标签: ipsec

我在基本操作系统之上创建了两个 VM，并在两个 VM 之间启用了 IPSec。现在的问题是，一旦 IPsec 启动并在两个 VM 之间建立 SA，我就无法通过基本操作系统 ping 或 ssh 到 VM，但 VM 可以相互 ping。据我所知，IPsec 只在指定的 IP 之间创建一个隧道，即来自 IP A 的用于 IP B 的数据包被加密，而来自 IP A 的所有其他数据包可以在不加密的情况下通过。我在这里错过了什么吗？使用的配置文件是：

conn example  
        left=192.168.54.220  
        leftcert=CA_Server  
        leftsubnet=192.168.54.1/24  
        leftsendcert=always  
        leftrsasigkey=%cert  
        right=192.168.54.221  
        rightca=%same  
        rightrsasigkey=%cert  
        rightsubnet=192.168.54.1/24  
        rightcert=CA_Client  
        authby=rsasig  
        ikev2=permit  
        auto=start  

我有一个 pfSense 路由器，它是站点到站点 IPSec VPN 的端点。在 pfSense 中，主 LAN 接口是 10.0.2.1/24，它有一个虚拟 IP 10.0.125.1/24
IPSec Phase 2 将 10.172.0.0/16（从另一端）连接到 10.0.125.1/24 网络。
现在我想从另一端连接到一个 ip，但是从 10.0.2.0/24 网络中的一个 ip

所以所需的连接是 10.0.2.27 到 10.172.0.119
我尝试添加 10.0.125.1 作为 pfSense 中的网关，并通过它路由所有流量到另一个网络，当我这样做时，我可以从 pfSense ping 另一端主机但不是来自 10.0.2.0/24 网络。
我尝试添加出站 NAT，但这也无济于事。

我究竟做错了什么？

我有一台可以保存一些敏感数据的服务器。目前，对服务器的访问仅限于通过 SSH 且仅限一个人。然而，该服务器与许多其他计算机位于同一网络上，并且具有相同范围的 IP（尽管受防火墙保护）。

我已经读到，额外的安全措施是通过加密的 VPN 连接到服务器，从而使服务器与其他计算机不在同一网络上。如果我们将来想要扩展安全性，我们可以添加令牌身份验证。

有人可以告诉我上述是否可行以及设置是否有意义？如果没有获得 VPN 路由器并通过它进行连接，我无法理解 VPN 的工作方式。

任何反馈和指示都会有所帮助。

我在建立从站点端点到供应商的 IPsec 隧道的第 1 阶段一直存在问题。

这是一个有点奇怪的配置，我不确定是否必须启用NAT-T才能使其工作。

• 我的接口IP是192.168.100.1。

• IPsec 数据包的源 IP 为 192.168.100.5。

• IPsec 数据包在穿越“云”时的源 IP 是公共地址。

  == 两次 IPsec 数据包经过 NAT

目前还不清楚（不幸的是我看不到），看看防火墙是否真的在对数据包进行 NAT，或者在生成数据包时实际分配源地址。[是的，我真的看不出来]

在什么情况下，IPsec 隧道需要NAT-T才能建立？

在上述情况下是否需要？

我希望进行测试，但供应商很抗拒。

谢谢，

马特

我eap-mschapv2用作身份验证方法。它需要将纯文本密码存储在ipsec.secrets. 即我有一个这样的密码：

user : EAP "mypassword"

我想使用这样的东西：

user : EAP "34819d7beeabb9260a5c854bc85b3e44"

是否可以更改身份验证方法，以便我只在服务器上存储哈希值，而客户端可以通过纯文本密码进行身份验证？

我目前正在两个需要传出和传入连接的 VPS 之间配置站点到站点 VPN。它将由高带宽应用程序使用，因此我需要通过连接获得的最大速度。

使用 iperf3，我可以通过约 30 毫秒的 ping 可靠地获得约 600Mbit/s 的连接速度。

通过 OpenSSH SCP，我得到了大约 260Mbit/s，考虑到额外的加密，我对此感到满意。

我一直在尝试各种 VPN 配置，主要是使用 OpenVPN。我尝试过更改sndbuf/rcvbuf，不加密，不压缩，但我仍然只能在端口443上通过UDP获得20Mbit，通过TLS获得40Mbit。

我还设置了 IPSec/L2TP、SoftEther（尽管我只得到了 500Kbit/s）和 OpenSSH 内置 tun 适配器。这些都无法为我提供超过 40Mbit/s 的 iperf 速度。

我一直密切关注每个节点的HDD和CPU，都没有饱和。一台服务器的功能明显较差，但在测试期间仅达到约 30% 的 CPU 使用率。

我有点不知所措。我需要一种能够达到 200Mbit/s 以上速度的东西（我确信这是可能的），并且只需要从一个虚拟接口路由到另一个虚拟接口。从理论上讲，这就是 SoftEther 的用途。我应该继续尝试修复 SoftEther 以获得任何实际速度吗？

对于测试/调试/配置的更多方面有什么建议，以尝试让可靠的隧道接口启动并运行吗？是否有另一款软件可以帮助路由传入连接，以便我可以使用普通的类似代理的隧道？谢谢！

我在具有 2 个 ADSL 连接（下行 8Mb，上行 512Kb）的远程办公室和具有 10Mb EFM 连接（上行和下行均为 10Mb）的主办公室之间设置了 VPN。

VPN 是一个 IPSec 连接，使用 ADSL 的 DrayTek 2930 路由器和 EFM 端的 DrayTek 3200 路由器。但是，我无法通过此连接（使用 iperf 测试）从主办公室获得超过 600Kb 左右的速度（流量几乎总是从主办公室到远程办公室）

虽然我意识到存在开销并且我永远不会通过此 VPN 获得可用的“完整”带宽，但我想认为我应该考虑一些可能有助于改进它的东西。

我曾尝试使用 DrayTek 的内置“VPN 中继”功能，这些功能旨在平衡连接，但这似乎并没有太大改善。

我想我的问题是 - 这是我应该从这种设置中期望得到的那种性能吗，我只能忍受它，还是我应该能够通过一些 VPN 魔法从中挤出更多的东西？