Questions tagged «vpn»

在此问题末尾添加了新的详细信息；我有可能正在调查原因。 我在Internet上与少数客户端建立了一个基于UDP OpenVPN的VPN tap模式（我需要，tap因为我需要VPN来传递多播数据包，这似乎对于tun网络来说是不可能的），该模式需要设置。我一直在通过VPN频繁进行TCP连接冻结。也就是说，我将建立一个TCP连接（例如SSH连接，但是其他协议也有类似的问题），并且在会话期间的某个时刻，似乎流量将停止通过该TCP会话进行传输。 这似乎与发生大数据传输的点有关，例如，如果我ls在SSH会话中执行命令，或者我cat的日志文件很长。某些Google搜索在Server Fault上出现了类似于上一个答案的许多答案，表明可能的罪魁祸首是MTU问题：在流量大的时期，VPN试图发送丢包的数据包，这些数据包位于服务器之间。 VPN端点。上面链接的答案建议使用以下OpenVPN配置设置来缓解此问题： fragment 1400 mssfix 这应该将VPN上使用的MTU限制为1400字节，并固定TCP最大段大小，以防止生成任何大于此大小的数据包。这似乎可以缓解问题，但我仍然经常看到冻结现象。我已经尝试了多种大小作为fragment指令的参数：1200、1000、576，所有结果均相似。我想不出两端之间可能出现这种问题的奇怪的网络拓扑：VPN服务器在直接连接到Internet 的pfSense机器上运行，而我的客户端也直接连接到另一个位置的Internet。 另一个奇怪的难题是：如果我运行该tracepath实用程序，那么这似乎可以解决问题。运行示例如下： [~]$ tracepath -n 192.168.100.91 1: 192.168.100.90 0.039ms pmtu 1500 1: 192.168.100.91 40.823ms reached 1: 192.168.100.91 19.846ms reached Resume: pmtu 1500 hops 1 back 64 上面的运行是在VPN上的两个客户端之间：我启动了从192.168.100.90到目的地的跟踪192.168.100.91。配置两个客户端fragment 1200; mssfix;以尝试限制链接上使用的MTU。以上结果似乎表明它tracepath能够检测到两个客户端之间的1500字节的路径MTU。我会假设由于OpenVPN配置中指定的分段设置，它会稍微小一些。我发现结果有些奇怪。 但是，甚至更陌生：如果我的TCP连接处于停止状态（例如，SSH会话的目录列表在中间冻结），则执行tracepath上面显示的命令会使连接再次启动！对于这种情况，我无法找到任何合理的解释，但是我觉得这可能指向最终解决该问题的解决方案。 有人对其他尝试有任何建议吗？ 编辑：我回来了，进一步看了一下，发现只有更多令人困惑的信息： 我将OpenVPN连接设置为1400字节分段，如上所示。然后，我从Internet上连接到VPN，并使用Wireshark查看发生停顿时发送到VPN服务器的UDP数据包。没有一个大于指定的1400字节计数，因此碎片似乎正常运行。 为了验证哪怕一个1400字节的MTU也足够，我使用以下（Linux）命令对VPN服务器执行了ping操作： ping <host> -s 1450 -M …

19 vpn  openvpn  tcp  mtu 

我的公司网络上有Windows 7 PC（它是我们的Active Directory的成员）。一切正常，直到我打开与客户站点的VPN连接。 连接后，将无法访问网络上的共享，包括我们具有文件夹重定向策略的目录（例如“应用程序数据”）。可以想象，这使PC上的工作非常困难，因为桌面快捷方式停止工作，软件由于从其下面拉出“应用程序数据”而无法正常工作。 我们的网络被路由（10.58.5.0/24），其他本地子网位于10.58.0.0/16的范围内。远程网络位于192.168.0.0/24。 我已将问题归结为与DNS相关。打开VPN通道后，我所有的 DNS流量都会通过远程网络，这说明了本地资源的丢失，但是我的问题是，如何强制本地DNS查询转到我们的本地DNS服务器而不是我们的客户？ ipconfig /all未连接到VPN时的输出如下： Windows IP Configuration Host Name . . . . . . . . . . . . : 7k5xy4j Primary Dns Suffix . . . . . . . : mydomain.local Node Type . . . . . . . …

