什么是在64位和32位Windows客户端上工作的最好的免费SSL VPN客户端?
从OSX El Capitan开始,使用分裂视界的时候,最好的VPN软件是borked。 问题在于DNS请求是在正常的主要接口上发送到VPN隧道的DNS。 我们如何通过正确的接口(即VPN隧道)发送DNS请求?
我是一个开发人员,并没有多年处理服务器pipe理员或networking,所以“生锈”是非常慷慨的。 我正在build立一个新的Web服务器集群(从两个1U Web服务器和一个DB服务器开始)。 由于我几年没有这样做,我不知道今天有什么select。 我想在一个设备中的所有: 小型,基本千兆比特交换机 小型的基本防火墙 小,基本的路由器/ DHCP /网关 小型,基本的VPN访问 适合1U空间 我可以设置一个简单的网页界面,然后忘记 – 在家庭路由器设备上方2步,我想。 编辑:从系统pipe理员的最初反应往往是“没有办法”,因为对他们来说,做这一切的设备通常是废话。 请意识到我的目的,这是目前确定。 我的设置(和预算)只是不够大,足以certificate这些东西真的很好 。 我只是需要一些这样做的东西。 build议?
在这个问题的最后增加了新的细节; 我可能正在调整原因。 我有一个基于UDP的基于OpenVPN的VPNbuild立在互联网上的less数客户端,这些VPN是以tap模式build立的(我需要tap因为我需要VPN来传递多播包,而tunnetworking似乎不可能)。 我一直在经历VPN频繁的TCP连接冻结。 也就是说,我将build立一个TCP连接(例如SSH连接,但其他协议也有类似的问题),并且在会话期间的某个时刻,stream量似乎将停止在该TCP会话上传输。 这似乎与发生大数据传输的点有关,例如,如果我在SSH会话中执行ls命令,或者如果我logging长日志文件。 一些Googlesearch在服务器故障上出现了许多类似于这个问题的答案,表明可能的罪魁祸首是MTU问题:在高stream量期间,VPN试图发送丢弃在VPN端点。 上面链接的答案build议使用以下OpenVPNconfiguration设置来缓解该问题: fragment 1400 mssfix 这应该将VPN上使用的MTU限制为1400字节,并修复TCP最大段大小,以防止产生大于此数据包的数据包。 这似乎缓解了一些问题,但我仍然经常看到冻结。 我已经尝试了一些尺寸作为fragment指令的参数:1200,1000,576,所有的结果都相似。 我想不出两端之间有什么奇怪的networking拓扑可能引发这样的问题:VPN服务器运行在直接连接到Internet的pfSense机器上,而我的客户端也直接连接到另一个位置的Internet。 另外一个奇怪的问题是:如果我运行tracepath工具,那么这似乎可以帮助解决问题。 示例运行如下所示: [~]$ tracepath -n 192.168.100.91 1: 192.168.100.90 0.039ms pmtu 1500 1: 192.168.100.91 40.823ms reached 1: 192.168.100.91 19.846ms reached Resume: pmtu 1500 hops 1 back 64 以上运行在VPN上的两个客户端之间:我发起了从192.168.100.90到192.168.100.91目的地的跟踪。 两个客户端都configuration了fragment 1200; mssfix; fragment 1200; mssfix; 试图限制链路上使用的MTU。 上面的结果似乎表明tracepath能够检测两个客户端之间的1500字节的pathMTU。 我会假设由于在OpenVPNconfiguration中指定的碎片设置,它会稍小一些。 我发现结果有点奇怪。 更奇怪的是,如果我有一个处于停顿状态的TCP连接(例如,一个目录列表被冻结的SSH会话),那么执行上面显示的tracepath命令会导致连接重新启动 ! 为什么会出现这样的情况呢,我想不出什么合理的解释,但是我觉得这可能是指向一个解决scheme,最终根除问题。 […]
根据苹果针对iOS的VPN支持文章 ,只有Cisco IPSec,Juniper Junos Pulse和Cisco AnyConnect支持VPN点播function。 是否有任何开放源代码实现(如啤酒中的“免费”更重要),我可以在没有特殊硬件的基于Linux的系统上部署这些实现? 更新:我已经有一个PPTP解决scheme。 我特别感兴趣的是另外两个的按需function。
PPTP或IPSEC VPN是否比'拨入'VPN更安全?如果是这样,为什么?
