标签: ipsec

有趣的是，我在搜索“OpenVPN vs IPsec”时没有找到任何好的搜索结果。所以这是我的问题：

我需要在不受信任的网络上设置专用 LAN。据我所知，这两种方法似乎都是有效的。但我不知道哪个更好。

如果您能列出两种方法的优缺点，以及您关于使用什么的建议和经验，我将不胜感激。

更新（关于评论/问题）：

在我的具体案例中，目标是让任意数量的服务器（具有静态 IP）相互透明地连接。但是一小部分动态客户端，如“公路战士”（具有动态 IP）也应该能够连接。然而，主要目标是在不受信任的网络之上运行一个“透明的安全网络”。我是个新手，所以我不知道如何正确解释“1:1 点对点连接”=> 解决方案应该支持广播和所有这些东西，所以它是一个功能齐全的网络。

Cisco VPN 客户端 (IPsec) 不支持 64 位 Windows。

更糟糕的是，思科甚至不打算发布 64 位版本，而是说
“对于 x64（64 位）Windows 支持，您必须使用思科的下一代 Cisco AnyConnect VPN 客户端。”

• Cisco VPN 客户端介绍
• Cisco VPN 客户端常见问题

但是 SSL VPN 许可证需要额外付费。例如，大多数新的 ASA 防火墙都带有大量 IPSec VPN 许可证，但只有少数 SSL VPN 许可证。

对于 64 位 Windows，您有哪些选择？到目前为止，我知道两个：

1. 虚拟机上的 32 位 Cisco VPN 客户端
2. 64 位 Windows 上的NCP 安全入口客户端

有其他建议或经验吗？

OpenSwan 和 StrongSwan 有什么区别？我发现的只是过时的 FreeSwan 和 OpenSwan 的测试版本之间的比较——即OpenSwan当前的稳定版本是 2.6（相比之下是 3.0），而 StrongSwan 当前的稳定版本是 4.4（相比之下是 4.1.7），这似乎非常不公平（没有将 Windows 98 与 Ubuntu 10.10 或 Mac OS X 10.7 与 Slackware 8.0 进行比较）。

看了一些网站，StrongSwan 似乎维护得更好，而 OpenSwan 似乎更受欢迎。

我似乎无法直接回答这个问题。维基百科说“IPsec 是 IPv6 中基本协议套件的一个组成部分”，但这是否意味着所有通信总是加密的，还是意味着加密是可选的，但设备必须能够理解它（应该使用它吗？ ）？

如果加密是可选的，是操作系统决定是否使用加密，还是应用程序？流行的操作系统和软件通常支持加密吗？

我会自己调查这个，但我缺乏 IPv6 连接。

更新：好的，所以它是可选的。我的后续问题：通常是应用程序定义是否使用加密，还是操作系统？

一个具体的例子：假设我有一个支持本地 ipv6 的最新版本的 Windows，我使用 Mozilla Firefox 在 ipv6.google.com 上搜索一些东西。会被加密吗？

搜索IPSec和Linux不可避免地会遇到不同的解决方案（见下文），这些解决方案看起来都非常相似。问题是：区别在哪里？

我找到了这些项目。它们都是开源的，都是活跃的（在过去 3 个月内发布）并且它们似乎都提供了非常相似的东西。

• 坚强的天鹅
• 斯旺
• 利伯斯旺

另外：还有其他我没有遇到的项目吗？

（strongswan vs openswan要求相同，但显然已经过时了。）

问题：对于某些要求/上下文是否有明显的选择，或者它们都可以互换？

不确定性示例：是否需要支持某些客户端（android、apple、Microsoft 等）需要（或从中受益匪浅）特定实现？

示例不确定性：某些实现是否比其他实现更多地进行了安全性、和-或兼容性、和-或性能的审查和测试？

不确定性示例：某些实现是否比其他实现更稳定且没有错误？

示例不确定性：它们是否都支持 1pv4-only / ipv6-only / 任何一个 / 两者？

示例不确定性：它们是否都支持多个客户端和 dhcp ？

示例不确定性：它们是否都支持相同的身份验证方法？

我无法找到有关如何设置strongswan 或openswan 以供iphone 的VPN 客户端使用的具体、最新信息。我的服务器在一个廉价的 linksys NAT 路由器后面。

我找到了这个，但它提到了一大堆 .pem 文件，但没有关于如何创建它们的参考。不幸的是，这两个软件包的“精美”手册对新手来说非常难懂且不友好。我之前设置过 OpenVPN 并设法很快获得了可用的结果，但是在阅读了一天半的过时文档后，我几乎不知道从哪里开始。

任何帮助将不胜感激！

我有一个防火墙/路由器（不做 NAT）。

我用谷歌搜索并看到了相互矛盾的答案。看来 UDP 500 是常见的。但其他人很困惑。1701、4500。

有人说我还需要允许 gre 50、或 47、或 50 和 51。

好的，哪些端口是 IPSec/L2TP 在没有 NAT 的路由环境中工作的正确端口？即我想使用内置的 Windows 客户端连接到此路由器/防火墙后面的 VPN。

也许这里的一个很好的答案是指定在不同情况下要打开哪些端口。我认为这对很多人来说都是有用的。

我对 VPN 了解不多，但我想通过 Ubuntu 连接到 Fortinet VPN。

我可以使用 Forticlient 在 Windows 上连接，只需输入策略服务器（vpn.theserver.com），然后它会要求输入用户/密码。我使用 IPSec。

我在隧道模式下使用 IPSEC。

如何制定一个 iptables 规则，只匹配通过 IPSEC 隧道到达的数据包（即在IPSEC 解密它们之后 -而不是它们到达时和解密之前的 IPSEC 数据包）。

关键是要有一个只能通过 IPSEC 访问而世界其他地方无法访问的特定端口。

我们已经使用本教程设置了一个 L2TP VPN 服务器，一切都像魅力一样。

唯一的问题是

1. 我们不希望客户端使用此 VPN 路由所有流量，仅路由特定子网，例如 10.0.0.0/20

2. 在 Mac 上，我们需要使用命令手动设置路由，但对于移动设备，似乎没有办法这样做？

那么，是否可以为子网“10.0.0.0/20”自动配置客户端？