17 domain-name-system  active-directory  windows-7  vpn 

我正在使用OpenVPN设置VPN，以将家里的笔记本电脑连接到工作场所LAN。我希望能够通过我的工作场所计算机的名称而不是其IP来引用我的计算机，但是我不能。 这是我的情况： 工作场所局域网： 地址空间：192.168.101.0/24 路由器地址：192.168.101.1 家庭局域网： 地址空间：192.168.1.0/24 路由器地址：192.168.1.1 VPN： 地址空间：10.100.1.0/24 OpenVPN服务器地址：10.100.1.1 所有机器都运行Microsoft Windows。 在我的工作场所中，作为OpenVPN服务器运行的PC为192.168.101.50（在VPN中为10.100.1.1），其计算机名称为workshopserver。 在我的工作场所中，名称名称名称“ workerserverserver”已解析为地址192.168.101.50，但在vpn客户端中，名称“名称”名称“ workplaceserverserver”无法解析，我希望将其名称解析为10.100.1.1。我应该如何配置OpenVPN以实现该目标？

17 domain-name-system  vpn  openvpn 

我最近将笔记本电脑从Windows Vista SP1升级到了Windows 7 Professional。 升级后，如果我尝试使用Cisco VPN客户端连接到网络，则会收到以下消息： Secure VPN Connection terminated locally by the Client. Reason 440: Driver Failure. 在升级之前，我能够顺利连接。 我正在使用的客户端版本是5.0.05.0290。

17 windows-7  vpn 

当使用client-to-client禁用的TUN（第3层）OpenVPN服务器时，我的客户端仍然可以彼此通信。 客户端到客户端的配置应根据文档阻止此操作： 如果您希望连接客户端之间能够通过VPN相互访问，请取消注释client-to-client指令。默认情况下，客户端将只能访问服务器。 禁用此选项后，为什么客户端可以继续相互通信？ 这是我的服务器配置文件： port 443 proto tcp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh4096.pem topology subnet server 10.10.201.0 255.255.255.128 ifconfig-pool-persist ipp.txt crl-verify /etc/openvpn/keys/crl.pem push "route [omitted]" push "dhcp-option DNS [omitted]" keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login cipher AES-256-CBC …

17 linux  vpn  openvpn 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，使它成为服务器故障的主题。 3年前关闭。 寻找IPSec和Linux不可避免地会遇到不同的解决方案（见下文），这些解决方案看起来都非常相似。问题是：区别在哪里？ 我找到了这些项目。它们都是开源的，都处于活动状态（在过去三个月内已发布），并且它们似乎都提供了非常相似的功能。 天鹅 Openswan 利伯斯旺 另外：还有其他我没有遇到的项目吗？ （Strongswan和Openswan的要求是一样的，但显然已经过时了。）

16 vpn  ipsec  openswan  strongswan 

我openconnect用来连接到VPN。以身份启动客户端sudo openconnect -v -u anaphory vpn-gw1.somewhere.net时，输入GROUP和Password后即可连接。 # openconnect -v -u anaphory vpn-gw1.somewhere.net […] XML POST enabled Please enter your username and password. GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE POST https://vpn-gw1.somewhere.net Got HTTP response: HTTP/1.1 200 OK Content-Type: text/html; charset=utf-8 […] 但是，当我在命令行上指定相同的组名时，连接将失败，并显示“ Invalid host entry”消息。 # openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net […] XML …

