给定一个 Windows Server 2012 客户端(我对其拥有完全管理员控制权)和一个外部 Cisco ASA5540 路由器(我没有),我想连接到路由器以通过 ipsec VPN 访问他们的内部网络。
连接详细信息如下:
IKE 阶段 1:加密方案:IKE
密钥交换方法:3DES
散列算法:MD5
身份验证方法:预共享密钥激进模式支持:无
Diffie Helmen 阶段 1 组:组 2(首选)IKE SA(阶段 1)生命周期:1440 秒
IKE 阶段 2:加密方案:IKE
转换(IPSec 协议):ESP 加密算法 3DES 数据完整性:MD5 使用完美前向保密 (PFS):否
PFS 的 Diffie Helmen 组:第 2 组(首选)
IPSEC SA(阶段 2)生命周期 28800 秒子网密钥交换:是
加密域:192.168.113.0/24 安全策略规则:源:10.135.1.80/32 -> 目标:192.168.251.32/32
(我无法更改路由器的配置)
使用任何客户端或方法连接到该路由器的具体步骤是什么?
答案1
阻力最小的路径是向管理目标防火墙的人员索取 Cisco IPSEC VPN 客户端的副本或者使用 SSL AnyConnect VPN 进行访问。看看他们能否提供PCF 配置文件给你。
答案2
(IPSEC VPN 客户端不可用,并且对其配置也没有任何用处)
我们的解决方案是,让其他人也能解决这个问题,而不用花三天时间去摸索:
安装openswap(https://www.openswan.org/) 到中间 Linux 机器。在 Windows 上尝试了 5 种不同的 VPN 软件后,openswan 似乎是唯一能够可靠地做到这一点的软件。
为 NAT IP 添加新的虚拟接口 (有关详细信息,请参阅此处的文档)
ifconfig eth0:1 10.135.1.80
编辑 \etc\ipsec.conf:
conn vpc-to-asa type=tunnel forceencaps=yes authby=secret compress=no disablearrivalcheck=no left=myip.myip.myip.myip leftid=myip.myip.myip.myip leftsubnets={10.135.1.80/32} leftsourceip=10.135.1.80 right=a.b.c.d rightsubnets={192.168.251.32/32} rightsourceip=192.168.251.32 keyexchange=ike ike=3des-md5 salifetime=28800s pfs=no auto=start dpdaction=restart phase2=esp esp=3des-md5
编辑 \etc\ipsec.secrets 以添加交换密钥
服务 ipsec 启动 应该会调出新界面
调试工具:
监控通过端口 4500 的所有流量:
sudo tcpdump -i eth0 udp port 4500
当前 ipsec 绑定状态:
ipsec auto --status
当前可通过 ipsec 获得的所有路由:
ipsec look
- 一旦一切都通过 ipsec 顺利完成,你可以为基于 Windows VPN 的连接添加 L2TP,或者简单地通过 SSH 隧道连接相关端口