Questions tagged «ipsec»

有趣的是，当我搜索“ OpenVPN vs IPsec”时，没有找到任何好的搜索结果。所以这是我的问题： 我需要在不受信任的网络上建立专用LAN。据我所知，这两种方法似乎都是有效的。但是我不知道哪个更好。 如果您能列出两种方法的优缺点，以及您对使用哪种方法的建议和经验，我将非常感谢。 更新（关于评论/问题）： 在我的具体情况下，目标是使任意数量的服务器（具有静态IP）彼此透明连接。但是，一小部分动态客户端（如“公路勇士”（具有动态IP））也应该能够连接。但是，主要目标是在不受信任的网络之上运行“透明安全网络”。我是一个新手，所以我不知道如何正确解释“ 1：1点对点连接” =>该解决方案应支持广播和所有此类内容，因此它是一个功能齐全的网络。

76 security  openvpn  vlan  ipsec 

Cisco VPN客户端（IPsec）不支持64位Windows。 更糟糕的是，思科甚至没有计划发布64位版本，而是说 “对于x64（64位）Windows支持，您必须使用思科的下一代Cisco AnyConnect VPN客户端”。 思科VPN客户端介绍 思科VPN客户端常见问题解答 但是SSL VPN许可证需要额外付费。例如，大多数新的ASA防火墙都带有大量IPSec VPN许可证，但只有少数SSL VPN许可证。 对于64位Windows，您有什么选择？到目前为止，我知道两个： 虚拟机上的32位Cisco VPN客户端 64位Windows上的NCP Secure Entry Client 还有其他建议或经验吗？

47 windows  vpn  cisco  ipsec  64-bit 

对于这个问题，我似乎无法获得直接的答案。维基百科说：“ IPsec是IPv6中基本协议套件的组成部分，”但这意味着所有通信都始终被加密，或者这意味着加密是可选的，但是设备必须能够理解它（应该使用它） ）？ 如果加密是可选的，是操作系统决定使用加密还是应用程序？流行的操作系统和软件通常是否启用加密？ 我自己进行调查，但是我没有IPv6连接。 更新：好的，所以是可选的。我的后续问题：通常是定义是否使用加密的应用程序，还是操作系统？ 一个特定的示例：想象一下，我有支持本地ipv6的最新版本的Windows，并且我使用Mozilla Firefox在ipv6.google.com上搜索了某些内容。会加密吗？

30 encryption  ipv6  ipsec 

OpenSwan和StrongSwan有什么区别？我发现的只是过时的FreeSwan与测试版本的OpenSwan之间的比较 -即OpenSwan的当前稳定版本为2.6（相比之下为3.0），StrongSwan的当前稳定版本为4.4（相比之下为4.1.7），这似乎非常不公平（没有比较Windows 98与Ubuntu 10.10或Mac OS X 10.7与Slackware 8.0的观点）。 阅读一些网站后，StrongSwan似乎维护得更好，而OpenSwan似乎更受欢迎。

28 linux  ipsec 

我在查找有关如何设置供iPhone的VPN客户端使用的strongswan或openswan的具体最新信息时遇到麻烦。我的服务器在预算linksys NAT路由器后面。 我发现了这一点，但它提到了一堆.pem文件，但没有有关如何创建它们的参考。不幸的是，这两个软件包的“高级”手册对新手来说都是难以理解且不友好的。我之前已经安装过OpenVPN，并设法很快获得了可服务的结果，但是在阅读了过时一天半的文档后，我什至不知道从哪里开始。 任何帮助将不胜感激！

21 vpn  ipsec 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，使它成为服务器故障的主题。 3年前关闭。 寻找IPSec和Linux不可避免地会遇到不同的解决方案（见下文），这些解决方案看起来都非常相似。问题是：区别在哪里？ 我找到了这些项目。它们都是开源的，都处于活动状态（在过去三个月内已发布），并且它们似乎都提供了非常相似的功能。 天鹅 Openswan 利伯斯旺 另外：还有其他我没有遇到的项目吗？ （Strongswan和Openswan的要求是一样的，但显然已经过时了。）