16 vpn  openconnect 

我们正在公共数据中心内租用许多主机。数据中心不提供专用VLAN。所有主机都接收一个（或多个）公共IPv4 / IPv6地址。主机配备了非常现代的CPU（Haswell四核，3.4GHz），并具有Gbit上行链路。数据中心的不同区域（房间，楼层或建筑物？）通过Gbit或500Mbit链接相互连接。我们的房东正在运行debian wheezy。目前，我们正在运行10台以上的主机，并希望在不久的将来实现增长。 我正在寻找一种方法，以使所有主机之间可以安全保密地进行通信。第3层很好，第2层还可以（但不是必需的）。由于我无权访问VLAN，因此它必须是某种类型的VPN。 对我来说重要的是： 高产量，理想情况下接近线速 分散的，网格化的体系结构-这是为了确保吞吐量不会因中央元素（例如VPN集中器）而减慢 CPU占用空间不会过多（考虑到AESNI和GCM密码套件，我希望这不是一个荒谬的要求） 操作的易用性；设置不太复杂；网络可以增长而不会失去已建立的连接 我们目前正在使用tinc。它会打勾[2]和[4]，但是我只能达到960Mbit / s线速的大约600Mbit / s（单工），并且我完全松开了一个内核。另外，tinc 1.1（目前正在开发中）尚未使用多线程，因此我只能使用单核性能。 传统的IPSec是不可能的，因为它需要一个中央元素或要配置的隧道的一小部分（以实现[2]）。带有机会主义加密的IPsec将是一个解决方案，但是我不确定它是否能使其成为稳定的生产代码。 我今天偶然发现了tcpcrypt。除了缺少身份验证，它看起来像我想要的。用户空间的实现闻起来很慢，但其他所有VPN也是如此。他们谈到了内核实现。我还没有尝试过，并且对它在[1]和[3]中的表现感兴趣。 还有什么其他选择？人们在做什么，谁不在 AWS上？ 附加信息 我对GCM感兴趣，希望它可以减少CPU占用空间。请参阅有关该主题的英特尔论文。当与一位小型开发人员交谈时，他解释说，即使使用AESNI进行加密，HMAC（例如SHA-1）在Gbit速度下仍然非常昂贵。 最终更新 传输模式下的IPsec可以完美工作，并且完全符合我的要求。经过大量评估之后，我选择了Openswan而不是ipsec-tools，这仅仅是因为它支持AES-GCM。在Haswell CPU上，我测量约910-920Mbit / sec的单工吞吐量，其中CPU负载约为8-9％kworkerd。

16 linux  networking  vpn  tinc 

我有一个一直在修补的Ubuntu Lucid Lynx VM。我想建立一个VPN，我很高兴自己学习如何做，但是众多的选择使我很头疼，所以我只是在寻找指针。 我要考虑的因素 每个用户都需要个人身份验证（而不是全部使用一个密码） 我想知道客户端使用的是什么操作系统（Android / iPhone其他） 我想跟踪每个人正在使用多少带宽 尽管安全性很重要，但它主要是为了绕过中国强大的防火墙（访问Facebook / Twitter），因此我不打算保护五边形文件。只要不涉及数小时的复杂配置，安全性就很好。 防止同一用户同时使用多个设备访问VPN 有什么建议吗？ 所以我的问题是： 我应该使用哪种协议与Android（例如1.6+）和iPhone兼容？ 我应该使用什么管理软件（最好免费，但愿意花一点钱）？ 您能推荐哪些指南/教程比这少一些混乱？ Android： 16个IPSec VPN隧道 8个L2TP VPN隧道（拨入：4，拨出：4） 8个PPTP VPN隧道（拨入：4，拨出：4） 嵌入式IPSec和PPTP客户端/服务器 IKE密钥管理 IPSec的DES，3DES和AES加密 嵌入式强大的3DES加速器 PPTP的MPPE加密 IPSec中的L2TP L2TP / PPTP / IPSec直通 苹果手机 L2TP / IPSec MSChapV2密码 RSA SecurID 密码卡 PPTP MSChapV2密码 RSA SecurID 密码卡 …

16 vpn  ubuntu  iphone  android 

我刚刚在Strongswan（4.5）的站点到站点之间建立了一个VPN隧道。隧道看起来不错，并已连接到另一侧，但是似乎无法通过该隧道路由流量。 任何想法？ 谢谢！ 网络图 +----------------------------------+ |Dedicated server: starfleet | +-----------------+ | | | CISCO ASA | | +-------------------------| internet | | | |eth0: XX.XX.XX.195/29 +-------------------| YY.YYY.YYY.155 | | +-------------------------| +------+----------+ | |virbr1: 192.168.100.1/24 | | | +----+--------------------| | | | | | | | | +-----------------+ | | | |network …

