标签: ipsec

我正在尝试使用他们的 VPN 系统和 Linux 服务器在我们的公司网络和 Amazon 的 Virtual Private Cloud 之间建立 IPSec VPN 连接。不幸的是，我找到的唯一指南讨论了如何使用主机 Linux 机器设置隧道并让该 linux 机器访问 VPC 实例，但我在网上找不到关于如何让实例访问公司网络的讨论（或通过该网络的互联网的其余部分）。

网络信息

Local subnet: 10.3.0.0/25
Remote subnet: 10.4.0.0/16

Tunnel 1:
  Outside IP Addresses:
    - Customer Gateway:        : 199.167.xxx.xxx
    - VPN Gateway              : 205.251.233.121

  Inside IP Addresses
    - Customer Gateway         : 169.254.249.2/30
    - VPN Gateway              : 169.254.249.1/30

Tunnel 2:
  Outside IP Addresses:
    - Customer Gateway:        : 199.167.xxx.xxx
    - VPN Gateway              : 205.251.233.122

  Inside IP Addresses
    - Customer Gateway         : 169.254.249.6/30
    - VPN …

我在strongswan(v5.2.0) 实例（站点 A）和RouterOS路由器（站点 B）之间启动并运行了一个站点到站点 IPsec 隧道。一切正常，站点 A ( 10.10.0.0/16) 和 B ( 10.50.0.0/16)的两个私有子网设置中的主机可以很好地相互通信。

我不明白的是ip xfrm policy站点 A 的路由器的以下输出（公共 IP 被混淆）。这些策略是由创建的strongswan，我没有手动安装或修改它们：

ip xfrm policy 
src 10.50.0.0/16 dst 10.10.0.0/16 
    dir fwd priority 2947 ptype main 
    tmpl src <PUBLIC_IP_B> dst <PUBLIC_IP_A>
        proto esp reqid 1 mode tunnel
src 10.50.0.0/16 dst 10.10.0.0/16 
    dir in priority 2947 ptype main 
    tmpl src <PUBLIC_IP_B> dst <PUBLIC_IP_A>
        proto esp reqid 1 mode tunnel
src 10.10.0.0/16 dst 10.50.0.0/16 
    dir …

我了解您可以使用 IPSec 安全地传输数据。根据维基百科页面和其他一些来源，它还可以隧道传输 IP 数据包，然后通过接口路由它们。这将创建一个 VPN，其中一个子网能够以非常安全的方式访问另一个子网。

但是我不明白的是为什么有些人将 L2TP 添加到堆栈中。我知道 L2TP 是由 IPSEC 保护的，但是如果 IPSEC 已经有一个隧道实现，它会不会导致更多的开销？

当使用普通 IPSec 可以达到相同的结果时，L2TP/IPSEC 有什么吸引力？

我有一个想要成为 VPN 服务器的 AWS 实例。它将 Windows 7 客户端连接到亚马逊云中的专用网络。

• 我已经安装了 Ubuntu 12.04 和strongswan-ikev2软件包。
• ipsec version 报告 Linux strongSwan U4.5.2/K3.2.0-52-virtual
• 请注意，客户端和服务器都在 NAT 之后（客户端因为它在本地办公网络上，而服务器因为它在亚马逊的云中）。我在 Amazon 仪表板和客户端的防火墙上都未阻止 UDP 端口 500 和 4500。

• 这是/etc/ipsec.conf：

  config setup
      plutostart=no
  
  conn %default
      keyexchange=ikev2
      ike=aes256-sha1-modp1024!
      esp=aes256-sha1!
      dpdaction=clear
      dpddelay=300s
      rekey=no
  
  conn win7vpn
      left=%any
      leftsubnet=<amazon VPC CIDR block>
      leftauth=pubkey
      leftcert=openssl-cert.pem
      leftid=<vpn server public dns name>
      right=%any
      rightsourceip=<amazon private IP address, which elastic ip is forwarded to>
      rightauth=eap-mschapv2
      rightsendcert=never
      eap_identity=%any
      auto=add
  

  Run Code Online (Sandbox Code Playgroud)

• 这是/etc/ipsec.secrets：

  : RSA openssl-key.rsa
  TESTDOMAIN\testuser : EAP "testpassword"
  

