Questions tagged «ipsec»

与IPSEC VPN配置,操作和故障排除有关的问题。

3
IKE和ISAKMP有什么区别?
我已经建立IPsec VPN多年了,但是老实说,我从来没有完全掌握IKE和ISAKMP之间的技术区别。我经常看到两个术语可以互换使用(可能不正确)。 我了解IPsec的两个基本阶段,并且ISAKMP似乎主要处理第一阶段。例如,IOS命令“ show crypto isakmp sa”显示IPsec第一阶段信息。但是,没有适用于IKE的等效命令。
74 ipsec  ike  vpn 

8
OpenVPN的缺点是什么?
我一直看到有很多人一直在努力使用IPSec和许多其他安全VPN技术。我曾经一度简单地使用过OpenVPN,并获得了美观,简单和通用的结果。我已经在DD-WRT路由器,大型服务器和Android手机上使用了它,仅举几例。 有人可以告诉我我错过了什么吗?我不知道OpenVPN有什么缺点吗?IPSec和朋友是否提供一些我不知道的强大功能?为什么每个人都不使用OpenVPN?
29 vpn  ipsec 

1
使Cisco ISAKMP和IPSec SA生存期混乱
我总是对Cisco IOS上的安全关联生存期配置感到困惑。 在大多数由Web管理的硬件上,很清楚哪个SA生存期用于阶段I,哪个SA生存期用于阶段II。 但是在Cisco上,您可以在本crypto isakmp policy <NUM>节中将SA生存期指定为lifetime <NUM>。 您还必须在crypto map <NAME> <NUM> IPsec-isakmp一节中设置SA有效期set security-association lifetime seconds <NUM>。 伙计们,能否请您启发我,最后请结束我的困惑?哪个是第一阶段,哪个是第二阶段?
13 vpn  ipsec 

1
Cisco ISR G2加密带宽限制?
我一直在抱怨几个新的远程站点的“连接缓慢”。 这些站点通过MPLS L3VPN服务连接到Cisco 2921,我们正在使用Cisco GET-VPN加密我们位置之间的流量。所有位置都具有100Mbps或1Gbps电路,因此速度不成问题。 但是,在从一个位置到已知的工作位置进行iperf测试时,我发现我的带宽达到了约85Mbps。 对2921的进一步调查显示,在日志中多次出现以下错误消息: 006555: Jan 3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license. 006556: Jan 3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package …

2
在IPsec VPN中,如何对预共享密钥进行加密?
我在ASA 8.0上进行了IPsec VPN,对此我了解一些。发起方首先将其ISAKMP策略发送给响应方,然后响应方发回匹配的策略。此后,Diffie-Hellman密钥进行交换,然后将两者都将预共享的密钥发送给另一个进行身份验证。 现在我们有两个键: 一个将通过AES加密生成 一个将由Diffie-Hellman组生成 哪个密钥用于加密预共享密钥?
11 cisco  cisco-asa  vpn  ipsec 

3
在同一外部接口上配置站点到站点IPSEC VPN和远程访问VLAN的正确方法是什么?思科891 ISR
我很乐意发布配置或日志以供参考,但我无法使远程访问VPN在与站点到站点IPSEC VPN相同的接口上工作。我正在为远程访问vpn使用动态密码映射,但似乎无法尝试执行第一阶段。有人能给我一个简单的示例配置吗? 编辑: 这是根据下面的建议在实施ISAKMP配置文件后失败的调试转储。系统提示我输入用户名和密码,但是超时。好像isakmp授权失败。当前,isakmp授权仅设置为本地用户列表。对你们来说这似乎是问题吗? Jul 3 16:40:44.297: ISAKMP/aaa: unique id = 29277 Jul 3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy Jul 3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3 Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW …

1
具有IPv6访问列表的动态加密映射
我正在尝试配置动态加密映射,以在Cisco 15.2M的纯IPv6网络上使用。问题是,当我尝试将ipv6访问列表添加到动态密码映射时,出现错误消息。在配置下方 crypto dynamic-map DYNMAP 5 set transform-set IPSECVPN-PeerA set ikev2-profile IKEV2-SETUP-DYN ipv6 access-list VPN_PEER_A_IPV6_ANY permit ipv6 2001:1::/64 any permit ipv6 2001:2::/64 any 但是当我尝试将访问列表添加到加密映射时,出现以下错误 access-list type conflicts with prior definitionERROR: "VPN_PEER_A_IPV6_ANY" is either an invalid name or the list already exists but is the wrong type. 我相信这是由于15.2不支持动态IPv6加密映射。有人可以给我提示吗?
10 cisco  ipv6  ipsec 