15 linux  vpn  kvm-virtualization  cisco-asa  strongswan 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 4年前关闭。 我必须在Linux服务器上设置防火墙（我以前的所有经验都是Windows）。我的规则非常简单-禁止全部使用，允许全部使用某些端口，允许某些端口用于特定的IP子网，而网络很小但很复杂（每台主机的IP至少为2 192.168 ... net，每个人都可以相互连接）。我认为使用iptables包装器会使逻辑上过多的系统变得过于复杂，从而引入了许多不必要的实体，最好保持简单并直接使用iptables。 您能推荐一个很好的快速入门介绍如何编写iptables规则吗？

15 linux  vpn  router  iptables 

这些年来，我已经使用了一些VPN解决方案。大多数都难以设置，连接速度慢和/或行为异常（更换系统驱动程序，互相干扰等）。 我以前从未使用过的一种解决方案是Windows内置的解决方案。这主要是因为基础设施人员总是声称不安全，因此拒绝使用它。 现在，我终于有机会使用它（在Windows 7上），哇，这很容易！易于设置，行为良好，它几乎可以立即连接，可以使用我登录的凭据自动进行身份验证，并且可以与UI完美集成。我不得不说，除非它确实不安全，否则如果我永远不必再次使用另一种VPN产品，我将感到高兴。 我收集了过去依赖于PPTP的Windows VPN，这并不安全。但是在Windows 7/2008中，它支持L2TP / IPSec，SSTP和IKEv2，并通过EAP或CHAP / CHAPv2进行身份验证。对我来说，这似乎是最新的。 但是我只是一个低级的开发人员。知道的人可以给我这个低调吗？

15 windows  vpn 

在花了几个月的时间建立了一个相当复杂的VPN之后，我开始着眼于未来的替代方案。我的一些网络提供商使用MPLS连接到我们，我想它工作得很好。我知道许多ATM（自动柜员机）网络都使用MPLS，我认为它的安全性值得信赖。 http://en.wikipedia.org/wiki/MPLS_VPN相当简洁： “ MPLS VPN是利用多协议标签交换（MPLS）的功能来创建虚拟专用网（VPN）的一系列方法。MPLS非常适合该任务，因为它提供了流量隔离和区分，而没有大量开销。[需要引用] 三层MPLS VPN 第3层MPLS VPN（也称为L3VPN）结合了增强的BGP信令，MPLS流量隔离以及对VRF（虚拟路由/转发）的路由器支持，从而创建了基于IP的VPN。与其他类型的VPN（例如IPSec VPN或ATM）相比，MPLS L3VPN更具成本效益，可以为客户提供更多服务。” 我的问题是：建立MPLS网络有多少麻烦/昂贵？您是可以购买硬件和DIY的东西，还是您真的需要去服务提供商？现在，我可以每月100美元的价格购买“托管” VPN（我不知道这是好是坏），我的五个合作伙伴IPSEC“发夹”拓扑每年要花费我6,000。可以更好地投资MPLS吗？

14 vpn  ipsec  mpls 

出于多种原因，我在开发计算机上使用Hyper-V，最大的烦恼之一是我无法在虚拟机之间剪切和粘贴。 我经历了所有选项，找不到任何看起来可以允许的操作。有人有什么好的解决方案吗？ 我曾考虑过通过RDP连接到VM，而不是使用VPN客户端，但是我的一个VM主要用于通过VPN连接到另一个网络，当我尝试RDP进入该计算机，然后连接到VPN（使用Cisco AnyConnect），我收到一条错误消息，说我无法通过RDP会话连接到VPN）。

14 vpn  hyper-v  rdp 

难道我们不能让任何需要通过VPN连接访问的机器进入睡眠状态吗？ （我是在服务器故障时询问此问题，因为它与VPN服务器有关，而与最终用户PC睡眠有关）

14 vpn  wake-on-lan