AWS 在其 VPC 中提供了一个简洁的功能,可以公开 VPN 服务。我已经配置了此功能,并确认它可以正常运行。 我们的客户正在使用 Cisco 5500 系列 ASA 设备连接到 AWS VPN 服务。AWS 提供的常见问题解答描述了第 1 阶段和第 2 阶段支持以下 Diffie-Hellman 组: 问:您支持哪些 Diffie-Hellman 组? 我们支持阶段 1 和阶段 2 中的以下 Diffie-Hellman (DH) 组。 第 1 阶段 DH 组 2、14-18、22、23、24 第 2 阶段 DH ...
如何加密有线 LAN 段中的流量? 是否可以将 IPv6 与 IPSec 结合配置为 IKE/ISAKMP 身份验证? 或者 我是否会陷入为 ISAKMP 配置适当的 IKE 主机到主机规则的困境? 或者 我是否应该关注 802.1X-2010,根据维基百科,它支持“通过本地 LAN 段进行服务识别和可选点对点加密”? 假设我的 LAN 部分主要由 Windows 7 及更高版本的 PC 组成,少量 FreeBSD VM。交换机是适度现代的 DLINK,路由器来自 Mikrotik。 ...
在我的设置中,我在不同区域有一些 EC2 实例,它们通过 GRE 隧道连接,使用 ISAKMP 通过 racoon。此设置是继承的,所以如果我的术语出现问题,请多多包涵。 有时我会得到奇怪的输出racoonctl -ll show-sa isakmp(请原谅我编辑的 IP 地址),其中 Phase2 计数为 3,但我预计它是 1 或 2: $ sudo racoonctl -ll show-sa isakmp Source Destination ...
我有一些Wireshark跟踪记录,用于了解 ISAKMP 的工作原理。这些跟踪记录是在建立 IPsec 隧道时从对等点获取的。这些跟踪记录似乎显示了不同的 IPsec 实现。当 IKE 第 1 阶段发生时,有时我会看到 ISAKMP 协议的交换类型字段标记为 和 的数据包IKE_SA_INIT,IKE_AUTH有时我会看到交换类型字段值为Identity protection和 的数据包Quick Mode。IKE 第 1 阶段的这些实现之间有什么区别? ...
我有一个在卫星办公室(10.1.0.0/24)的用户(Win 7 Pro 64 位),他正尝试通过 Meraki MX60W 和 Meraki MX80 之间的站点到站点 VPN 访问我们总部(10.0.0.0/16)中的 Web 服务。 他们可以访问托管在 Windows 计算机上的站点(运行 Apache 2.2.x 和 IIS),但无法访问托管在 Linux 计算机上的站点(Debian 7 和 Apache 2.2.x)。他们收到初始密码提示,但无法访问站点本身。他们可以通过主机名和 IP 地址进行 ping 操作,目标计算机也可以通过 IP 对其...
%3F%20%E5%A6%82%E6%9E%9C%E6%B2%A1%E6%9C%89%E5%85%B6%E4%BB%96%E5%8F%AF%E7%94%A8%E9%80%89%E9%A1%B9%EF%BC%9F.png)
是否可以使用 ASA 5520/Cisco 1841 DSL 路由器将本地 VLAN 扩展到通过 IPSEC VPN 连接的远程站点。 我们可以在 ASA 之间建立多条 VPN 隧道吗?(每个 VLAN 各一个 VPN?) 如果没有其他可用的选项/组合? ...
我需要从我的 Debian 服务器连接站点到站点 VPN 我有主机、对等体和 isakmp 密钥 我应该如何配置 vpnc 以使用 isakmp? 或者你能告诉我一些好的 vpnc 文档吗(我找不到)或者其他教程,我看到的所有教程都是用户名密码配置,但其他部分提供的信息只有主机(一些本地 ip)、peek 和 isakmp 密钥 谢谢 ...
我正在处理客户的 PCI 合规性问题。其中一项不合格项目是: 3.1.5. ISAKMP 允许弱 IPsec 加密设置 (ipsecweakencryptionsettings) 给出的解决方案是:“修改ISAKMP设置,只允许协商安全加密算法。” 有人可以更详细地介绍一下如何解决这个问题吗? 操作系统是SBS2011,带有Exchange 2010,IIS 7.5 ...
我已经配置了我的 3G IP 网关,使用 IKE 第 1 阶段积极模式和 PSK 连接到我在 Ubuntu 服务器 12.04 上运行的 openswan 安装。我已按如下方式配置 openswan: /etc/ipsec.conf: version 2.0 config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off protostack=netkey conn net-...
我有一个支持站点到站点 IPSec 的无线网关。我在 Ubuntu Server 12.04(隧道左侧)上配置了 openswan,配置如下/etc/ipsec.conf: version 2.0 config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off protostack=netkey conn net-to-net authby=secret lef...
我正在尝试(某种程度上)创建 VPN 客户端,我使用 OpenSwan(L2tp/IPsec PSK)在 Ubuntu 上设置我的服务器。我现在正在做的是向我的服务器发送数据包并尝试与服务器交换我的密钥。以下是我感到困惑的事情: Security Association我尝试这样做之后Key Exchange,但我不确定在密钥交换中我是否应该发送我的编码 PSK,或者使用 Diffie-Hellman 算法生成的数字? 另外,DH 如何与 PSK 配合使用?如果我理解正确的话,服务器和客户端应该有不同的数字,双方从一开始就知道这些数字,并在此基础上生成 ...
我有许多 VPN 站点的 MTU 低于标准 (1500)。至少有一个站点的数据包碎片影响了 IPSEC 隧道的成功构建。 我可以在远程站点的设备上设置 MTU。但是,在总部,我不希望将 MTU 设置为最低标准。 有没有办法将发往特定 IP 地址的流量的 MTU 设置得较低? 我需要担心碎片化问题,因为 VPN 连接无法正常运行?我是否应该解决这个问题?不有问题? 总部设备是 ASA 5510。远程站点有 ASA 5505。 ...