16 vpn  ipsec  openswan  strongswan 

我在隧道模式下使用IPSEC。 如何制定仅匹配通过IPSEC隧道到达的数据包的iptables规则（即，在 IPSEC解密之后 - 而不是到达和解密之前的IPSEC数据包）。 关键是要有一个只能通过IPSEC访问而世界其他地方无法访问的端口。

15 linux  iptables  ipsec 

在花了几个月的时间建立了一个相当复杂的VPN之后，我开始着眼于未来的替代方案。我的一些网络提供商使用MPLS连接到我们，我想它工作得很好。我知道许多ATM（自动柜员机）网络都使用MPLS，我认为它的安全性值得信赖。 http://en.wikipedia.org/wiki/MPLS_VPN相当简洁： “ MPLS VPN是利用多协议标签交换（MPLS）的功能来创建虚拟专用网（VPN）的一系列方法。MPLS非常适合该任务，因为它提供了流量隔离和区分，而没有大量开销。[需要引用] 三层MPLS VPN 第3层MPLS VPN（也称为L3VPN）结合了增强的BGP信令，MPLS流量隔离以及对VRF（虚拟路由/转发）的路由器支持，从而创建了基于IP的VPN。与其他类型的VPN（例如IPSec VPN或ATM）相比，MPLS L3VPN更具成本效益，可以为客户提供更多服务。” 我的问题是：建立MPLS网络有多少麻烦/昂贵？您是可以购买硬件和DIY的东西，还是您真的需要去服务提供商？现在，我可以每月100美元的价格购买“托管” VPN（我不知道这是好是坏），我的五个合作伙伴IPSEC“发夹”拓扑每年要花费我6,000。可以更好地投资MPLS吗？

14 vpn  ipsec  mpls 

我们已经在本教程中设置了L2TP VPN服务器，所有操作都像一个超级按钮。 唯一的问题是 我们不希望客户端使用此VPN路由所有流量，而只路由特定的子网，例如10.0.0.0/20 在Mac上，我们需要使用命令手动设置路由，但是对于移动设备，似乎没有办法？ 因此，是否可以为客户端自动配置子网“ 10.0.0.0/20”？

13 linux  vpn  linux-networking  ipsec  l2tp 

这是我的“ 绝对加密所有...”问题的后续措施。 重要说明：这与更常用的IPSec设置无关，在该设置中您要加密两个LAN之间的通信。 我的基本目标是加密所有流量中的小公司的局域网。一种解决方案是IPSec。我刚刚开始学习IPSec，在决定使用它并进行更深入的研究之前，我想大致了解一下它的外观。 是否有良好的跨平台支持？它必须可以在Linux，MacOS X和Windows客户端，Linux服务器上运行，并且不需要昂贵的网络硬件。 是否可以为整台计算机（因此没有其他传入/传出流量）或网络接口启用IPSec，还是由单个端口/ ...的防火墙设置确定？ 我可以轻松禁止非IPSec IP数据包吗？还有由某些密钥而不是我们的密钥签名的“ Mallory邪恶” IPSec流量吗？我的理想构想是使LAN上没有任何此类IP通信成为可能。 对于局域网内部流量：在“传输模式”下，我将选择“带有身份验证的ESP（无AH）”，AES-256。这是一个合理的决定吗？ 对于LAN-Internet通信：它如何与Internet网关一起工作？我会用吗 “隧道模式”以创建从每台计算机到网关的IPSec隧道？或者我也可以使用 “传输模式”到网关？我问的原因是，网关必须能够解密来自LAN的数据包，因此它将需要密钥来执行此操作。如果目标地址不是网关的地址，那有可能吗？还是在这种情况下我必须使用代理？ 还有什么我应该考虑的吗？ 我真的只需要快速浏览这些内容，而不是非常详细的说明。

