Questions tagged «ipsec»

我正在尝试比较千兆以太网中连接的两个主机之间的几种网络安全协议的性能。 我的目标是查看是否可以饱和带宽，如果不能，则限制因素是什么。 使用SSL，我可以达到981 MBit / s，因此以太网链路显然是限制因素； 使用SSH，我只能达到750 MBit / s，但是我的核心之一是使用率达到100％。由于SSH是单线程的，因此CPU是限制因素。 使用IPsec，我的读取速度约为500 MBit / s，但是我的内核都不是100％（低于50％）。 所以我的问题是：为什么IPsec无法达到更高的带宽？ 这两个主机正在运行用于IPsec的Debian Wheezy和Strongswan。

19 performance  bandwidth  ipsec 

我正在尝试使用Openswan（版本2.6.37）将IPsec VPN从本地网络连接到远程站点。当我只想连接到远程站点上的单个子网时，一切正常。但是，远程站点也有一个我要访问的额外子网。 这是我的配置： conn myConn type=tunnel left=192.168.139.14 leftsubnet=192.168.139.0/24 leftxauthclient=yes right=X.X.X.X rightsubnet=172.16.1.0/24 keyexchange=ike auth=esp authby=secret phase2alg=3des-sha1 pfs=yes 当我更换rightsubnet使用rightsubnets，就像这样： rightsubnets={172.16.1.0/24 192.168.3.0/24} ...然后成功创建了连接，但仅列表中的最后一个子网可用。ping 172.16.1.0子网上的任何内容的任何尝试都会失败。如果我交换子网的顺序，则可以ping 172.16.1.X但不能ping其他子网中的任何内容。好像Openswan仅使用列表中的最后一个子网来创建连接。 我在这里做错什么了吗？ 我忽略了一些额外的信息（尽管我不确定它是否相关）：我的Openswan客户端位于使用NAT的路由器后面，并且nat_traversal=yes我的ipsec.conf文件中已有该信息。

14 networking  vpn  ipsec 

我正在尝试使用iproute2从控制台手动设置IPsec连接。我需要的是一个虚拟接口（充其量，一个虚拟IP地址也足够），该接口可以进行IPsec转换（ESP /隧道模式），并将其移交给eth0（在我的系统上称为em1）。在另一组上，对等方从其自己的eth获取数据包，将其解密，然后将其移交给另一侧的虚拟接口。所以我想建立一个“正常”的IPsec隧道。 我对策略和SA没问题，使用传输模式下系统的常规以太网地址进行配置很容易，即 ip xfrm policy add src 198.51.100.1 dst 198.51.100.2 dir out tmpl proto esp ip xfrm state add src 198.51.100.1 dst 198.51.100.2 spi 24501 proto esp enc des 0xAABBCCDDEEFF0011 ip xfrm state add src 198.51.100.2 dst 198.51.100.1 spi 24501 proto esp enc des 0xAABBCCDDEEFF0022 对手上的对手配置效果很好。 现在，我尝试使用以下命令设置虚拟IP和到其他系统的路由 ip address …

8 command-line  networking  routing  ipsec  iproute