Questions tagged «vpn»

我已经建立IPsec VPN多年了，但是老实说，我从来没有完全掌握IKE和ISAKMP之间的技术区别。我经常看到两个术语可以互换使用（可能不正确）。 我了解IPsec的两个基本阶段，并且ISAKMP似乎主要处理第一阶段。例如，IOS命令“ show crypto isakmp sa”显示IPsec第一阶段信息。但是，没有适用于IKE的等效命令。

74 ipsec  ike  vpn 

我一直看到有很多人一直在努力使用IPSec和许多其他安全VPN技术。我曾经一度简单地使用过OpenVPN，并获得了美观，简单和通用的结果。我已经在DD-WRT路由器，大型服务器和Android手机上使用了它，仅举几例。 有人可以告诉我我错过了什么吗？我不知道OpenVPN有什么缺点吗？IPSec和朋友是否提供一些我不知道的强大功能？为什么每个人都不使用OpenVPN？

29 vpn  ipsec 

我的雇主要求我先登录VPN，然后才能通过SSH进入服务器。但是，考虑到SSH的安全性，VPN是否会过时？ 如果我已经在使用SSH，VPN在安全性方面有什么用？

24 vpn  ssh 

最近，我们用新的ASA 5510和站点到站点VPN取代了国际MPLS。但是，当我们部署它时，我们遇到了一个问题，其中每个远程位置都有2个ISP进行冗余，但是当在两个接口上启用VPN时，它会在两个接口之间摆动，并且随着隧道的拆除和在隧道之间的移动，隧道也会上下移动。 ISP。思科已经为此工作了8个月，但我们仍然没有与多个ISP保持稳定的隧道。 远程办公室： access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS crypto map RWS_TUNNEL 1 match address RWS_TUNNEL crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 crypto map RWS_TUNNEL 1 set transform-set IND-RWS tunnel-group 216.xxx.102.2 type ipsec-l2l tunnel-group 216.xxx.102.2 ipsec-attributes pre-shared-key …

21 cisco  cisco-asa  vpn  failover  redundancy 

在分别使用ASA 5520和5540的站点到站点VPN上，我注意到不时的流量不再通过，有时仅针对一种特定的流量选择/ ACL甚至缺少流量，而其他流量超过相同的VPN正在运行。即使不断执行ping操作，也会发生这种情况。原因可能是它运行在不稳定的卫星链路上。 如何将VPN重置为工作状态，而不是重新加载ASA之一？

16 cisco  cisco-asa  vpn  cisco-commands 

我总是对Cisco IOS上的安全关联生存期配置感到困惑。 在大多数由Web管理的硬件上，很清楚哪个SA生存期用于阶段I，哪个SA生存期用于阶段II。 但是在Cisco上，您可以在本crypto isakmp policy <NUM>节中将SA生存期指定为lifetime <NUM>。 您还必须在crypto map <NAME> <NUM> IPsec-isakmp一节中设置SA有效期set security-association lifetime seconds <NUM>。 伙计们，能否请您启发我，最后请结束我的困惑？哪个是第一阶段，哪个是第二阶段？

13 vpn  ipsec 

我有一个站点到站点VPN，当通过隧道推送大量数据时，它似乎正在丢弃来自特定子网的流量。我必须设法clear ipsec sa使其恢复原状。 运行时，我注意到以下内容show crypto ipsec sa。SA定时剩余密钥生存期对于kB达到0。发生这种情况时，隧道不会通过流量。我不明白为什么它不更新密钥。 inbound esp sas: spi: 0x51BB8CAE (1371245742) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map sa timing: remaining key lifetime (kB/sec): (3796789/14690) IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF …

12 vpn  cisco-asa 

我在ASA 8.0上进行了IPsec VPN，对此我了解一些。发起方首先将其ISAKMP策略发送给响应方，然后响应方发回匹配的策略。此后，Diffie-Hellman密钥进行交换，然后将两者都将预共享的密钥发送给另一个进行身份验证。 现在我们有两个键： 一个将通过AES加密生成 一个将由Diffie-Hellman组生成 哪个密钥用于加密预共享密钥？

11 cisco  cisco-asa  vpn  ipsec 

我很乐意发布配置或日志以供参考，但我无法使远程访问VPN在与站点到站点IPSEC VPN相同的接口上工作。我正在为远程访问vpn使用动态密码映射，但似乎无法尝试执行第一阶段。有人能给我一个简单的示例配置吗？ 编辑： 这是根据下面的建议在实施ISAKMP配置文件后失败的调试转储。系统提示我输入用户名和密码，但是超时。好像isakmp授权失败。当前，isakmp授权仅设置为本地用户列表。对你们来说这似乎是问题吗？ Jul 3 16:40:44.297: ISAKMP/aaa: unique id = 29277 Jul 3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy Jul 3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3 Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW …

