Questions tagged «ipsec»

IPsec(Internet协议安全性)是用于通过对通信会话的每个IP数据包进行身份验证和加密来保护IP通信安全的协议。

7
OpenVPN与IPsec-优点和缺点,使用什么?
有趣的是,当我搜索“ OpenVPN vs IPsec”时,没有找到任何好的搜索结果。所以这是我的问题: 我需要在不受信任的网络上建立专用LAN。据我所知,这两种方法似乎都是有效的。但是我不知道哪个更好。 如果您能列出两种方法的优缺点,以及您对使用哪种方法的建议和经验,我将非常感谢。 更新(关于评论/问题): 在我的具体情况下,目标是使任意数量的服务器(具有静态IP)彼此透明连接。但是,一小部分动态客户端(如“公路勇士”(具有动态IP))也应该能够连接。但是,主要目标是在不受信任的网络之上运行“透明安全网络”。我是一个新手,所以我不知道如何正确解释“ 1:1点对点连接” =>该解决方案应支持广播和所有此类内容,因此它是一个功能齐全的网络。
76 security  openvpn  vlan  ipsec 

16
64位Cisco VPN客户端(IPsec)?
Cisco VPN客户端(IPsec)不支持64位Windows。 更糟糕的是,思科甚至没有计划发布64位版本,而是说 “对于x64(64位)Windows支持,您必须使用思科的下一代Cisco AnyConnect VPN客户端”。 思科VPN客户端介绍 思科VPN客户端常见问题解答 但是SSL VPN许可证需要额外付费。例如,大多数新的ASA防火墙都带有大量IPSec VPN许可证,但只有少数SSL VPN许可证。 对于64位Windows,您有什么选择?到目前为止,我知道两个: 虚拟机上的32位Cisco VPN客户端 64位Windows上的NCP Secure Entry Client 还有其他建议或经验吗?
47 windows  vpn  cisco  ipsec  64-bit 

4
数据在IPv6通信中是否始终加密?
对于这个问题,我似乎无法获得直接的答案。维基百科说:“ IPsec是IPv6中基本协议套件的组成部分,”但这意味着所有通信都始终被加密,或者这意味着加密是可选的,但是设备必须能够理解它(应该使用它) )? 如果加密是可选的,是操作系统决定使用加密还是应用程序?流行的操作系统和软件通常是否启用加密? 我自己进行调查,但是我没有IPv6连接。 更新:好的,所以是可选的。我的后续问题:通常是定义是否使用加密的应用程序,还是操作系统? 一个特定的示例:想象一下,我有支持本地ipv6的最新版本的Windows,并且我使用Mozilla Firefox在ipv6.google.com上搜索了某些内容。会加密吗?
30 encryption  ipv6  ipsec 

2
Strongswan vs Openswan
OpenSwan和StrongSwan有什么区别?我发现的只是过时的FreeSwan与测试版本的OpenSwan之间的比较 -即OpenSwan的当前稳定版本为2.6(相比之下为3.0),StrongSwan的当前稳定版本为4.4(相比之下为4.1.7),这似乎非常不公平(没有比较Windows 98与Ubuntu 10.10或Mac OS X 10.7与Slackware 8.0的观点)。 阅读一些网站后,StrongSwan似乎维护得更好,而OpenSwan似乎更受欢迎。
28 linux  ipsec 

1
如何使用iPhone客户端为纯IPSEC设置Strongswan或openswan?
我在查找有关如何设置供iPhone的VPN客户端使用的strongswan或openswan的具体最新信息时遇到麻烦。我的服务器在预算linksys NAT路由器后面。 我发现了这一点,但它提到了一堆.pem文件,但没有有关如何创建它们的参考。不幸的是,这两个软件包的“高级”手册对新手来说都是难以理解且不友好的。我之前已经安装过OpenVPN,并设法很快获得了可服务的结果,但是在阅读了过时一天半的文档后,我什至不知道从哪里开始。 任何帮助将不胜感激!
21 vpn  ipsec 

