目前为止,我已经到了客户端连接到服务器的位置,并且分配了一个IP 10.22.8.10。 但是我无法ping通服务器IP 10.22.8.1像文件build议我应该能够。 服务器configuration基本上与指南1相同,修改指南2 ,即设置“服务器网桥10.22.8.1 255.255.255.0 10.22.8.10 10.22.8.120”和“推送”路由10.22.0.0 255.255.0.0 10.22.8.1 “”。 另外,我将tap接口configuration命令添加到up.sh. 客户端configuration与指南1保持一致。 服务器'ifconfig tap0'(编辑:对不起,如果这看起来很矛盾。在编辑这篇文章的预览窗格中看起来很好) tap0 Link encap:Ethernet HWaddr ee:ee:a8:04:8a:fc inet addr:10.22.8.1 Bcast:0.0.0.0 Mask:255.255.255.0 inet6 addr:fe80 :: ecee:a8ff:fe04:8afc / 64范围:链路UP广播运行PROMISC MULTICAST MTU:1500度量:1 RX包:610错误:0丢弃:0超限:0帧:0 TX包:4533错误:0丢弃:0超载:0载波:0冲突:0 txqueuelen:100 RX字节:111341(111.3 KB)TX字节:650830(650.8 KB) 客户端login连接: Mon Mar 01 00:30:13 2010 OpenVPN 2.1.1 […]
我知道你可以使用IPSec安全地隧道数据。 根据维基百科页面和其他一些来源,它也可以隧道IP数据包,然后通过一个接口路由它们。 这将创build一个VPN,其中一个子网能够以非常安全的方式访问另一个子网。 然而,我不明白为什么有些人添加L2TP的堆栈。 我知道L2TP是由IPSEC保护的,但是如果IPSEC已经有了一个隧道实现,那么它不会造成更多的开销吗? 当普通的IPSec可以达到相同的结果时,对L2TP / IPSEC有什么吸引力?
有没有人有任何连接Ubuntu 10.10机器到SSTP VPN服务器的经验? 我还没有发现任何关于如何做的信息。
我一直在试图build立一个SSTP VPN到我的SBS 2011服务器,并一直在与证书问题作斗争。 我已经能够为我的外部VPN地址生成一个新的证书,将其导入到我的客户端机器,并将我的服务器添加为受信任的证书颁发机构。 现在我得到的错误: Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline. 当我检查证书上的CRL分发点时,我发现只有我的内部地址是唯一的url,所以我添加了另一个指向我的外部地址(保持原始内部URL完好无损)。 我生成一个新的证书,从我的客户端删除现有的一个,并导入新的,并重新启动RRAS和validationSSTP正在使用我的新证书,但我仍然得到相同的错误。 当我查看详细信息时,我导入的证书看到新的外部CDP出现在列表中( http://mydomain.com/CertEnroll/MYSERVER-CA.crl )。 当我把它放到networking浏览器中时,我收到一条消息,说CRL导入是成功的,这让我知道这个URL可以从外部访问,并且在线。 我觉得这是我和一个安全的VPN之间的最后一站,我在这里错过了什么?
我试图在运行Ubuntu 14.04.2 LTS的两个Amazon AWS EC2实例之间使用StrongSwan 5.1.2build立VPN隧道。 在使用StrongSwan之前,我在Amazon RedHat AMI上使用了open(libre)swan,它运行良好。 出于某种原因,我甚至无法让IKE在StrongSwan上class。 我三重检查了我的AWSconfiguration,这一切都看起来不错,所以这一定是StrongSwanconfiguration的问题。 正如你将看到下面,我得到的错误是“错误写入套接字:无效的参数” 。 我在网上看了,真的找不到解决办法。 我确信我的strongswan ipsec.confconfiguration不正确。 以下是我正在处理的内容: Instance #1: N.Virginia – 10.198.0.164 with public EIP 54.XXX Instance #2: Oregon – 10.194.0.176 with public EIP 52.YYY (简单)拓扑结构如下所示: [ Instance #1 within N.Virginia VPC <-> Public internet <-> Instance #2 within Oregon VPC ] 我validation了以下AWSconfiguration是正确的: Security groups […]
我们有几个应用程序依靠Windows身份validation – 一些AD身份validation打开的Web应用程序,我们通常使用Windows身份validation连接到我们的SQL服务器。 这通常顺利运行。 但是,如果我们VPN'd的客户端网站虽然不起作用。 SSMS 通常从开始菜单中打开SSMS,然后select一个通常接受Windows身份validation的服务器,产生一条消息: login失败。 login来自不受信任的域,不能与Windows身份validation一起使用。 (.Net SqlClient数据提供程序) 如果我放到命令提示符并使用runas /user:domain\user启动SSMS,则可以使用该ssms进程将Windowsvalidation成功执行到我们的SQL服务器实例。 如果我查看任务pipe理器,ssms.exe(开始菜单vs runas)的两个副本具有相同的用户,并且我可以看到procexp中的进程之间没有明显的区别。 ADauthentication网站 如果我打开IE并浏览我们的任何一个需要authentication的Windows用户的网站,我会得到“你是谁”提示,那个对话框认为我是VPN用户。 我可以点击“使用另一个帐户”,然后通过validation。 外表 即使Outlook提示input用户名,当我们VPN'd! 它影响我们的Win7和Vista机器。 我们有一个XP的盒子已经有一段时间了,但我不记得有这个问题在XP的价值。 VPN连接只是使用内置的windows VPN连接,而不是华丽的思科VPN或任何性质的东西。 有没有人知道如何告诉Windows,当我们的域名资源进行身份validation时,我想成为我的普通老域名用户而不是VPN用户? 哎呀,如果我试图访问需要客户端VPN上的资源的Windowsauthentication,我会很高兴的提供一个解决scheme,让我和“你是谁”。 谢谢! 道歉,如果这是更多的超级用户问题,我不知道哪个网站最适合。 这是关于networking和基础设施,在这里困扰我们所有的开发人员,所以我希望这是一个服务器故障Q.
是否有可能使用VPN连接只有一个程序,其余的stream量通过本地networking? 更具体地说,我使用的是官方的思科客户端。
searchIPSec和Linux不可避免地会遇到不同的解决scheme(见下文),这些解决scheme看起来都很相似。 问题是: 区别在哪里? 我find了这些项目。 他们都是开源的,都是主动的(在过去3个月内都有发布),他们似乎都提供了非常相似的东西。 strongSwan Openswan也 Libreswan 另外:还有其他项目,我没有遇到? ( strongswan vs openswan是一样的,但显然已经过时了。)