11 cisco  vpn  cisco-ios-15  cisco-isr  ipsec 

更新资料 最终升级到9.1.4。我完成了所有配置，重新启用了VPN，但仍然遇到同样的问题。因此，我清除了所有VPN配置信息并从头开始。以下是我当前的配置。我能够连接和访问内部网络上的资源。但是，我无法通过VPN访问互联网。 xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain …

10 cisco-asa  vpn 

作为新项目的一部分，我们要求在Cisco ASA 5540防火墙上终止大约3000个IPsec连接。根据规范，该平台支持的最大IPsec对等体为5000，因此应该没有问题。 问题是，如果所有 3000个远程站点都尝试立即建立IPsec连接，将会发生什么？例如，如果上游交换机死亡。它可能不是一次全部，而是取决于计时器，它可能在一个非常小的窗口内，可能是10秒左右。在资源方面，ASA是否可以应对所有传入连接？可能发生的最坏情况是什么？ 我了解可能需要调整威胁检测的阈值。ASA除了终止IPsec连接外不会做太多事情。没有NAT，没有检查。它将参与LAN端的OSPF，尽管将总结所有远程站点网络。

10 cisco-asa  vpn  ipsec 

“安全带”配置规划位。 背景： 我们有一个成功的到远程数据中心的站点到站点VPN链接。 远程“受保护”网络也是通过防火墙作为面向Internet的端点打开的IP网络范围。 因此：我们使用VPN，以便可以访问非公共端点。 问题陈述： 如果VPN链路断开，即使Internet端点仍可通过远程防火墙访问，ASA也会丢弃流量。 问题： 当VPN关闭时，如何配置VPN以“通过”流量作为常规传出流量。 这是配置的相关部分。 crypto map vpn-crypto-map 20 match address remdc-vpn-acl crypto map vpn-crypto-map 20 set peer a.b.c.d crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set crypto map vpn-crypto-map interface outside 匹配流量的ACL非常原始：它指定表示为网络对象的两个网络（专用网络和远程网络）。 access-list remdc-vpn-acl extended permit ip object <private> object <remote> log 和原始图。 INTERNET x …

9 vpn  ipsec  cisco 

我正在为云托管环境设计虚拟专用网络设置。鉴于我们的要求，我认为与专用服务器环境没有什么不同。我们的想法是让客户能够要求他们的用户使用可以提供辅助加密的VPN连接到特定的虚拟机或专用服务器（例如，用于提交回客户网络的打印作业）。 我们正在寻找支持主机到主机IPSec（ESP和AH）的主机，当然还有支持SSH隧道的主机，但是这些都不能提供使用VPN适配器的功能。因此，我们正在考虑至少添加以下一些内容，但是由于空间有限，我们希望对其中不超过一两个进行标准化（一个会更好）： 虚拟主机或专用主机上的IPSec隧道支持 彩 PPTP 由于我们进行备份等的服务器可能位于不同的数据中心，因此我们希望能够在此处重新使用我们的VPN方法。这似乎排除了PPTP。我目前的想法是，IPSec可能会更好，因为我们可以使用标准的VPN适配器，但是（根据客户要求）设置路由可能要困难得多，这就是为什么我们也在研究tinc。 这两个中的哪个更可取？我是否担心由于IPSec不合理，路由管理可能会引起严重的头痛？有没有解决此问题的简单方法？我还缺少其他有关Tinc的陷阱吗（即，除了需要一个单独的客户之外）？ 更新以响应@Wintermute的答案： 是的，这个问题是从服务器的角度来看的。原因是这些服务器实际上是与客户端网络断开连接的服务器。是的，我们的目标市场是中小企业网络。是的，我们期望为每个客户端服务器使用公共IP，除非它们需要其他功能（然后我们可以进行交谈）。 我们所追求的解决方案是，客户定义IP隧道和这些隧道可访问的网络范围，并将它们与我们自己的管理工具（正在开发中）一起使用，这些工​​具将客户的请求与配置更改联系起来。问题在于，由于我们不太可能在vms和服务器上运行路由软件，因此路由表需要进行静态管理，以便配置错误的客户会发现VPN无法正常工作。 我们也很可能会通过网络使用ESP进行内部操作（例如备份）。整个设置相当复杂，并且有很多不同的观点，从以服务器为中心（我们的客户端vpn到托管实例）到以网络为中心（内部的东西），再到以数据库为中心（我们的工具）。因此，我不会说这个问题代表了我们的整个方法（并且在很多SE网站上都提出了问题）。 但是，这一切都没有真正影响到整个问题。虽然这可能是有用的上下文。

9 vpn  ipsec