1
适用于Linux的IPsec-strongSwan,Openswan,Libreswan,其他(?)[关闭]
关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗? 更新问题,使它成为服务器故障的主题。 3年前关闭。 寻找IPSec和Linux不可避免地会遇到不同的解决方案(见下文),这些解决方案看起来都非常相似。问题是:区别在哪里? 我找到了这些项目。它们都是开源的,都处于活动状态(在过去三个月内已发布),并且它们似乎都提供了非常相似的功能。 天鹅 Openswan 利伯斯旺 另外:还有其他我没有遇到的项目吗? (Strongswan和Openswan的要求是一样的,但显然已经过时了。)

1
使用iptables,匹配数据包通过IPSEC隧道到达
我在隧道模式下使用IPSEC。 如何制定仅匹配通过IPSEC隧道到达的数据包的iptables规则(即,在 IPSEC解密之后 - 而不是到达和解密之前的IPSEC数据包)。 关键是要有一个只能通过IPSEC访问而世界其他地方无法访问的端口。
15 linux  iptables  ipsec 

2
什么时候使用MPLS?
在花了几个月的时间建立了一个相当复杂的VPN之后,我开始着眼于未来的替代方案。我的一些网络提供商使用MPLS连接到我们,我想它工作得很好。我知道许多ATM(自动柜员机)网络都使用MPLS,我认为它的安全性值得信赖。 http://en.wikipedia.org/wiki/MPLS_VPN相当简洁: “ MPLS VPN是利用多协议标签交换(MPLS)的功能来创建虚拟专用网(VPN)的一系列方法。MPLS非常适合该任务,因为它提供了流量隔离和区分,而没有大量开销。[需要引用] 三层MPLS VPN 第3层MPLS VPN(也称为L3VPN)结合了增强的BGP信令,MPLS流量隔离以及对VRF(虚拟路由/转发)的路由器支持,从而创建了基于IP的VPN。与其他类型的VPN(例如IPSec VPN或ATM)相比,MPLS L3VPN更具成本效益,可以为客户提供更多服务。” 我的问题是:建立MPLS网络有多少麻烦/昂贵?您是可以购买硬件和DIY的东西,还是您真的需要去服务提供商?现在,我可以每月100美元的价格购买“托管” VPN(我不知道这是好是坏),我的五个合作伙伴IPSEC“发夹”拓扑每年要花费我6,000。可以更好地投资MPLS吗?
14 vpn  ipsec  mpls 

2
L2TP VPN是否可以在连接期间为客户端执行自动路由配置?
我们已经在本教程中设置了L2TP VPN服务器,所有操作都像一个超级按钮。 唯一的问题是 我们不希望客户端使用此VPN路由所有流量,而只路由特定的子网,例如10.0.0.0/20 在Mac上,我们需要使用命令手动设置路由,但是对于移动设备,似乎没有办法? 因此,是否可以为客户端自动配置子网“ 10.0.0.0/20”?

3
IPSec用于LAN流量:基本注意事项?
这是我的“ 绝对加密所有...”问题的后续措施。 重要说明:这与更常用的IPSec设置无关,在该设置中您要加密两个LAN之间的通信。 我的基本目标是加密所有流量中的小公司的局域网。一种解决方案是IPSec。我刚刚开始学习IPSec,在决定使用它并进行更深入的研究之前,我想大致了解一下它的外观。 是否有良好的跨平台支持?它必须可以在Linux,MacOS X和Windows客户端,Linux服务器上运行,并且不需要昂贵的网络硬件。 是否可以为整台计算机(因此没有其他传入/传出流量)或网络接口启用IPSec,还是由单个端口/ ...的防火墙设置确定? 我可以轻松禁止非IPSec IP数据包吗?还有由某些密钥而不是我们的密钥签名的“ Mallory邪恶” IPSec流量吗?我的理想构想是使LAN上没有任何此类IP通信成为可能。 对于局域网内部流量:在“传输模式”下,我将选择“带有身份验证的ESP(无AH)”,AES-256。这是一个合理的决定吗? 对于LAN-Internet通信:它如何与Internet网关一起工作?我会用吗 “隧道模式”以创建从每台计算机到网关的IPSec隧道?或者我也可以使用 “传输模式”到网关?我问的原因是,网关必须能够解密来自LAN的数据包,因此它将需要密钥来执行此操作。如果目标地址不是网关的地址,那有可能吗?还是在这种情况下我必须使用代理? 还有什么我应该考虑的吗? 我真的只需要快速浏览这些内容,而不是非常详细的说明。