  Run Code Online (Sandbox Code Playgroud)

• 我已将签署服务器主机证书的 …

SCP 在我们公司的网络中很慢。为了测试，我从远程服务器复制了一个文件，该服务器通过路由器之间的 IPsec 连接。

使用时，scp -vv我收到很多这样的消息：

debug2: channel 0: window 1966080 sent adjust 131072
debug2: channel 0: window 1966080 sent adjust 131072
debug2: channel 0: window 1966080 sent adjust 131072
debug2: channel 0: window 1966080 sent adjust 131072

我无法找出这条消息的含义。大多数情况下，人们报告在 SCP 停止时出现此消息。就我而言，我没有遇到 scp 停顿。根据其他网络运营商的说法，当应该有 1000 到 2000 kb/s 的下行速度时，它只是非常慢（下行 350kb/s）。

这些消息是什么意思？它们与我糟糕的 SCP 表现有什么关系吗？

我正在尝试在具有 4.9.0-5-amd64 内核的 D​​ebian Linux 上使用 StrongSwan (5.5.1-4+deb9u1) 连接到 Cisco ASA IKEv1 VPN。这是一个经典的问题，我发现了很多关于这个主题的讨论，并尝试了许多配置调整，但到目前为止没有任何帮助。

我无法访问 ASA 本身，但通过这种方式我可以获得有关提案的一些基本信息：

$ sudo ike-scan -v -v ASA_IP_ADDRESS 2>&1
DEBUG: pkt len=336 bytes, bandwidth=56000 bps, int=52000 us
Starting ike-scan 1.9.4 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
--- Sending packet #1 to host entry 1 (ASA_IP_ADDRESS) tmo 500000 us
--- Received packet #1 from ASA_IP_ADDRESS
ASA_IP_ADDRESS  Main Mode Handshake returned HDR=(CKY-R=79f5d28631ffd07f) SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800) VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)
--- Removing host entry 1 (ASA_IP_ADDRESS) - Received 104 …

我正在考虑投资 Cisco ASA5505。由于 Cisco 自己的 VPN 客户端需要订阅服务，而我试图不这样做，是否有任何免费或低成本的 ipsec VPN 客户端可以与 ASA 配合使用并在 Windows XP 上运行？XP 的内置 ipsec 客户端是否兼容？任何指向指南和演练的链接将不胜感激。

我正在尝试对 IPSEC 正在加密所有内容的 Windows 网络上的两台服务器之间的通信进行故障排除。我在源服务器上安装了 wireshark 并在通信失败时捕获了流量，但除了一些 ARP 和 DNS 数据包之外，捕获的其他所有内容都是 ESP（封装安全有效负载）加密数据包。

如果我进行中间人捕获，我会理解这一点，但我在源计算机上。有没有办法指定 Wireshark 捕获更远的堆栈（解密完成后）？如果重要的话，源机器是 W2K8R2 作为 Hyper-V VM 运行。

问题

我很难在我的 Linux 服务器（Ubuntu 12.04）上配置 OpenSWAN 以连接到 ISA Server 2004 IPSec VPN。阻碍隧道工作的配置显然有问题。看起来我的一些数据包在某处丢失了？我不确定。

对方说他们这边的日志没有任何问题。我这边没有防火墙。这是/var/log/auth.log（下面的更长版本）中的违规部分。

Jan 29 17:28:11 P-INV-SD07 pluto[5821]: "myconn" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Jan 29 17:28:11 P-INV-SD07 pluto[5821]: "myconn" #1: STATE_MAIN_I3: sent MI3, expecting MR3
Jan 29 17:28:12 P-INV-SD07 pluto[5821]: "myconn" #1: discarding duplicate packet; already STATE_MAIN_I3
Jan 29 17:28:34  pluto[5821]: last message repeated 3 times
Jan 29 17:28:42 P-INV-SD07 pluto[5821]: packet from <hispublicip>:500: Informational Exchange is for an unknown (expired?) SA with MSGID:0x8341092b …

在 Windows Server 中使用 IPsec 时，“Main”模式和“Quick”模式有什么区别？

每个什么时候开始玩？