13 local-area-network  encryption  ipsec 

我有防火墙/路由器（不做NAT）。 我用谷歌搜索，看到了矛盾的答案。似乎UDP 500是常见的一种。但其他人感到困惑。1701，4500。 有人说我还需要允许gre 50或47或50＆51。 好的，哪些端口适合IPSec / L2TP在没有NAT的路由环境中工作？即我想使用内置的Windows客户端连接到此路由器/防火墙后面的VPN。 也许这里的一个好答案是指定针对不同情况打开哪些端口。我认为这对许多人都是有用的。

13 linux  iptables  firewall  ipsec  l2tp 

Ubuntu 14.04，Openswan U2.6.38 / K3.13.0-30-generic 当我运行ipsec验证时，出现此错误。 Two or more interfaces found, checking IP forwarding [FAILED] 我看到很多同样的问题浮出水面。有人终于找到了解决方案吗？ 当然，我已经在sysctl.conf中启用了IP转发：-) 我已经做了大量的研究，只是做不到。

12 ubuntu  vpn  ipsec 

大多数VPN客户端区分IPSec和“ Cisco IPSec”。例如，（Apple的）iOS将它们视为本质上独立的事物。 但是我找不到关于协议级别差异的任何解释。它们可能很小，但肯定存在差异。 有人可以阐明这一点吗？即使只是指向详细说明的指针也将有很大帮助。谢谢！

12 vpn  cisco  ipsec  network-protocols  protocol 

我们最近将一个远程站点从10 / 10Mbps光纤升级到20 / 20Mbps光纤链路（从光纤到地下室，然后从VDSL从地下室到办公室，大约30米）。在此站点和中心站点之间有规则的大文件副本（多gig），因此从理论上讲，将链接增加到20/20应该可以使传输时间缩短一半。 对于用于复制文件的传输（例如robocopy用于双向复制文件或Veeam Backup and Recovery的复制），传输速度上限为10Mbps。 升级前： 升级后（robocopy）： 几乎相同（忽略传输时间长度的差异）。 传输通过Cisco ASA5520和Mikrotik RB2011UiAS-RM之间的IPSec隧道进行。 首先的想法： QoS-不。有QoS规则，但没有一个规则会影响此流程。我禁用了所有规则几分钟后仍然无法检查，也没有任何更改 软件定义的限制。其中大部分流量是通过Veeam Backup and Recovery现场交付的，但其中没有定义任何限制。另外，我只是进行了一次平直的比赛robocopy，看到的统计数据完全相同。 硬件无法使用。嗯，一台5520的已发布性能数据是3DES数据为225Mbps，而Mikrotik并没有发布数字，但它将超过10Mbps。在进行这些传输测试时，Mikrotik的CPU使用率约为25％-33％。（此外，通过IPSec隧道进行HTTP传输确实达到了接近20Mbps的速度） 延迟与TCP窗口大小相结合？站点之间的延迟为15 32*0.015毫秒，因此，即使是最坏的情况，32 KB窗口大小的最大值也最多为2.1 MB /秒。此外，多个并发传输仍只能达到10Mbps，不支持该理论 也许源头和目的地都是狗屎？好了，该源可以推动1.6GB /秒的持续顺序读取，所以不是那样。目标可以执行200MB /秒的连续顺序写入，因此也不是。 这是一个非常奇怪的情况。我以前从未见过如此明显的表现。 我还能去哪里？ 在进一步调查中，我有信心指出IPSec隧道是问题所在。我做了一个人为的示例，并在站点上的两个公共IP地址之间直接进行了一些测试，然后使用内部IP地址进行了完全相同的测试，并且我能够在未加密的Internet上复制20Mbps，在IPSec上仅复制10Mbps侧。 以前的版本在HTTP方面有一些麻烦。忘了这个，这是一个错误的测试机制。 根据Xeon的建议，并在我要求ISP支持时由我的ISP回显，我设置了一条mangle规则，将IPSec数据的MSS降至1422- 基于此计算： 1422 + 20 + 4 + 4 + 16 + 0 + 1 + …

11 windows  ipsec  wide-area-network 

对于“拨号” VPN，PPTP或IPSEC VPN是否比其他VPN更安全？为什么？

11 security  vpn  ipsec  pptp