我没有达到线速的OpenVPN隧道的问题。 网关是在OVH托pipe的Debian Jessy虚拟服务器。 客户端是我的freebsd 10.2 homeserver(Intel I3 Ivy Bridge)或我的RaspberryPI2。 我停用了encryption和authentication。 我有一个100mbit / s的对称FTTH连接,但隧道只能达到20-40mbit / s的速度。 直接连接(无隧道)总是产生我期望的100mbit / s。 我用iperf3testing了性能。 我第一次尝试使用我的freebsd homeserver。 我尝试了所有关于mssfix,fragment等的推荐设置。没有任何帮助。 然后我想也许这是我的freebsd机器。 所以我在RPI2上安装了一个新的rasbian Jessy,并做了一些更深入的testing: 首先,我从OpenVPNconfiguration中删除了所有的MTU设置,并让pathMTU处理事情(希望)。 由于我在两台机器上都没有防火墙,所以它应该可以工作。 这些是我的VPNconfiguration: server 10.8.0.0 255.255.255.0 port 1194 proto udp dev tun sndbuf 0 rcvbuf 0 user nobody group nogroup persist-key persist-tun ifconfig-pool-persist ipp.txt keepalive 10 120 push "redirect-gateway def1" […]
大多数VPN客户端区分IPSec和“Cisco IPSec”。 例如,(苹果的)iOS将它们视为基本上单独的东西。 但是我找不到协议级别差异的任何解释。 他们可能是微不足道的,但肯定有差异。 有人可以解释这一点吗? 即使只是一个指向详细的解释将有助于很多事情。 谢谢!
我刚刚用strongswan(4.5)build立了VPN站点到站点的隧道。 隧道看起来很好,并连接到另一边,但似乎有一个问题路由通过隧道的stream量。 任何想法? 谢谢! networking图 +———————————-+ |Dedicated server: starfleet | +—————–+ | | | CISCO ASA | | +————————-| internet | | | |eth0: XX.XX.XX.195/29 +——————-| YY.YYY.YYY.155 | | +————————-| +——+———-+ | |virbr1: 192.168.100.1/24 | | | +—-+——————–| | | | | | | | | +—————–+ | | | |network | | +——-+ | […]
我们租用公共数据中心的一些主机。 数据中心不提供专用VLAN; 所有主机接收一个(或多个)公共IPv4 / IPv6地址。 主机带有非常现代化的CPU(Haswell四核,3.4GHz),并具有Gbit上行链路。 数据中心的不同区域(房间?楼层?build筑物?)与我所知道的Gbit或500Mbit链路相互连接。 我们的主机正在运行debian wheezy。 目前我们正在运行10台以上的主机,预计在不久的将来会有所增长。 我正在寻找一种方式让所有主机相互之间进行安全,保密的通信。 第3层是好的,第2层好(但不是必要的)。 由于我无法访问VLAN,因此必须是某种VPN。 对我来说重要的是: 吞吐量高,理想接近线速 分散的,网状体系结构 – 这是为了确保吞吐量不会被一个中心元素(例如VPN集中器)减慢, CPU足迹不是过度的(给予AESNI和GCM密码套件,我希望这不是一个荒谬的要求) 操作方便使用; 不要太复杂的设置; networking可以增长而不失去已build立的连接 我们目前正在使用tinc 。 它剔[2]和[4],但是我只能达到960Mbit / s线速的大约600Mbit / s(单工),而且我完全松动了一个内核。 此外,目前正在开发中的tinc 1.1还没有multithreading,所以我坚持单播性能。 传统的IPSec是不可能的,因为它需要一个中心元素,或者需要configuration一大堆隧道来实现[2]。 IPsec与机会encryption将是一个解决scheme,但我不知道它曾经把它变成稳定的生产代码。 我今天偶然发现了tcpcrypt 。 除了缺lessauthentication,它看起来像我想要的。 用户空间的实现闻起来很慢,但所有其他的VPN也是如此。 而且他们提到了内核实现。 我还没有尝试过,并且对它的行为感兴趣[1]和[3]。 还有什么其他的select? 人们在做什么,谁不在 AWS上? 附加信息 我对GCM感兴趣,希望能够减lessCPU占用空间。 请参阅英特尔关于此主题的论文 。 当与一位tinc开发人员交谈时,他解释说即使使用AESNI进行encryption,HMAC(例如SHA-1)在Gbit速度下仍然非常昂贵。 最终更新 IPsec在传输模式下工作完美,并做我想要的。 经过多次评估,我select了Openswan over IPsec-tools,只是因为它支持AES-GCM。 在Haswell CPU上,我测量的单工吞吐量约为910-920Mbit / […]