我正在尝试对 IPSEC 正在加密所有内容的 Windows 网络上的两台服务器之间的通信进行故障排除。我在源服务器上安装了 wireshark 并在通信失败时捕获了流量，但除了一些 ARP 和 DNS 数据包之外，捕获的其他所有内容都是 ESP（封装安全有效负载）加密数据包。

如果我进行中间人捕获，我会理解这一点，但我在源计算机上。有没有办法指定 Wireshark 捕获更远的堆栈（解密完成后）？如果重要的话，源机器是 W2K8R2 作为 Hyper-V VM 运行。

我正在尝试使用客户端到网关 IPSEC VPN 将 win server 2008 R2 框连接到瞻博网络 ssg 防火墙。

我尝试在具有高级安全性的 Windows 防火墙中设置它，但连接似乎不起作用。很想听听做过这项工作的人的意见。

谢谢！

我正在使用的设置是：

Endpoint 1: [ip address of this machine]  
Endpoint 2: [ip range of the machines behind the firewall at the other end]  
Auth mode: require inbound and outbound 
Method: PSK Key: [###] 
Profile: Domain, Private, Public 

使用 IPsec 隧道，应用授权。

Local tunnel endpoint: [ip address of this machine]
Remote tunnel endpoint: [ip address of remote firewall]

我的 ISP 给了我详细的设置——AES128、SHA1——但我看不到任何地方可以输入它们。此外，他们给了我第 2 阶段设置，但连接设置向导不允许将第 2 阶段配置与 PSK 结合使用。

我在这里缺少什么？

尝试在 Amazon VPC 集群中设置基于 openswan 的服务器。目标是让我们可以通过 VPN 连接到 VPC 并使我们的工作站就像在网络上一样，更像是一种公路战士配置。

我们选择的 VPN 客户端是适用于 Mac OS X 的Equinux VPN Tracker ( http://equinux.com/us/products/vpntracker/ )。我们已经使用它通过基于硬件的 VPN 连接到我们现有的网络，并希望继续使用它连接到我们的 VPC 网络。

到目前为止，我已经将它设置为可以成功连接到在 VPC 中运行的 openswan 服务器，但是我只能 ping openswan 服务器的内部 IP。我无法与网络上的其他任何内容交谈。我可以运行 tcpdump 并看到 ping 请求出现，但是它们从未到达其他主机。

我的第一个想法是它与只有一个网络接口的 EC2 实例有关，但是我之前设置了 OpenVPN 连接没有问题，尽管它们通常使用隧道设备，我还没有真正找到一个例子带有隧道或单个接口的 openswan。

任何帮助将不胜感激。

一些配置：

VPC Subnet: 10.10.1.0/24
VPC Gateweay: 10.10.1.1
Openswan Private IP: 10.10.1.11
Openswan Public IP: xxx.xxx.xxx.xxx

Openswan 配置：

version 2.0

config setup
  interfaces=%defaultroute
  klipsdebug=none
  plutodebug=none
  dumpdir=/var/log
  nat_traversal=yes
  virtual_private=%v4:10.10.1.0/24

conn vpntracker-psk
  left=%any
  leftsubnet=vhost:%no,%priv
  right=10.10.1.11
  rightid=xxx.xxx.xxx.xxx
  rightsubnet=10.10.1.0/24 …

我们在周末换到了 ASA，我们更换了以前基于 openvpn 的 VPN 基础设施，现在在我们的 ASA 5520 和其他具有 linux (CentOS) 路由器的站点之间使用 IPSec。

VPN 连接正常，但一段时间后连接失败。在 ASA 上，它没有显示对等方的 ipsec SA，但它确实显示 isakmp sa 仍然处于活动状态。如果我清除连接两端的 SA，VPN 将再次恢复。

我假设问题是密钥更新问题，但似乎所有提案都具有相同的密钥生命周期（如下所示）。关于可能是什么问题的任何想法？

注意——我已经混淆了这些捕获的 IP 地址；我怀疑我的提议有问题，所以 IP 不应该是相关的。假设所有 IP 都是占位符。

ASA 显示运行加密

crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 86400
crypto dynamic-map OUTSIDE_DYN_MAP 10 set ikev1 transform-set ESP-3DES-SHA
crypto dynamic-map OUTSIDE_DYN_MAP 10 set security-association lifetime seconds 288000
crypto dynamic-map OUTSIDE_DYN_MAP 10 set reverse-route
crypto map vpnmap 10 match address colo1_to_hq_vpn
crypto map …

我想要做的是在我的网络和我朋友的网络之间创建一个站点到站点的 IPsec VPN。我们都有一个路由器和每个路由器上的两台计算机，所有计算机都运行 Linux。所以我想拓扑看起来像这样

[myPC1 + myPC2]---myRouter------互联网-----hisRouter---[hisPC1 + hisPC2]

这两款路由器都很便宜，所以它们没有像 OpenWRT 这样的东西。

所以配置——我想这应该在 Linux 的两边完成。

到目前为止，我们已经尝试过使用 RSA 密钥和 PSK 使用 openSwan，但是在命令之后

ipsec auto --up net-to-net  

我们要么得到错误“没有名为 net-to-net 的连接”或错误“我们无法在此连接的任何一端识别自己”。

我猜我们是错误地配置了 ipsec.conf 文件。有人能解释一下我们应该如何正确配置它来实现这种拓扑吗？

编辑...