2
ASA 5540是否支持3000个并发IPsec连接?
作为新项目的一部分,我们要求在Cisco ASA 5540防火墙上终止大约3000个IPsec连接。根据规范,该平台支持的最大IPsec对等体为5000,因此应该没有问题。 问题是,如果所有 3000个远程站点都尝试立即建立IPsec连接,将会发生什么?例如,如果上游交换机死亡。它可能不是一次全部,而是取决于计时器,它可能在一个非常小的窗口内,可能是10秒左右。在资源方面,ASA是否可以应对所有传入连接?可能发生的最坏情况是什么? 我了解可能需要调整威胁检测的阈值。ASA除了终止IPsec连接外不会做太多事情。没有NAT,没有检查。它将参与LAN端的OSPF,尽管将总结所有远程站点网络。
10 cisco-asa  vpn  ipsec 

2
思科IPSec站点到站点VPN。如果VPN关闭,则允许流量
“安全带”配置规划位。 背景: 我们有一个成功的到远程数据中心的站点到站点VPN链接。 远程“受保护”网络也是通过防火墙作为面向Internet的端点打开的IP网络范围。 因此:我们使用VPN,以便可以访问非公共端点。 问题陈述: 如果VPN链路断开,即使Internet端点仍可通过远程防火墙访问,ASA也会丢弃流量。 问题: 当VPN关闭时,如何配置VPN以“通过”流量作为常规传出流量。 这是配置的相关部分。 crypto map vpn-crypto-map 20 match address remdc-vpn-acl crypto map vpn-crypto-map 20 set peer a.b.c.d crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set crypto map vpn-crypto-map interface outside 匹配流量的ACL非常原始:它指定表示为网络对象的两个网络(专用网络和远程网络)。 access-list remdc-vpn-acl extended permit ip object <private> object <remote> log 和原始图。 INTERNET x …
9 vpn  ipsec  cisco 

2
云托管/专用服务器环境中的VPN,IPSec隧道与Tinc
我正在为云托管环境设计虚拟专用网络设置。鉴于我们的要求,我认为与专用服务器环境没有什么不同。我们的想法是让客户能够要求他们的用户使用可以提供辅助加密的VPN连接到特定的虚拟机或专用服务器(例如,用于提交回客户网络的打印作业)。 我们正在寻找支持主机到主机IPSec(ESP和AH)的主机,当然还有支持SSH隧道的主机,但是这些都不能提供使用VPN适配器的功能。因此,我们正在考虑至少添加以下一些内容,但是由于空间有限,我们希望对其中不超过一两个进行标准化(一个会更好): 虚拟主机或专用主机上的IPSec隧道支持 彩 PPTP 由于我们进行备份等的服务器可能位于不同的数据中心,因此我们希望能够在此处重新使用我们的VPN方法。这似乎排除了PPTP。我目前的想法是,IPSec可能会更好,因为我们可以使用标准的VPN适配器,但是(根据客户要求)设置路由可能要困难得多,这就是为什么我们也在研究tinc。 这两个中的哪个更可取?我是否担心由于IPSec不合理,路由管理可能会引起严重的头痛?有没有解决此问题的简单方法?我还缺少其他有关Tinc的陷阱吗(即,除了需要一个单独的客户之外)? 更新以响应@Wintermute的答案: 是的,这个问题是从服务器的角度来看的。原因是这些服务器实际上是与客户端网络断开连接的服务器。是的,我们的目标市场是中小企业网络。是的,我们期望为每个客户端服务器使用公共IP,除非它们需要其他功能(然后我们可以进行交谈)。 我们所追求的解决方案是,客户定义IP隧道和这些隧道可访问的网络范围,并将它们与我们自己的管理工具(正在开发中)一起使用,这些工​​具将客户的请求与配置更改联系起来。问题在于,由于我们不太可能在vms和服务器上运行路由软件,因此路由表需要进行静态管理,以便配置错误的客户会发现VPN无法正常工作。 我们也很可能会通过网络使用ESP进行内部操作(例如备份)。整个设置相当复杂,并且有很多不同的观点,从以服务器为中心(我们的客户端vpn到托管实例)到以网络为中心(内部的东西),再到以数据库为中心(我们的工具)。因此,我不会说这个问题代表了我们的整个方法(并且在很多SE网站上都提出了问题)。 但是,这一切都没有真正影响到整个问题。虽然这可能是有用的上下文。
9 vpn  ipsec 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.