2
IPSEC / LT2P的哪些端口?
我有防火墙/路由器(不做NAT)。 我用谷歌搜索,看到了矛盾的答案。似乎UDP 500是常见的一种。但其他人感到困惑。1701,4500。 有人说我还需要允许gre 50或47或50&51。 好的,哪些端口适合IPSec / L2TP在没有NAT的路由环境中工作?即我想使用内置的Windows客户端连接到此路由器/防火墙后面的VPN。 也许这里的一个好答案是指定针对不同情况打开哪些端口。我认为这对许多人都是有用的。



2
通过IPSec隧道将20M​​bps WAN限制为10Mbps
我们最近将一个远程站点从10 / 10Mbps光纤升级到20 / 20Mbps光纤链路(从光纤到地下室,然后从VDSL从地下室到办公室,大约30米)。在此站点和中心站点之间有规则的大文件副本(多gig),因此从理论上讲,将链接增加到20/20应该可以使传输时间缩短一半。 对于用于复制文件的传输(例如robocopy用于双向复制文件或Veeam Backup and Recovery的复制),传输速度上限为10Mbps。 升级前: 升级后(robocopy): 几乎相同(忽略传输时间长度的差异)。 传输通过Cisco ASA5520和Mikrotik RB2011UiAS-RM之间的IPSec隧道进行。 首先的想法: QoS-不。有QoS规则,但没有一个规则会影响此流程。我禁用了所有规则几分钟后仍然无法检查,也没有任何更改 软件定义的限制。其中大部分流量是通过Veeam Backup and Recovery现场交付的,但其中没有定义任何限制。另外,我只是进行了一次平直的比赛robocopy,看到的统计数据完全相同。 硬件无法使用。嗯,一台5520的已发布性能数据是3DES数据为225Mbps,而Mikrotik并没有发布数字,但它将超过10Mbps。在进行这些传输测试时,Mikrotik的CPU使用率约为25%-33%。(此外,通过IPSec隧道进行HTTP传输确实达到了接近20Mbps的速度) 延迟与TCP窗口大小相结合?站点之间的延迟为15 32*0.015毫秒,因此,即使是最坏的情况,32 KB窗口大小的最大值也最多为2.1 MB /秒。此外,多个并发传输仍只能达到10Mbps,不支持该理论 也许源头和目的地都是狗屎?好了,该源可以推动1.6GB /秒的持续顺序读取,所以不是那样。目标可以执行200MB /秒的连续顺序写入,因此也不是。 这是一个非常奇怪的情况。我以前从未见过如此明显的表现。 我还能去哪里? 在进一步调查中,我有信心指出IPSec隧道是问题所在。我做了一个人为的示例,并在站点上的两个公共IP地址之间直接进行了一些测试,然后使用内部IP地址进行了完全相同的测试,并且我能够在未加密的Internet上复制20Mbps,在IPSec上仅复制10Mbps侧。 以前的版本在HTTP方面有一些麻烦。忘了这个,这是一个错误的测试机制。 根据Xeon的建议,并在我要求ISP支持时由我的ISP回显,我设置了一条mangle规则,将IPSec数据的MSS降至1422- 基于此计算: 1422 + 20 + 4 + 4 + 16 + 0 + 1 + …


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.