以下是一些可能有助于您更好地理解我的案例的事实。
这些都来自我们测试的 PSK 示例。

我的ifconfig：

eth0 Link encap:Ethernet HWaddr 00:0C:29:1B:F5:1C
inet addr:192.168.1.78 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe1b:f51c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:829 errors:0 dropped:0 overruns:0 frame:0
TX packets:704 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1213737 (1.1 MiB) TX bytes:57876 (56.5 KiB)

lo Link …

我正在将测试系统上的一些本地定义的 IPSEC 策略转换为组策略。在此过程中，我应用了一个不完整的策略，该策略缺少允许直接访问我的 DCS 的行，该行尚未为 ipsec 设置。

这使我无法从我的测试系统中应用更新的策略（删除这些限制）。

如何强制删除此策略以允许我继续测试？

我正在尝试在 2 个 AWS 区域之间创建 VPN 隧道。我尝试这样做的方法是在 Linux 中设置一个 IPsec 服务器，在一个区域使用 strongSwan，然后在另一个区域设置一个 VPC VPN。
问题是我无法想出一个正确的配置。

AWS 提供以下用于设置 IPsec VPN 的信息：

#1: Internet Key Exchange Configuration

Configure the IKE SA as follows
  - Authentication Method    : Pre-Shared Key 
  - Pre-Shared Key           : ***********************
  - Authentication Algorithm : sha1
  - Encryption Algorithm     : aes-128-cbc
  - Lifetime                 : 28800 seconds
  - Phase 1 Negotiation Mode : main
  - Perfect Forward Secrecy  : Diffie-Hellman Group 2

#2: IPSec Configuration

Configure the IPSec SA as …

尝试在 LAN 上的两台主机之间使用 IPSEC。不涉及 VPN

使用 OpenBSD 5.8（在 VirtualBox 中）。我更喜欢使用 OpenBSD 对 IPSEC 和密钥交换的内置支持，而不是第三方。

两个主机：（10.0.2.10主机“A”）和10.0.2.11（主机“B”）

他们可以在尝试设置 IPSEC 之前互相 ping/ssh。

更新：我想也许 OpenIKED (IKE v2) 不支持transport模式，所以我也会接受 isakmp (IKE v1) 的答案

复制A/etc/iked/local.pub到B/etc/iked/pubkeys/ipv4/10.0.2.10
复制B/etc/iked/local.pub到A/etc/iked/pubkeys/ipv4/10.0.2.11

双方：

echo "ikev2 esp from any to any" > /etc/iked.conf

chmod 640 /etc/iked.conf

echo "ipsec=YES" > /etc/rc.conf.local

echo "iked_flags=" >> /etc/rc.conf.local

检查配置：

/sbin/iked -n
Configuration OK

我对接下来要做什么感到困惑。我想我需要设置/etc/ipsec.conf，但我只找到了 IKEv1 文档。

重新启动了两台机器。没有错误。说 iked 守护进程启动了。如果我将公钥重命名为任何内容，仍然可以互相 ping 通，因此 IPSEC …

如果我们以 Linux 命令为例ip xfrm：

 ip xfrm policy add src $LOCAL dst $REMOTE dir out tmpl src $SRC dst $DST proto esp reqid $ID mode tunnel

其作用是什么tmpl？

更新：当然，我知道我们需要指定$SRC和$DST。但是，既然这些已经在 SA 中通过ip xfrm state命令指定了，为什么我们需要在 中重复它们呢tmpl？称其为“模板”是什么意思？对我来说，它似乎只是一个指向预先存在的 SA ( state) 的指针。

我有一个 StrongSwan (IKEv2) 服务器设置，并希望将每个 VPN 连接限制为 512kb/s。

经过研究，我遇到tc了 Ubuntu。我不太明白，正在阅读手册页。

DEV=eth0
tc qdisc del dev $DEV root
tc qdisc add dev $DEV handle 1: root htb default 11
tc qdisc add dev $DEV parent 1:11 handle 11: sfq perturb 60 

我认为这意味着将未分类的流量重新路由到 ID 11，然后每 60 秒将其平衡一次。sqf 还保证请求之间平等数据流的公平性。

队列算法扰动的时间间隔（以秒为单位）。默认为 0，这意味着不会发生扰动。不要为每个扰动设置太低可能会导致某些数据包重新排序或丢失。建议值：60 该值在使用外部流分类时没有影响。最好增加除数值以降低哈希冲突的风险。

我不太确定这两个。在我看来，主要连接将被限制为 512kbps，而未分类的连接将被限制为 128kbps。但我不确定。

tc class add dev $DEV parent 1: classid 1:1 htb rate 512kbps
tc class add dev $DEV parent 1:1 classid 1:11 htb rate 128kbps

最糟糕的是，我不确定每个 VPN 连接是否也符合上述这些规则，或者这些规则是否仅影响 …